user@linuxtrack:~ $ python -c 'print("Soyez les bienvenus !")'
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
#1 22-02-2018 15:55:06
- koorosh
- Membre
Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
Bonjour à tous,
Depuis un moment j'avais comme projet de transformer mon PI3 en NIDS. Apres de longue recherche sur google , je me suis rendu compte que ce genre d'installation n'a pas encore été vraiment posté à quelque exception près car tout simplement ces dernières étaient pas mis à jour depuis un bon moment (architectures 32 et 64 bits linux) alors j'ai dut bricoler tout ça pour que se soit compatible pour une architecture type ARM.
Je précise, je ne suis pas l'auteur des scripts ou procédure de si-dessous, j'ai juste adapté les tuto des sites officiel (snort,barnyard,etc) pour mon PI donc avant de manipuler votre PI , n'oublier pas les BACKUP !
Pour ceux qui rencontre des soucis de configuration, j'ai publié ma config sur mon GITLAB.
Configuration network:
J'ai schématisé grossièrement le but recherché:
on modifie le fichier /etc/network/interfaces:
[== Indéfini ==]
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.1.101
netmask 255.255.255.0
gateway 192.168.1.1 // BOX
post-up ethtool -K eth0 gro off
post-up ethtool -K eth0 lro off
auto eth0:1
iface eth0:1 inet static
address 192.168.1.130
netmask 255.255.255.0
gateway 192.168.1.1Installation:
Vous aller telecharger le script Snorter qui va tout installé ( snort, etc ). Tout est bien détaillé donc je vous laisse mettre en place tout ca via cet article.
[== Indéfini ==]
https://homputersecurity.com/2017/05/18/linstallation-de-snort-en-quelques-clics-avec-snorter/Maintenant, pour ma part, j'ai rencontré des soucis avec Barnyard2 dut aux librairies de mysql à cause de l'architecture alors si c'est le cas, allez directement sur le site officiel, télécharger et installer le manuellement.
Il va juste modifier la configuration sur votre installation faite par Snorter 
Pour la commande "./configure" pour configurer barnyard avec mysql pour l'architecture ARM c'est :
sudo ./configure --with-mysql --with-mysql-libraries=/usr/lib/arm-linux-gnueabihf
Ensuite un petit make et make install.
A présent , tester si snort et barnyard sont opérationelle et regarder dans la table "event" de la bdd "snort" si les events sont bien présent:
sudo mysql -u root -p -D snort -e "select count(*) from event"
je Résume:
si tout ce passe bien, voici la situation que vous devriez avoir de votre coté:
Pour tester si snort capture bien, utiliser NMAP ou TOR .
C'est la fin de cette procédure assez atypique on va dire 
, si vous rencontrer des soucis de configuration alors hésiter pas à me le dire sur ce topic je me ferais un plaisir de vous répondre.
Evidement, Libre à vous de positioner snort en fonction de vos besoins.
Prochainement:
J'envisage de déployer sur le raspberry une interface graphique afin de surveiller en temps réel les alertes. Actuellement j'aimerais mettre en place la suite Elasticsearch avec kibana mais j'ai peur que ça surcharge le PI alors je pense plus installer Snorby.
Je suis désolé des fautes d'orthographes mais j'ai rédigé cette procédure à la volé pour le plaisir de vous le faire partager 
.
Bon Vendredi et bon bidouillage.
Dernière modification par koorosh (22-02-2018 16:14:09)
"Les paroles peuvent être plus tranchantes qu'un sabre affûté" écrit par Omar Khayam poète perse.
Hors ligne
#2 26-02-2018 08:45:28
- ZeR0-@bSoLu
- Membre
Re : Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
C'est super intéréssant en vrai , merci du partage et je regarde ça plus en détails soon
Mess With The Bests
Die Like The Rest
Hors ligne
#3 26-02-2018 14:47:04
- koorosh
- Membre
Re : Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
après sur ce cas, le raspberry agit comme une simple passerelle mais tu peux lui faire un jolie script IPTABLES ou même mettre en place un système de certificat ou une connexion VPN , les possibilité sont énorme 
"Les paroles peuvent être plus tranchantes qu'un sabre affûté" écrit par Omar Khayam poète perse.
Hors ligne
#4 01-03-2018 13:47:51
- ZeR0-@bSoLu
- Membre
Re : Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
J'avoue que c'est pas mal , ça permet de faire un truc utile pour pas trop cher
Mess With The Bests
Die Like The Rest
Hors ligne
#5 01-03-2018 14:35:14
- koorosh
- Membre
Re : Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
carrément 
, tu peux mème analyser le traffic avec NFSEN et vue qu'il est positionné entre 2 routeurs, se seras parfait ! après j'ai pensez à ossec mais je le connais pas assez bien dont à méditer la dessus.
Dernière modification par koorosh (01-03-2018 14:36:23)
"Les paroles peuvent être plus tranchantes qu'un sabre affûté" écrit par Omar Khayam poète perse.
Hors ligne
#6 01-03-2018 15:39:48
- ZeR0-@bSoLu
- Membre
Re : Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
Ouais c'est super ! après ouais je connais pas assez pour te repondre non plus
Franchement tu rajoues la GUI c'est beau jeu
Dernière modification par ZeR0-@bSoLu (01-03-2018 15:53:40)
Mess With The Bests
Die Like The Rest
Hors ligne
#7 04-03-2018 20:20:11
- apt-get
- Membre
Re : Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
Merci beaucoup du partage.
J'ai eu un PI3 pour Noel et je me demandais encore à quoi j'allais l'affecter.
Je crois que j'ai trouvé
Hors ligne
#8 26-03-2018 11:51:08
- Azgarech
- Crazy one
Re : Transformer la framboise en NIDS avec snort, mysql, barnyard2, ...
J'y avais pensé pour la maison mais le port Ethernet du rasp limite la bande passante disponible et c'est dommage .
Security is always excessive until it’s not enough. — Robbie Sinclair
Hors ligne