Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
fwsnort [Le 07/09/2010, 07:52] lmrv Maj Lien |
fwsnort [Le 20/03/2023, 20:46] (Version actuelle) Amiralgaby [Mettre à jour régulièrement (facultatif ?)] sudo gedit -> sudo nano |
||
|---|---|---|---|
| Ligne 8: | Ligne 8: | ||
| fwsnort, comme son nom l'indique, convertit les règles de Snort dans le pare-feu iptables. fwsnort évalue d'abord votre pare-feu actuel et ajoute des règles pour le trafic acceptés. Par défaut, fwsnort logue le trafic suspect, et [[psad]] (( du même auteur)) surveille les journaux. | fwsnort, comme son nom l'indique, convertit les règles de Snort dans le pare-feu iptables. fwsnort évalue d'abord votre pare-feu actuel et ajoute des règles pour le trafic acceptés. Par défaut, fwsnort logue le trafic suspect, et [[psad]] (( du même auteur)) surveille les journaux. | ||
| - | fwsnort accepte les arguments de ligne de commande pour restreindre le traitement à une classe particulière des règles snort comme "ddos", "backdoor" ou "web-attaques". | + | fwsnort accepte les arguments de ligne de commande pour restreindre le traitement à une classe particulière des règles snort comme "ddos", "backdoor" ou "web-attaques". |
| - | Le traitement peut même être limité à une règle Snort spécifique identifié par son "id snort" ou "sid". fwsnort fait usage de IPTables:: Parse module pour traduire les règles de Snort pour laquelle le trafic correspondant pourrait être passé à travers le jeu de règles iptables existants. Autrement dit, si iptables ne va pas passer, par exemple, le trafic HTTP, puis fwsnort ne comprendra pas les signatures HTTP au sein de l'ensemble de règles iptables qu'elle construit. | + | Le traitement peut même être limité à une règle Snort spécifique identifié par son "id snort" ou "sid". fwsnort fait usage de IPTables:: Parse module pour traduire les règles de Snort pour laquelle le trafic correspondant pourrait être passé à travers le jeu de règles iptables existants. Autrement dit, si iptables ne va pas passer, par exemple, le trafic HTTP, puis fwsnort ne comprendra pas les signatures HTTP au sein de l'ensemble de règles iptables qu'elle construit. |
| Ligne 98: | Ligne 98: | ||
| <note help>Étape qui va générer le script installation des règles ( /etc/fwsnort/fwsnort.sh ) pour iptable à partir des règles de type snort</note> | <note help>Étape qui va générer le script installation des règles ( /etc/fwsnort/fwsnort.sh ) pour iptable à partir des règles de type snort</note> | ||
| - | Lancez cette commande pour générer le script avec des règles choisi((voir ci dessus)) : | + | Lancez cette commande pour générer le script avec des règles choisi((voir ci dessus)) : |
| <code>sudo fwsnort</code> | <code>sudo fwsnort</code> | ||
| Ligne 108: | Ligne 108: | ||
| * Choisir des règles ( par expression régulière ) : | * Choisir des règles ( par expression régulière ) : | ||
| * <code>sudo fwsnort --include-regex scan</code> | * <code>sudo fwsnort --include-regex scan</code> | ||
| - | * Choisir des règles en fonction du type ( apparemment ne fonctionne qu'avec les règles du site snort, non-libre, par défaut fwsnort prend les règles emerging-all adapté pour ips ) : | + | * Choisir des règles en fonction du type ( apparemment ne fonctionne qu'avec les règles du site snort, non-libre, par défaut fwsnort prend les règles emerging-all adapté pour ips ) : |
| * <code>sudo fwsnort --include-type </code> | * <code>sudo fwsnort --include-type </code> | ||
| - | * Exclure des règles : | + | * Exclure des règles : |
| * <code>sudo fwsnort --exclude-type </code> | * <code>sudo fwsnort --exclude-type </code> | ||
| - | * Sélectionner une règle snort selon son id : | + | * Sélectionner une règle snort selon son id : |
| * <code>sudo fwsnort --snort-sid 2001842,1834</code> | * <code>sudo fwsnort --snort-sid 2001842,1834</code> | ||
| <note help>Si vous avez des problèmes lancez <code> | <note help>Si vous avez des problèmes lancez <code> | ||
| Ligne 122: | Ligne 122: | ||
| - | ====Appliquer le script d'installation des règles au démarage==== | + | ====Appliquer le script d'installation des règles au démarage==== |
| * [[:tutoriel:comment_modifier_un_fichier|Editez le fichier]] ''/etc/rc.local'' | * [[:tutoriel:comment_modifier_un_fichier|Editez le fichier]] ''/etc/rc.local'' | ||
| * et ajouter ''/etc/fwsnort/fwsnort.sh'' | * et ajouter ''/etc/fwsnort/fwsnort.sh'' | ||
| Ligne 145: | Ligne 145: | ||
| ==== Mettre à jour régulièrement (facultatif ?)==== | ==== Mettre à jour régulièrement (facultatif ?)==== | ||
| <note help>Il peut être préférable de mettre à jour manuellement avec maîtrise du contenu ...</note> | <note help>Il peut être préférable de mettre à jour manuellement avec maîtrise du contenu ...</note> | ||
| - | * Créez un fichier update.sh <code>sudo gedit /etc/fwsnort/update.sh</code> | + | * Créez un fichier update.sh <code>sudo nano /etc/fwsnort/update.sh</code> |
| * Copier et adapter le script de mise à jour <code> cd /etc/fwsnort/snort_rules/ | * Copier et adapter le script de mise à jour <code> cd /etc/fwsnort/snort_rules/ | ||
| wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz | wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz | ||