L'IDS de MiNET s'occupe de la sécurité de notre réseau. Il analyse tout le trafic sortant et entrant sur le réseau MiNET. IDS veut dire Intrusion Detection System (Systeme de Détection d'Intrusion). L’IDS de MiNET s’appelle Snowden. D’un point de vue réseau, le trafic est copié depuis le routeur de MiNET sur Snowden et tout le débit est analysé par deux logiciels différents :
Ceux-ci gardent une trace de toutes les attaques ou types de trafic intéressant afin de pouvoir prévenir les attaques suivant le même schéma ou même de prévenir les personnes infectées ou agissant de manière dangereuse pour le réseau. Si vous désirez en apprendre plus sur les IDS, voici un lien intéressant.
En bref :
L’IDS permet de faire une analyse complète et minutieuse de tout le trafic et sur tous les protocoles connus. Cela nous permet d’augmenter la sécurité sur notre réseau.
L’installation a été faite sur une Debian 8.2 Jessie.
Les interfaces configurées sont les suivantes :
Voici le fichier /etc/network/interfaces
auto eth0 iface eth0 inet static address 192.168.102.238 netmask 255.255.255.0 auto eth1 iface eth1 inet static address 192.168.103.200 netmask 255.255.255.0 up ip link set $IFACE promisc on arp off up down ip link set $IFACE promisc off down post-up ethtool -G $IFACE rx 4096; for i in rx tx sg tso ufo gso gro lro; do ethtool -K $IFACE $i off; done post-up echo 1 > /proc/sys/net/ipv6/conf/$IFACE/disable_ipv6
La ligne
post-up ethtool -G $IFACE rx 4096; for i in rx tx sg tso ufo gso gro lro; do ethtool -K $IFACE $i off; done
est très importante. Losqu'on utilise un IDS, un des paramètre de performance est le nombre de paquets perdue. Il se trouve que lorsque la carte réseau verifie elle même l'arrivé des paquets, elle se trompe et on se retrouve avec des taux de pertes de 20-50% sans raison. Cette ligne permet donc de laisser ces calculs au systeme.
Attention Les pilotes de la carte réseau de Snowden ne sont pas présents de base dans les pilotes fournis par wheezy, il faut donc les télécharger sur une autre machine et les installer à la mano. Vous ne pourrez pas remonter les interfaces sans ces pilotes.
You've been warned!
Enfin, il ne faut pas oublier de configurer les deux ports sur notre routeur.
La config du port de management devrait ressembler à ça :
interface GigabitEthernet3/21 description Snowden management interface switchport trunk native vlan 102 switchport trunk allowed vlan 102,111 switchport mode trunk
Puis pour la configuration du port vers lequel sera copié tout le trafic :
interface GigabitEthernet3/18 description snowden copie trafic span switchport access vlan 103 switchport mode access
Ensuite, il faut configurer la copie du trafic avec les commandes suivantes :
no monitor session all #pour réinitialiser toutes les copies de trafic monitor session 1 source interface gigabitEthernet3/8 both # définie la source de la copie, ici le port directement branché à la sortie de la DISI monitor session 1 destination interface gigabitEthernet3/18 #on défini ensuite la destination, ici le port de l’IDS do show monitor session all # pour vérifier ce que vous avez fait
Nous devrions alors avoir ceci :
Session 1 --------- Type : Local Session Source Ports : Both : Gi3/8 Destination Ports : Gi3/18 Encapsulation : Native Ingress : Disabled Learning : Disabled Filter Pkt Type : RX Only : Good
Nous pouvons maintenant retourner sur Snowden et lancer dstat
pour vérifier que nous avons un débit vraisemblable en arrivée.