UP | HOME
LPASRSI

Modules « Système Linux »

Vacations en licence professionnelle « Audit et Sécurité des Réseaux et Systèmes d'Information » à l'antenne de Ifs du pôle de Caen de l'IUT Grand Ouest Normandie

M81 : Détection d’intrusion

TP IDS Crowdsec

Crowdsec est un IDS articulé autour d’une API qui permet de séparer et de répartir aisément les différentes fonctionnalités (sonde-analyse-alerte, décision, blocage). L’implémentation d’une API centrale permet la distribution d’alertes mutualisées (crowd sourced security).

  1. Avant de commencer, arrêter et désactiver fail2ban. Quelle⋅s commande⋅s avez-vous utilisée⋅s ?
  2. Suivre les instructions de la page https://doc.crowdsec.net/docs/getting_started/install_crowdsec pour installer une version à jour. Que pensez-vous de cette méthode d’installation d’un point de vue sécurité ? (Penser aux inconvénients et aux avantages.)
  3. Installer également un bouncer (IPS). Noter le nom des paquetages installés en dépendance.
  4. Lister les règles de filtrage appliquées à la machine. Que constatez-vous ?
  5. Optionnel (mais pratique) : Tester la commande cscli completion bash. Écrire le résultat dans le fichier /etc/bash_completion.d/cscli. Pour finir, lancer source /etc/bash_completion.
  6. Suivre le Crowdsec tour jusqu’à « Upgrading configurations » : https://doc.crowdsec.net/docs/getting_started/crowdsec_tour
    1. Identifier les différents types d’« objets » disponible sur le hub. Quelles sont leurs fonctions ? Comment sont-ils liés les uns aux autres ?
    2. Installer le scénario correspondant à la faille Log4Shell et supprimer le parser whitelist. Quelles commandes avez-vous utilisées ? (Penser à recharger le service après les installation/suppression.)
  7. Déclencher la protection de l’IPS en échouant plusieurs fois à vous connecter au service SSH, pour différentes raisons : mauvais nom d’utilisateur, mauvais mot de passe, voire mauvaise clé…
  8. Lister les alertes et les décisions Crowdsec. Quel est le type d’objet qui apparaît dans la colonne REASON ?
  9. Avec la commande ipset, exminer le contenu de l’ensemble nommé crowdsec-blacklists. Que constatez-vous ? D’où proviennent toutes ces IP ?
  10. Préalable : Installer Docker
  11. Installer le tableau de bord avec la commande sudo -E cscli dashboard setup --listen 0.0.0.0. Noter le nom d’utilisateur et le mot de passe.
  12. Mettre en place un tunnel SSH pour accéder au dashboard. Exemple : pour accéder au serveur web (port 80) de la VM en 192.168.144.2 via l’URL http://127.0.0.1:5000
    • Le compte par défaut est crowdsec@crowdsec.net et le mot de passe est !!Cr0wdS3c_M3t4b4s3??
  13. Identifier le port réseau utilisé par crowdesc (commande ss -lntp).
  14. Identifier les connexions actives sur ces ports. Que constatez-vous ? Quelles conclusions en tirer ? (Lire https://crowdsec.net/blog/multi-server-setup/ pour aller plus loin)