This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

klipita

IDS - comment ça marche ? que faire ?

Messages recommandés

Bonjour à tous, 

Après avoir installé l'IDS sur mon routeur RT1900 ac, je me rends compte que je suis attaqué en permanence et de toute part sur le réseau Free.
Du coup j'ai des messages d'alertes toutes les 10 minutes et le compteur de menace en Low, médium, High est en train d'exploser. 

  • Que puis-je faire pour réduire tout ça ? 
  • Y a-t-il possibilité de réduire ces attaques un au minimum  ?

Je suis un peu dubitatif. 

  • L'Ids ne servirait qu'à prévenir de la menace rien de plus ...? 
  • Même en cochant l'option DROP les menaces, quel est son efficacité exactement ? 
  • Est-ce que quelqu'un connaît ce paquet ?  

Bonne journée tout le monde. Si jamais des gens connaîtbien ce software et peuvent un peu plus m'expliquer. 

Bonne journée.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour le reply Piwi ...

Je pense que je peux m'aguerrir de cet outil à condition que l'on m'explique un peu plus. Je souhaite avant tout savoir les actions à effectuer une fois que l'on à ce genre d'alertes. 

Utilises tu ce paquet toi ?  

Partager ce message


Lien à poster
Partager sur d’autres sites

Je peux par exemple montrer ceci  : 

Type d'événement : Web Application Attack
Signature : ET WEB_CLIENT Possible HTTP 500 XSS Attempt (External Source)
Sévérité : High
IP source : 192.185.39.232
IP de destination : 192.168.0.1 (une machine de mon réseau (par exemple) ^^)

Type d'événement : Misc Attack
Signature : ET DROP Dshield Block Listed Source group 1
Sévérité : Medium
IP source : 216.158.238.27
IP de destination : 192.168.0.1 

Type d'événement : A Network Trojan was Detected
Signature : ET CNC Ransomware Tracker Reported CnC Server group 72
Sévérité : High
IP source : 192.168.0.1 (plus qu'inquiétant d'ailleurs vu que c'est interne)
IP de destination : 45.33.9.234

Type d'événement : Potentially Bad Traffic
Signature : ET INFO HTTP Request to a *.top domain
Sévérité : Medium
IP source : 192.168.235.16
IP de destination : 91.126.172.5

Je reçois donc toutes ces infos, parfois intéréssantes parfois moins, et c'est à ce moment précis que j'aimerai agir. N'ai-je comme solution que de tout bloquer au niveau du firewall et d'ouvrir service par service ... ? 

Vous en pensez quoi ? que pouvez me conseiller ? 

Partager ce message


Lien à poster
Partager sur d’autres sites

@klipita : As-tu lu l'aide intégrée au paquet ou celle sur le site de Synology ?

Le pare-feu de SRM et le paquet Prévention d'intrusion sont complémentaires. Pour faire court, le pare-feu filtre les paquets réseau en se basant uniquement sur les en-têtes (source, destination, protocole, port, ...), il ne se préoccupe pas des données. Un système de détection d'intrusion (IDS) analyse les données des paquets réseau (conformité de protocole applicatif, validation des données, ...) en plus des en-têtes, trace les anomalies, mais ne bloque pas les paquets incriminés. Un IPS fait exactement la même chose qu'un IDS sauf qu'il va bloquer les paquets.

Il y a 10 heures, Einsteinium a dit :

Juste un IDS

En fait l'utilisateur peut choisir s'il veut bloquer ou non les paquets détectés, donc IDS ou IPS au choix.

Partager ce message


Lien à poster
Partager sur d’autres sites

Dans ma configuration j'ai choisi l'option bloquée les paquets. Du coup, il est plus IPS que IDS. Ce qui en soi est formidable déjà.

De plus,  je suis tout à fait d'accord avec le fait qu'il soit complémentaire au firewall,  C'est justement là-dessus que j'aimerais influer.

Je tente de m'expliquer: 

Si L'IDS/IPS me préviens d'éventuels paquets douteux tentant de traversée mon réseau, celui-ci les blocs et me  notifie gentilement..  Il est certainement capable d'en bloquer une partie mais rien ne confirme qu'il soit capable de tout bloquer à la perfection (nous savons très bien que la perfection n'existe pas). 

Je souhaiterais donc réduire les risques d'attaques potentiels sur mon réseau en ajoutant des règles de par-feu de façon manuelle où intelligente en fonction du type de menace détecté,  Es-ce que quelqu'un fait ça de nos jours où il est préférable clairement de bloquer toutes adresses IP/ports entrant sur le réseau dans le firewall et bien entendu d'ouvrir les portes nécéssaires au fur et à mesure ? 

Dans ces conditions je m'nterroge du coup sur l'intérêt d'un tel produit ...

Partager ce message


Lien à poster
Partager sur d’autres sites

Tu peux appliquer au pare-feu du RT1900ac une configuration similaire à celle proposée par @Fenrir dans son excellent tutoriel :

 

Tu peux par exemple limiter les connexions entrantes aux adresse IP de ton pays de résidence, ça bloque déjà 99% des attaques avant même qu'elles n'atteignent l'IPS.

Avec un pare-feu configuré de manière suffisamment restrictive, l'IPS peut devenir inutile.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 5 heures, InfoYANN a dit :

Le faite de bloquer à un seul pays les connexions entrantes, ça ne bloque pas par exemple, les MAJ de logiciels, les jeux vidéo en ligne etc... ?

Je dirai que ceci se débloque par périphérique au niveau du firewall, mais je peux me tromper n'est-ce pas... 

