Au cours des JRES 2015 de Montpellier, j’ai présenté le logiciel IDS/IPS SURICATA à la communauté des administrateurs systèmes et réseaux du ministère de l’enseignement supérieur et de la recherche.
Résumé :
Dans le contexte actuel, où les cyberattaques sont de plus en plus fréquentes, il est illusoire pour toute structure reliée au réseau Internet de penser pouvoir y échapper. Courant novembre 2014, le CERMAV subissait une attaque réussie sur son serveur web institutionnel provoquant une interruption de service de plusieurs heures. Les méthodes utilisées par les pirates auraient sans doute pu être détectées plus rapidement si nous étions équipés d’un système de détection d’intrusion (IDS). D’autant plus que quelques semaines auparavant, au cours des journées sécurité C&esar 2014 à Rennes, nous avions assisté à la présentation d’un IDS, il s’agissait de SURICATA.
Il n’en fallait pas moins pour se décider à franchir le pas et équiper les installations informatiques du laboratoire de ce système. Cependant nous avons rapidement constaté que le flux de données était difficile à traiter sans une interface visuelle, c’est pourquoi nous avons testé plusieurs solutions d’affichage qui vous serons présentées (SELKS &SNORBY).
La mise en place de cet outil a rapidement été rentabilisé
par la détection de machines compromises par des malware ou encore de sites Internet institutionnels utilisant un codage en base 64 pour la protection de leurs mots de passe…
L’objectif de la présentation sera de faire dans un premier temps un balayage des différentes solutions logicielles testées ainsi que leur configuration. Dans un second temps, vous assisterez à un retour d’expérience sur l’utilisation des sondes au cours des derniers mois et les perspectives d’évolutions.
L’article complet sur le site des JRES 2015