Votre responsable vous demande d’approfondir le fonctionnement et la configuration du service NIDS ASQ présent sur les pare-feu UTM Stormshield afin d’améliorer le niveau protection de chaque agence. Votre mission consiste à maîtriser les fondamentaux liés à cet outil puis à implémenter le cahier des charges qui vous a été fourni.
Les activités suivantes sont à réaliser depuis une VM placée dans le VLAN utilisateur avec les outils suivants (à installer) :
$ sudo apt install nmap
$ sudo apt install hping3
Pour en savoir plmus : https://www.kali-linux.fr/conseil/tuto-hping3-pentesting-reseau
Il est demandé à un administrateur réseau situé sur le VLAN utilisateur d’utiliser les 3 commandes suivantes à destination du serveur web situé en DMZ afin de tester l’efficacité du NIPS/NIDS présent sur le pare-feu :
acox@kali:~$ nmap -sS 192.168.228.11 acox@kali:~$ nmap -sU 192.168.228.11 acox@kali:~$ nmap -sV 192.168.228.11
Dans un second temps, il est demandé à l’attaquant de réaliser l’opération suivante de son VLAN « Utilisateurs » vers l’adresse IP externe du pare-feu d’un autre contexte :
acox@kali:~$ hping3 --flood -S -p 80 192.168.230.X
Un système de détection d’intrusion (ou IDS: Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée. Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Un système de prévention des intrusions (IPS) reprend le principe de l’IDS tout en étant capable de bloquer les activités qu’il considère illégitimes.
Il existe deux grandes catégories d’IDS/IPS :
Ce service repose sur 3 phases :
La pertinence du placement d’un système NIDS/NIPS sur un réseau est fondamentale, car il doit capturer un maximum de trafic réseau à des fins d’analyse. Plusieurs architectures existent et peuvent être pertinentes. Chacune a ses avantages et ses inconvénients :
Voici un exemple de schéma décrivant une topologie pour déployer un NIDS/NIPS.
Sur les pare-feu Stormshield, le NIPS est activé par défaut. Cela renforce donc naturellement la sécurité car même en cas d’autorisation globale dans la table de filtrage de l’équipement, ce dernier inspecte et bloque les flux qu’il juge potentiellement dangereux. Bien évidemment, ce service peut générer des faux positifs. Dans le cadre d’un NIPS, les faux positifs sont des flux légitimes que le boîtier a bloqué estimant qu’ils étaient suspects. Avec le temps, l’outil est capable de s’améliorer et de minimiser les faux positifs.
Ce dernier est donc extrêmement complémentaire des autres solutions de sécurité mises en œuvre dans l’entreprise. Sur les pare-feu SNS, il est primordial, sauf cas particuliers, de le laisser activé. Dans le cas contraire, il est possible de basculer en mode IDS ou en mode pare-feu simple (c’est-à-dire filtrage couches 3 et 4).