Mise en place d'un service IDS/IPS avec Snort sur PfSense
Introduction
Dans ce labo, nous allons mettre en place Snort, qui est un service IDS/IPS. Les IDS sont des outils de détection et de surveillance qui n'engagent pas d'action de leur propre fait. Les IPS constituent un système de contrôle qui accepte ou rejette un paquet en fonction d'un ensemble de règles.
Mise en place de Snort
Aller dans Services > Snort > WAN. On laissera les paramètres par défaut, juste faire attention à bien cocher "Block Offenders" ainsi que "Kill States" pour bloquer toutes les IP faisant des logs de Snort
Puis, aller dans global settings, cocher Enable snort VRT et aller sur le lien en-dessous pour s'enregistrer. Il faudra créer un compte, puis récupérer le code Oinkmaster qui permettra à snork de fonctionner.
Cocher Enable ET Open, OpenAppID et OpenTextRules
Puis allez dans Wan rules, sélectionnez dans category celles que vous venez d'ajouter et active les toutes avec le bouton "enable".
Maintenant, lorsque nous lanceront un téléchargement en peer to peer, nous devrions avoir normalement ces alertes sur notre Pfsense qui nous indiquent donc des alertes et qu'elles ont bien été bloquées :
Pour le vérifier, sur notre logiciel de téléchargement peer to peer (ici qBittorrent) le téléchargement devra être affiché comme bloqué :