TEST D’INTRUSION AVEC SNORT

Installer le package Snort :

Lancer Snort :

Il est nécessaire de s’inscrire sur le site de Snort pour récupérer l’Oinkmaster Code et avoir les
dernières versions de test.
Configuration générale de Snort :
Mise à jour des règles SNORT :
Configurer Snort sur une interface du pfSense :

Enable Packet Captures : permet de créer automatiquement un fichier compatible tcpdump /

wireshark reprenant les logs des paquets refoulés par le firewall.
Snort est alors configuré sur l’interface WAN (Web)
Continuer la configuration de Snort :

Le choix IPS Policy Selection permet de définir le niveau de blockage de trafic.

Connectivity < Balanced < Security < Max-Detect.
Attention : Max-Detect. sert à tester la connexion, à ne pas utiliser en productivité.
Voici toutes les règles de Snort, qui sont sélectionnées automatiquement suite à la configuration
précédente :

Pour activer les règles, cliquer sur Select All (seul les ET Open Rules sont sélectionnables,
puisqu’en mode Balanced) :

Cliquer sur Save pour confirmer.

Il est possible de modifier les règles en cliquant sur une règle :

Ajouter/Supprimer une règle en Ajoutant/Supprimant les #

Pour vérifier les règles qui sont en places :

Il est possible de choisir la catégorie de règle.

Pour prendre connaissance des logs :

Sélectionner le fichier de log souhaité (alert principalement).

Pour démarrer Snort sur une interface :

Voir les alertes et les attaques bloquées par Snort  :