B.3. Paramétrage d'un IDS autonome

Un système Debian autonome peut être facilement configuré en tant que système de détection d'intrusion (IDS) avec snort et une interface web pour analyser les alertes de détection d'intrusion :

installer un système de base Debian sans sélectionner de paquets supplémentaires ;
installer une version de Snort avec prise en charge de base de données et configurer l'IDS pour journaliser les alertes dans la base de données ;
télécharger et installer BASE (Basic Analysis and Security Engine) ou ACID (Analysis Console for Intrusion Databases). Le configurer pour utiliser la même base de données que Snort ;
télécharger et installer les paquets nécessaires ^[85].

BASE est actuellement empaqueté pour Debian dans acidbase et ACID est empaqueté sous le nom d'acidlab^[86]. Les deux paquets fournissent une interface web graphique à la sortie de Snort.

À part l'installation de base, vous aurez aussi besoin d'un serveur web (comme apache), un interpréteur PHP et une base de données relationnelle (comme postgresql ou mysql) où Snort enregistrera ses alertes.

Le système devrait être mis en place avec au moins deux interfaces : l'une connectée à un réseau de gestion (pour accéder aux résultats et maintenir le système), l'autre sans adresse IP liée au secteur du réseau à analyser. Le serveur web devrait être configuré pour n'écouter que sur l'interface connectée au réseau de gestion.

Les deux interfaces devraient être configurées dans le fichier de configuration standard Debian /etc/network/interfaces. Une adresse (sur le réseau de gestion) peut être configurée normalement. L'autre interface doit être configurée pour être démarrée lorsque le système démarre, mais sans adresse d'interface. La définition d'interface suivante peut être utilisée :

auto eth0
iface eth0 inet manual
      up ifconfig $IFACE 0.0.0.0 up
      up ip link set $IFACE promisc on
      down ip link set $IFACE promisc off
      down ifconfig $IFACE down

Ce qui précède configure une interface pour lire tout le trafic du réseau dans une configuration dissimulée (stealth). Cela empêche le système NIDS d'être une cible directe dans un réseau hostile car les détecteurs n'ont pas d'adresse IP sur ce réseau. Remarquez cependant que certains bogues ont existé sur la partie détecteurs de NIDS (consultez par exemple http://www.debian.org/security/2003/dsa-297 sur Snort) et des dépassements de tampon distants pourraient même être déclenchés par le traitement de paquet réseau.

Vous pouvez aussi consulter le http://www.faqs.org/docs/Linux-HOWTO/Snort-Statistics-HOWTO.html et la documentation disponible sur le http://www.snort.org/docs/.

^[85] Typiquement les paquets nécessaires seront installés par l'intermédiaire des dépendances.

^[86] Il est aussi disponible au téléchargement depuis http://www.cert.org/kb/acid/, http://acidlab.sourceforge.net et http://www.andrew.cmu.edu/~rdanyliw/snort/.