Un grand merci encore à tout le monde et @PiwiLAbruti pour ces réponses, Je vais me pencher sur la config du firewall plus en détails. Je pense que celui-ci couplé à l'IPS peuvent  faire un excellent travail. L'un préviens et l'autre restreins.  C'est un sujet vraiment passionnant et franchement synology fait un boulot de dingue sur ces produit, De toute manière, il faut que j'actionne car le taux de menace est assez incroyable en seulement quelques jours...

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ce que je reproche au routeur de Synology, c'est le filtre parental qui n'est pas top top. Certains sites passent malgré les url entrées, on ne peut pas mettre plusieurs url en même temps mais une par une etc...

Partager ce message


Lien à poster
Partager sur d’autres sites

j'avoue qu'avant de switcher sur le controle parental du routeur, j'utilisais opendns + le control parental de la freebox. Depuis que je suis passé au syno, il est qd même plus permissif concernant les accès à certains sites. Même, si je bloque tout par défaut. De ce point de vue là, effectivement c'est un peu moins bien.  

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello tout le monde,

Petit retour d'expérience:  Après avoir parcouru le formidable Tuto de Fenrir j'ai pu drastiquement réduire les alertes affichés par l'IPS. Je suis donc en train d'investiguer sur les derniers petit détails et signatures qu'il me reste à comprendre. 

J'ai par exemple celles-ci qui reviennent régulièrement et j'ai encore quelques doutes sur leurs fonction. (Je pense en faite qu'elles sont reliés au trafic NTP qui est pour le moment bloqué via mon firewall, mais je n'en suis pas certain à 100% pour le moment...) Si quelqu'un en sait plus que moi là dessus je reste preneur. 


Type d'événement : Misc Attack
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 435
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 342
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 433

Sévérité : Medium
 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ce message, associé à celui venant de ton lan quelques posts plus haut semble indiquer qu'au moins une des machines de ton réseau fait partie d'un botnet et/ou est infectée par un ransomware..

Un bon contrôle (antivirus/spyware/rookit/...) de tes différentes machines me semble important à faire ... d'urgence.

Modifié par Fenrir

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 15 heures, Fenrir a dit :

Ce message, associé à celui venant de ton lan quelques posts plus haut semble indiquer qu'au moins une des machines de ton réseau fait partie d'un botnet et/ou est infectée par un ransomware..

Un bon contrôle (antivirus/spyware/rookit/...) de tes différentes machines me semble important à faire ... d'urgence.

Merci beaucoups pour toutes ces précisions, et je dois l'avouer Fenrir tu as visé dans le mille. Après un passage de Kaspersky sur l'un de mes posts Windows je suis tombé sur un Trojans de type TheFTProtection.dll ... Une bien mauvaise nouvelle en soit et je ne sais pas depuis quand cela dure le pire ... Je suis donc en train de vérifier pas à pas si je peux tout enlever machine par machine. Apparement l'anti-virus à fait son travail, mais je scan aussi mes autres périphériques histoire d'être sur ...  

Partager ce message


Lien à poster
Partager sur d’autres sites

Et voilà après avoir passé mon week-end a tout désinfecté, je pense avoir détruit une bonne partie des menaces sur mon réseau. L'IPS commence à bien se calmer niveau alertes, cependant j'en ai toujours une qui me met le doute ( je dirai même que c'est la dernière) 
En cherchant sur internet j'hésite vraiment sur quoi faire de celle-ci. Je pense vraiment que c'est une histoire de synchronisation de l'heure, mais si quelqu'un sait exactement ce que c'est je suis tout ouïe. 

Citation

Type d'événement : Misc Attack
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 435
Sévérité : Medium

Vous en pensez quoi vous ? si vous avez des idées, je suis preneur. 

Partager ce message


Lien à poster
Partager sur d’autres sites

Une machine (interne ou externe) essaye de passer par ton routeur (en entrée ou en sortie) pour aller (ou sortir) sur (de) TOR.

Si ça vient de dehors, pas grave, si c'est dans ton LAN et que tu n'utilises pas TOR, tu as encore du ménage à faire.

Partager ce message


Lien à poster
Partager sur d’autres sites

En faite d'après l'IPS ce sont des attaques qui viennent de l'extérieur et qui vise directement mon IP fixe (mon Modem). Pour le reste, je n'ai plus aucune requêtes de ce genre qui traverse mon routeur pour le moment.

Mais, mais ... Du coup je ne rêve pas, ce sont des attaques ciblés vers/du Darknet, non ? TOR c'est le client web qui permet de naviguer sur le darknet si je ne me trompe ? n'est-ce pas ?  

Partager ce message


Lien à poster
Partager sur d’autres sites

Excellent, merci pour toutes ces infos. Effectivement ce sont des abus de language. Je me suis emporté...

En tout cas cette solution IPS/IDS couplé à une bonne configuration du Firewall sur le routeur est quand même pas mal ! Je trouve que cela complète bien la solution. Dire qu'au départ je pensais que ces alertes n'étaient pas fondées et fausses  ... 

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 27/11/2017 à 10:47, klipita a dit :

Excellent, merci pour toutes ces infos. Effectivement ce sont des abus de language. Je me suis emporté...

En tout cas cette solution IPS/IDS couplé à une bonne configuration du Firewall sur le routeur est quand même pas mal ! Je trouve que cela complète bien la solution. Dire qu'au départ je pensais que ces alertes n'étaient pas fondées et fausses  ... 

Bonjour Klipita , je tenterai bien l'utilisation de ce paquet sur mon RT2600ac, avant de faire l'achat d'une carte SD pour passer à l'action aurais-tu la possibilité de me faire un petit retour d'expérience s'il te plait histoire de savoir si "l'investissement" (de temps et d'argent) vaut le coup ?

Merci à toi par avance ;-)

Modifié par Diabolomagic

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement