L'IDS de MiNET s'occupe de la sécurité de notre réseau. Il analyse tout le trafic sortant et entrant sur le réseau MiNET. IDS veut dire Intrusion Detection System (Systeme de Détection d'Intrusion). L’IDS de MiNET s’appelle Snowden. D’un point de vue réseau, le trafic est copié depuis le routeur de MiNET sur Snowden et tout le débit est analysé par deux logiciels différents :

• Bro
• Suricata

Ceux-ci gardent une trace de toutes les attaques ou types de trafic intéressant afin de pouvoir prévenir les attaques suivant le même schéma ou même de prévenir les personnes infectées ou agissant de manière dangereuse pour le réseau. Si vous désirez en apprendre plus sur les IDS, voici un lien intéressant.

En bref :

• L’IDS est sur une machine avec Debian Jessie et est composé de Bro et Suricata.
• La machine possède deux liens, le premier de management et le deuxième sur lequel on envoie le trafic à analyser.

L’IDS permet de faire une analyse complète et minutieuse de tout le trafic et sur tous les protocoles connus. Cela nous permet d’augmenter la sécurité sur notre réseau.

L’installation a été faite sur une Debian 8.2 Jessie.

Les interfaces configurées sont les suivantes :

• Une dans le vlan 102 pour le management
• Une dans le vlan 103 pour la copie du trafic

Voici le fichier /etc/network/interfaces

auto eth0
iface eth0 inet static
	address 192.168.102.238
	netmask 255.255.255.0
 
auto eth1
iface eth1 inet static
	address 192.168.103.200
	netmask 255.255.255.0
	up ip link set $IFACE promisc on arp off up
	down ip link set $IFACE promisc off down
	post-up ethtool -G $IFACE rx 4096; for i in rx tx sg tso ufo gso gro lro; do ethtool -K $IFACE $i off; done
	post-up echo 1 > /proc/sys/net/ipv6/conf/$IFACE/disable_ipv6

La ligne post-up ethtool -G $IFACE rx 4096; for i in rx tx sg tso ufo gso gro lro; do ethtool -K $IFACE $i off; done

est très importante. Losqu'on utilise un IDS, un des paramètre de performance est le nombre de paquets perdue. Il se trouve que lorsque la carte réseau verifie elle même l'arrivé des paquets, elle se trompe et on se retrouve avec des taux de pertes de 20-50% sans raison. Cette ligne permet donc de laisser ces calculs au systeme.

Enfin, il ne faut pas oublier de configurer les deux ports sur notre routeur.

La config du port de management devrait ressembler à ça :

interface GigabitEthernet3/21
 description Snowden management interface
 switchport trunk native vlan 102
 switchport trunk allowed vlan 102,111
 switchport mode trunk

Puis pour la configuration du port vers lequel sera copié tout le trafic :

interface GigabitEthernet3/18
 description snowden copie trafic span
 switchport access vlan 103
 switchport mode access

Ensuite, il faut configurer la copie du trafic avec les commandes suivantes :

no monitor session all #pour réinitialiser toutes les copies de trafic
monitor session 1 source interface gigabitEthernet3/8 both # définie la source de la copie, ici le port directement branché à la sortie de la DISI
monitor session 1 destination interface gigabitEthernet3/18 #on défini ensuite la destination, ici le port de l’IDS
do show monitor session all # pour vérifier ce que vous avez fait

Nous devrions alors avoir ceci :

Session 1
---------
Type                   : Local Session
Source Ports           :
    Both               : Gi3/8
Destination Ports      : Gi3/18
    Encapsulation      : Native
          Ingress      : Disabled
         Learning : Disabled
Filter Pkt Type        :
    RX Only       : Good

Nous pouvons maintenant retourner sur Snowden et lancer dstat pour vérifier que nous avons un débit vraisemblable en arrivée.