Petites mises à jour pour la version 3.0, notamment le fichier de paramètres "suricata.yaml".
En 2020 on est passé en 4.1, en 2023 en 6.0 et en 2024 en 7.0.
La surveillance d'un réseau est une condition indispensable de la sécurité. Après le Firewall qui assure une sécurité "passive" il peut être intéressant d'installer un système d'analyse des flux réseau. Le plus connu de ces logiciels dans le domaine OpenSource est Snort et son cochon mascotte.
J'ai déjà installé Snort (paquet Debian standard) avec l'option stockage dans une base Mysql et affichage des résultats à l'aide du logiciel "Base" fourni par le paquet Debian Acidbase.
J'ai découvert dans un magazine (MISC pour ne pas le citer) un nouveau (enfin presque) logiciel effectuant ce type de travail et j'ai décidé de le tester. Petit problème il n'existe pas de paquet Debian et il faut donc charger, compiler et installer tout ce petit monde.
Je n'entrerais pas dans les discussions (vous avez dit troll ?) au sujet d'une lutte (d'influence) entre Snort et Suricata au sujet des performances et de la compatibilité des règles.
Pour mémoire il s'agit de :
- Suricata qui fournit la partie analyse réseau
- Snorby qui fournit l'interface utilisateur (WEB) que j'ai remplacé par un développement personnel Snorbis car ce "vieux" logiciel ne fonctionnait plus avec les dernières versions de Ruby, j'ai donc développé un petit logiciel "Snorbis" qui le remplace.
- Barnyard2 qui interface Suricata et la base de données.
Barnyard2 n'est plus mis à jour et ne fonctionne plus, j'ai développé un interface (Python) pour charger les données dans la base "Snorbis".
Note : Snorby est obsolète et impossible à mettre à jour (utilisation d'une version très ancienne de Ruby) et je prépare une application équivalente baptisée Snorbis (note 2024 : qui fonctionne correctement depuis des années).
Les opérations seront donc séparées en trois parties principales, on installe Snorby avant Barnyard car Snorby initialise la base de données. