IDS - comment ça marche ? que faire ?

[klipita]

Bonjour à tous, 

Après avoir installé l'IDS sur mon routeur RT1900 ac, je me rends compte que je suis attaqué en permanence et de toute part sur le réseau Free.
Du coup j'ai des messages d'alertes toutes les 10 minutes et le compteur de menace en Low, médium, High est en train d'exploser. 

• Que puis-je faire pour réduire tout ça ? 
• Y a-t-il possibilité de réduire ces attaques un au minimum  ?

Je suis un peu dubitatif. 

• L'Ids ne servirait qu'à prévenir de la menace rien de plus ...? 
• Même en cochant l'option DROP les menaces, quel est son efficacité exactement ? 
• Est-ce que quelqu'un connaît ce paquet ?  

Bonne journée tout le monde. Si jamais des gens connaîtbien ce software et peuvent un peu plus m'expliquer. 

Bonne journée.

[PiwiLAbruti]

Bienvenu sur internet !

Si tu n'es pas aguerri à la sécurité réseau, je te déconseille l'utilisation de ce paquet. De plus, il peut devenir particulièrement gourmand.

[klipita]

Merci pour le reply Piwi ...

Je pense que je peux m'aguerrir de cet outil à condition que l'on m'explique un peu plus. Je souhaite avant tout savoir les actions à effectuer une fois que l'on à ce genre d'alertes. 

Utilises tu ce paquet toi ?  

[Fenrir]

Commence par nous montrer les alertes en question.

[PiwiLAbruti]

J'ai effectivement testé ce paquet. Mais ayant configuré des règles de pare-feu suffisamment restrictives, ce paquet est devenu inutile.

[Fenrir]

@PiwiLAbruti : c'est juste un IDS ou il sait faire IPS ?

[Einsteinium]

Juste un IDS

[klipita]

Je peux par exemple montrer ceci  : 

Type d'événement : Web Application Attack
Signature : ET WEB_CLIENT Possible HTTP 500 XSS Attempt (External Source)
Sévérité : High
IP source : 192.185.39.232
IP de destination : 192.168.0.1 (une machine de mon réseau (par exemple) ^^)

Type d'événement : Misc Attack
Signature : ET DROP Dshield Block Listed Source group 1
Sévérité : Medium
IP source : 216.158.238.27
IP de destination : 192.168.0.1 

Type d'événement : A Network Trojan was Detected
Signature : ET CNC Ransomware Tracker Reported CnC Server group 72
Sévérité : High
IP source : 192.168.0.1 (plus qu'inquiétant d'ailleurs vu que c'est interne)
IP de destination : 45.33.9.234

Type d'événement : Potentially Bad Traffic
Signature : ET INFO HTTP Request to a *.top domain
Sévérité : Medium
IP source : 192.168.235.16
IP de destination : 91.126.172.5

Je reçois donc toutes ces infos, parfois intéréssantes parfois moins, et c'est à ce moment précis que j'aimerai agir. N'ai-je comme solution que de tout bloquer au niveau du firewall et d'ouvrir service par service ... ? 

Vous en pensez quoi ? que pouvez me conseiller ? 

[PiwiLAbruti]

@klipita : As-tu lu l'aide intégrée au paquet ou celle sur le site de Synology ?

• https://www.synology.com/fr-fr/knowledgebase/SRM/help/IntrusionPrevention/synoips_desc

Le pare-feu de SRM et le paquet Prévention d'intrusion sont complémentaires. Pour faire court, le pare-feu filtre les paquets réseau en se basant uniquement sur les en-têtes (source, destination, protocole, port, ...), il ne se préoccupe pas des données. Un système de détection d'intrusion (IDS) analyse les données des paquets réseau (conformité de protocole applicatif, validation des données, ...) en plus des en-têtes, trace les anomalies, mais ne bloque pas les paquets incriminés. Un IPS fait exactement la même chose qu'un IDS sauf qu'il va bloquer les paquets.

Il y a 10 heures, Einsteinium a dit :

Juste un IDS

En fait l'utilisateur peut choisir s'il veut bloquer ou non les paquets détectés, donc IDS ou IPS au choix.

