M81 : Détection d'intrusion
TP évalués :
- Fail2ban, IPS monolithique
- Suricata, NIDS
- CrowdSec, IPS modulaire
- Netcat, pot de miel rudimentaire
- Cowrie, pot de miel SSH
- Analyse de logs avec ElasticSearch
- Décevoir les acteurs de la menace, sur TCP
- Décevoir les acteurs de la menace, sur SSH
- Décevoir les acteurs de la menace, sur le web
Le cas échéant :
- Si vous êtes confrontés au problème de CentOS qui n'est plus maintenu
- Si vous devez installer docker
Pour aller plus loin :
- Coupler fail2ban et cowrie pour rediriger les IP bannies par fail2ban vers cowrie
- Mettre en place du port knocking pour protéger le service SSH,
avec IPtables ou Knockd, voire
nft
- Tester les capacités de contrôle d'intégrité de sudo (digest
verification avec la commande
su
par exemple) - Définir un protocole de test de techniques d'évasion en utilisant suricata et nmap
- Quelle que soit la solution d'IDS mise en place, la configurer
pour détecter les scan TCP de
nmap
- Tester Zeek dans un conteneur Docker, établir un comparatif avec Snort et/ou Suricata (requiert l'installation de Docker)
- Utiliser la base ElasticSearch pour stocker, analyser et présenter les journaux d'évènements de Suricata
- Tester le contrôle d'intégrité avec Tripwire