IDS/IPS, syslog et SIEM léger
Détecter une attaque en cours est aussi important que de la prévenir. Cette leçon couvre les outils de détection et de monitoring accessibles en PME sans budget d'entreprise Fortune 500.
IDS vs IPS — détecter ou bloquer
IDS (Intrusion Detection System) : analyse le trafic et alerte en cas d'activité suspecte, sans bloquer.
- Mode passif — copie du trafic (port miroir ou TAP)
- Génère des alertes que l'admin doit traiter
- Avantage : aucun impact sur les performances réseau
IPS (Intrusion Prevention System) : analyse le trafic et bloque automatiquement les menaces détectées.
- Mode inline — le trafic passe physiquement par l'IPS
- Peut générer des faux positifs et bloquer du trafic légitime
- Nécessite une phase de tuning soigneuse avant déploiement
En pratique, les solutions modernes (Suricata, Snort) peuvent fonctionner dans les deux modes.
Suricata — IDS/IPS open source
Suricata est l'IDS/IPS open source le plus utilisé, disponible nativement dans pfSense et OPNsense. Il utilise des règles de signatures pour détecter les menaces connues.
Sources de règles gratuites :
- Emerging Threats (ET Open) : milliers de règles maintenues par la communauté
- Snort Community Rules : règles Snort compatibles Suricata
Alerte Suricata typique :
[1:2018959:5] ET SCAN Potential SSH Scan [**]
src: 45.33.32.156:54321 → dst: 82.45.xx.xx:22
Interprétation : une IP externe scanne le port SSH 22 — tentative de force brute ou de découverte.
Syslog — centraliser les logs
Le protocole Syslog (UDP/TCP port 514, ou TLS port 6514) permet d'envoyer les logs de tous les équipements réseau vers un serveur centralisé.
Avantages :
- Logs sur un seul serveur → plus difficile à effacer par un attaquant