Le jeudi 31 Janvier 13:30-17:30

NIDS

Sources :

• https://github.com/Snorby/snorby/wiki/Snort-vs-Suricata-vs-Sagan
• http://www.linux-mag.com/id/2611/

Snort

Snort est le plus ancien, le plus éprouvé et le standard de facto des IDS libres. La plupart des solutions sont compatibles avec le format utilisé pour décrire ses règles d’analyse de signature. Il compte une base de près de 400 000 utilisateurs, est très bien documenté et fonctionne sur la plupart des sytèmes d’exploitation. Sa limitation actuelle est qu’il ne fonctionne qu’avec un seul thread et ne tire donc pas avantages des systèmes multiprocesseurs.

Sourcefire, la société fondée en 2001 par Martin Rœsch, principal développeur, pour proposer une version commerciale de la technologie, a été rachetée en 2013 par Cisco.

Snort se conforme à de nombreux standards : format des règles (dont il est à l’origine), format d’échange des messages de détection d’intrusion (IDMEF), format d’export des alertes (unified2), … Il peut être étendu avec de nombreux plugins (snortsam, snort-ai, …).

Suricata

Suricata est un NIDS plus jeune. Son développement, très rapide, est organisé par l’OSIF (Open Information Security Foundation), organisation à but non lucratif à laquelle participe notamment le département de la sécurité intérieure des États-Unis. Il est compatible avec les règles Snort. Il est plus performant lorsqu’il est utilisé avec les règles Emerging Threats fournies par Proofpoint, celles-ci étant conçues pour tirer parti de ses capacités multithread.

Sagan

Sagan est un moteur d’analyse et de corrélation en temps réel, libre (GNU/GPLv2) à haute performance qui fonctionne sur les systèmes d’exploitation *nix. Il utilise une architecture multithreadée, est compatible avec les règles Snort, peut lire les alertes Snort et écrire dans une base de données Snort. il est aussi comaptible avec tous les frontaux Snort.

Zeek (anciennement Bro)

Zeek est un NIDS, avec une particularité. Il réalise l’analyse des signatures des paquets (comme Snort, sont il peut utiliser les règles), mais peut aussi réaliser (une forme limitée) de détection d’anomalies. Par exemple, Zeek peut détecter l’utilisation d’adresses privées (RFC 1918) sur les interfaces externes. Zeek fonctionne sur de nombreuses versions d’*nix.

Travaux pratiques

• NIDS : Suricata
• Évènements en base de données : Barnyard (MariaDB)

Justification des choix technologiques

Les choix à réaliser pour la mise en pratique de la détection d’intrusion ne peuvent pas s’appuyer uniquement sur la qualité technologique des logiciels ou de la solution globale (sans parler de préférences personnelles).

Il faut nécessairement tenir compte de l’environnement technique (réseau « à plat » isolé et système d’exploitation CentOS 7 dans notre cas), organisationnel et réglementaire, ainsi que des ressources disponibles en termes de coût et de délai (temps contraint dans notre cas).

Ainsi, même si Snort est la solution NIDS de facto, on préfèrera Suricata dont l’installation (et l’exploitation a posteriori) sera facilitée sur CentOS 7. De la même manière, on préfèrera un frontal relativement léger comme Snorby plutôt qu’une solution plus souple mais également plus coûteuse comme une pile ELK (Elasticsearch, Logstash, Kibana) ; Snorby plutôt que BASE ou Sguil ; PulledPork plutôt que Oinkmaster.