[klipita]

Dans ma configuration j'ai choisi l'option bloquée les paquets. Du coup, il est plus IPS que IDS. Ce qui en soi est formidable déjà.

De plus,  je suis tout à fait d'accord avec le fait qu'il soit complémentaire au firewall,  C'est justement là-dessus que j'aimerais influer.

Je tente de m'expliquer: 

Si L'IDS/IPS me préviens d'éventuels paquets douteux tentant de traversée mon réseau, celui-ci les blocs et me  notifie gentilement..  Il est certainement capable d'en bloquer une partie mais rien ne confirme qu'il soit capable de tout bloquer à la perfection (nous savons très bien que la perfection n'existe pas). 

Je souhaiterais donc réduire les risques d'attaques potentiels sur mon réseau en ajoutant des règles de par-feu de façon manuelle où intelligente en fonction du type de menace détecté,  Es-ce que quelqu'un fait ça de nos jours où il est préférable clairement de bloquer toutes adresses IP/ports entrant sur le réseau dans le firewall et bien entendu d'ouvrir les portes nécéssaires au fur et à mesure ? 

Dans ces conditions je m'nterroge du coup sur l'intérêt d'un tel produit ...

[PiwiLAbruti]

Tu peux appliquer au pare-feu du RT1900ac une configuration similaire à celle proposée par @Fenrir dans son excellent tutoriel :

 

Tu peux par exemple limiter les connexions entrantes aux adresse IP de ton pays de résidence, ça bloque déjà 99% des attaques avant même qu'elles n'atteignent l'IPS.

Avec un pare-feu configuré de manière suffisamment restrictive, l'IPS peut devenir inutile.

[unPixel]

Le faite de bloquer à un seul pays les connexions entrantes, ça ne bloque pas par exemple, les MAJ de logiciels, les jeux vidéo en ligne etc... ?

[klipita]

Il y a 5 heures, InfoYANN a dit :

Le faite de bloquer à un seul pays les connexions entrantes, ça ne bloque pas par exemple, les MAJ de logiciels, les jeux vidéo en ligne etc... ?

Je dirai que ceci se débloque par périphérique au niveau du firewall, mais je peux me tromper n'est-ce pas... 

Un grand merci encore à tout le monde et @PiwiLAbruti pour ces réponses, Je vais me pencher sur la config du firewall plus en détails. Je pense que celui-ci couplé à l'IPS peuvent  faire un excellent travail. L'un préviens et l'autre restreins.  C'est un sujet vraiment passionnant et franchement synology fait un boulot de dingue sur ces produit, De toute manière, il faut que j'actionne car le taux de menace est assez incroyable en seulement quelques jours...

 

[unPixel]

Ce que je reproche au routeur de Synology, c'est le filtre parental qui n'est pas top top. Certains sites passent malgré les url entrées, on ne peut pas mettre plusieurs url en même temps mais une par une etc...

[klipita]

j'avoue qu'avant de switcher sur le controle parental du routeur, j'utilisais opendns + le control parental de la freebox. Depuis que je suis passé au syno, il est qd même plus permissif concernant les accès à certains sites. Même, si je bloque tout par défaut. De ce point de vue là, effectivement c'est un peu moins bien.  

[klipita]

Hello tout le monde,

Petit retour d'expérience:  Après avoir parcouru le formidable Tuto de Fenrir j'ai pu drastiquement réduire les alertes affichés par l'IPS. Je suis donc en train d'investiguer sur les derniers petit détails et signatures qu'il me reste à comprendre. 

J'ai par exemple celles-ci qui reviennent régulièrement et j'ai encore quelques doutes sur leurs fonction. (Je pense en faite qu'elles sont reliés au trafic NTP qui est pour le moment bloqué via mon firewall, mais je n'en suis pas certain à 100% pour le moment...) Si quelqu'un en sait plus que moi là dessus je reste preneur. 

Type d'événement : Misc Attack
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 435
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 342
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 433
Sévérité : Medium
 

 

[Fenrir]

Ce message, associé à celui venant de ton lan quelques posts plus haut semble indiquer qu'au moins une des machines de ton réseau fait partie d'un botnet et/ou est infectée par un ransomware..

