---
timestamp: "00:00"
marker: "!"
title: "Introduction à Open Sense et aux Systèmes de Détection d'Intrusion"
quote: "Aujourd'hui, nous allons continuer notre série de construction de laboratoire virtuel et nous allons revenir à Open Sense."
details:
L'introduction commence par une présentation de l'objectif de la vidéo qui est de montrer comment installer et configurer les fonctionnalités de prévention et de détection d'intrusion avec Open Sense. L'orateur, Lal, explique que cette vidéo fait partie d'une série sur la construction d'un laboratoire virtuel, et que dans une vidéo précédente, il a montré comment configurer le pare-feu et l'interface de prise de vue.
Il définit ce qu'est un système de détection d'intrusion (IDS) : un outil qui peut être installé sur un pare-feu pour détecter des anomalies dans le trafic réseau en utilisant des signatures et des modèles configurés. Un système de prévention des intrusions (IPS) va plus loin en bloquant ou refusant le trafic suspect.
La première étape de la configuration consiste à se connecter au tableau de bord Open Sense et à désactiver certaines fonctionnalités de déchargement dans les paramètres des interfaces. Cette désactivation est recommandée par la documentation d'Open Sense pour assurer le bon fonctionnement du laboratoire.
Lal explique que ces fonctionnalités de déchargement n'affectent pas les performances, donc il est sûr de les désactiver. Il passe ensuite à l'activation des services de détection d'intrusion, en sélectionnant le mode avancé, et en activant le mode IPS et le mode promiscuité.
L'importance des alertes syslog est mentionnée, et Lal explique que le modèle d'algorithme hyperscan sera utilisé pour la correspondance des modèles, car il est plus moderne et optimisé pour les processus actuels. Il souligne l'importance de ne pas avoir trop de faux positifs en choisissant un profil de détection moyen.
La configuration est appliquée uniquement à l'interface LAN pour les besoins du laboratoire, et il est nécessaire de spécifier le sous-réseau du réseau domestique. Les paramètres de journalisation sont également configurés pour déterminer la fréquence de rotation des journaux et le nombre de journaux à conserver.
---
---
timestamp: "00:04"
marker: "!"
title: "Téléchargement et Utilisation des Ensembles de Règles"
quote: "Avec Open Sends, ils nous ont donné quelques options en ce qui concerne les ensembles de règles."
details:
Lal explique qu'Open Sense offre la possibilité de télécharger des ensembles de règles, notamment les ensembles de règles de menaces émergentes qui sont gratuits mais pas fréquemment mis à jour. Il recommande d'utiliser des ensembles de règles professionnels pour une meilleure protection.
Il mentionne la télémétrie Open Threat Pro de Proof Point Cyber Security, qui fournit des règles mises à jour gratuitement à condition de partager des renseignements anonymes sur les menaces. Cela permet d'obtenir un ensemble solide de règles sans coût supplémentaire.
Lal montre comment accéder à l'onglet de téléchargement dans Open Sense pour voir les ensembles de règles disponibles. Il explique que pour utiliser les ensembles de règles professionnels, un plug-in doit être activé, mais il ne montre pas cette procédure dans la vidéo.
Il décide d'écrire une règle personnalisée pour le laboratoire, en utilisant le système d'identifiants et d'adresses IP Surakarta, qui permet l'écriture de règles personnalisées. Il montre une règle qu'il a écrite pour détecter une analyse furtive nmap.
La règle spécifie l'action à prendre, le protocole TCP, et utilise un espace réservé pour le réseau domestique configuré précédemment. Elle génère un message d'alerte pour toute analyse furtive détectée.
Lal explique que nmap, un outil de reconnaissance utilisé par les pirates, sera utilisé pour tester la règle. Il détaille comment la règle recherche une signature particulière lors de l'exécution d'une analyse sur le système.
Il décrit comment Surakarta gère le flux de trafic et les états de connexion, et comment la règle utilise un seuil de 50 requêtes syn pour déclencher une alerte. La règle est classée comme une tentative de reconnaissance avec un ID de signature personnalisable.
---
---
timestamp: "00:11"
marker: "!"
title: "Configuration de la Connexion et Téléchargement des Règles"
quote: "Nous allons maintenant configurer Open Sense pour télécharger cette règle que nous avons créée."
details:
Lal explique que par défaut, Open Sense ne permet pas de créer des connexions SSH, mais cela peut être contourné en activant le shell sécurisé dans le menu système. Il montre comment activer le shell sécurisé et autoriser la connexion de l'utilisateur root.
Il recommande d'utiliser un logiciel comme FileZilla pour établir une connexion SFTP à la machine Open Sense afin d'accéder à sa structure de fichiers. Il guide sur l'installation de FileZilla et la configuration de la connexion SFTP.
Lal montre comment transférer deux fichiers importants sur le serveur Open Sense : un fichier de règles NMAP personnalisé et un fichier map.xml personnalisé. Le fichier XML indique à Open Sense où télécharger les règles.
Il explique comment configurer un serveur HTTP simple sur une machine Kali pour servir le fichier de règles à Open Sense. Cela permet à Open Sense de télécharger et d'ingérer les règles personnalisées.
Lal montre comment redémarrer le service de détection d'intrusion dans Open Sense et vérifier que les règles personnalisées sont installées et activées. Il explique l'importance de la planification pour télécharger régulièrement de nouvelles règles dans un environnement de production.
Il montre comment utiliser l'outil nmap pour exécuter une analyse furtive sur le pare-feu Open Sense et vérifier les alertes générées par la règle personnalisée. Les résultats de l'analyse montrent les ports ouverts et les alertes capturées par Open Sense.
Lal conclut en soulignant l'importance de maintenir les règles à jour et de gérer les faux positifs dans un environnement de production. Il mentionne les impacts potentiels sur les performances du réseau en raison de la surcharge des identifiants et des adresses IP.
---
---
timestamp: "00:24"
marker: "!"
title: "Conclusion et Réflexions Finales"
quote: "Nous avons installé avec succès les identifiants et les adresses IP basés sur cerakoto et open sense."
details:
Lal résume les étapes suivies pour installer et configurer les identifiants et les adresses IP avec Open Sense, en mettant l'accent sur l'écriture et le téléchargement de règles personnalisées.
Il rappelle l'importance de tester les règles avec des outils comme nmap pour s'assurer qu'elles fonctionnent correctement et capturent les menaces potentielles.