Snort
Snort est un système de détection d'intrusion réseau (IDS) et un système de prévention d'intrusion réseau (IPS) open source largement utilisé. Développé par Sourcefire, qui a été racheté par Cisco en 2013, Snort est l'un des outils les plus populaires pour la détection d'activités malveillantes sur les réseaux informatiques.
Installation
Voici la procédure d'installation :
Activer les règles
Cocher les règles communautaires qui sont gratuites :
Puis il faut télécharger les règles :
Créer interface d'écoute
Configurer l'écoute de l'interface WAN et définir le mode de défense, nous allons déconnecter et bannir tous ceux qui enfreignent les règles :
Ici nous allons choisir l'agressivité des règles :
On peut voir que notre interface est fonctionnelle :
Analyse et faux-positifs
L'onglet Alerts va nous donner les informations sur la règle qui a été déclenchée, nous pouvons voir l'ip, le protocole utilisé, le port et la date :
Vous trouverez aussi les faux positifs, en cliquant sur le petit vous pouvez créer une exception pour la règle et les adresses ip correspondantes.
Les faux positifs que vous aurez trouvés seront stocker ici :