Un bon contrôle (antivirus/spyware/rookit/...) de tes différentes machines me semble important à faire ... d'urgence.

[klipita]

Il y a 15 heures, Fenrir a dit :

Ce message, associé à celui venant de ton lan quelques posts plus haut semble indiquer qu'au moins une des machines de ton réseau fait partie d'un botnet et/ou est infectée par un ransomware..

Un bon contrôle (antivirus/spyware/rookit/...) de tes différentes machines me semble important à faire ... d'urgence.

Merci beaucoups pour toutes ces précisions, et je dois l'avouer Fenrir tu as visé dans le mille. Après un passage de Kaspersky sur l'un de mes posts Windows je suis tombé sur un Trojans de type TheFTProtection.dll ... Une bien mauvaise nouvelle en soit et je ne sais pas depuis quand cela dure le pire ... Je suis donc en train de vérifier pas à pas si je peux tout enlever machine par machine. Apparement l'anti-virus à fait son travail, mais je scan aussi mes autres périphériques histoire d'être sur ...  

[klipita]

Et voilà après avoir passé mon week-end a tout désinfecté, je pense avoir détruit une bonne partie des menaces sur mon réseau. L'IPS commence à bien se calmer niveau alertes, cependant j'en ai toujours une qui me met le doute ( je dirai même que c'est la dernière) 
En cherchant sur internet j'hésite vraiment sur quoi faire de celle-ci. Je pense vraiment que c'est une histoire de synchronisation de l'heure, mais si quelqu'un sait exactement ce que c'est je suis tout ouïe. 

Citation

Type d'événement : Misc Attack
Signature : ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 435
Sévérité : Medium

Vous en pensez quoi vous ? si vous avez des idées, je suis preneur. 

[Fenrir]

Une machine (interne ou externe) essaye de passer par ton routeur (en entrée ou en sortie) pour aller (ou sortir) sur (de) TOR.

Si ça vient de dehors, pas grave, si c'est dans ton LAN et que tu n'utilises pas TOR, tu as encore du ménage à faire.

[klipita]

En faite d'après l'IPS ce sont des attaques qui viennent de l'extérieur et qui vise directement mon IP fixe (mon Modem). Pour le reste, je n'ai plus aucune requêtes de ce genre qui traverse mon routeur pour le moment.

Mais, mais ... Du coup je ne rêve pas, ce sont des attaques ciblés vers/du Darknet, non ? TOR c'est le client web qui permet de naviguer sur le darknet si je ne me trompe ? n'est-ce pas ?  

[Fenrir]

(j'avais commencé à rédiger un truc, mais je viens de tomber sur un lien qui le fait déjà) : https://djan-gicquel.fr/ces-abus-de-langages-qui

et TOR n'est pas "le client web qui ...", c'est juste le nom d'un réseau décentralisé qui passe par Internet.

[klipita]

Excellent, merci pour toutes ces infos. Effectivement ce sont des abus de language. Je me suis emporté...

En tout cas cette solution IPS/IDS couplé à une bonne configuration du Firewall sur le routeur est quand même pas mal ! Je trouve que cela complète bien la solution. Dire qu'au départ je pensais que ces alertes n'étaient pas fondées et fausses  ... 

[Einsteinium]

A la limite pour vérifier le réseau pourquoi pas, mais en permanence bof, cela bouffe en performance.

[Diabolomagic]

Le 27/11/2017 à 10:47, klipita a dit :

Excellent, merci pour toutes ces infos. Effectivement ce sont des abus de language. Je me suis emporté...

En tout cas cette solution IPS/IDS couplé à une bonne configuration du Firewall sur le routeur est quand même pas mal ! Je trouve que cela complète bien la solution. Dire qu'au départ je pensais que ces alertes n'étaient pas fondées et fausses  ... 

Bonjour Klipita , je tenterai bien l'utilisation de ce paquet sur mon RT2600ac, avant de faire l'achat d'une carte SD pour passer à l'action aurais-tu la possibilité de me faire un petit retour d'expérience s'il te plait histoire de savoir si "l'investissement" (de temps et d'argent) vaut le coup ?

Merci à toi par avance ;-)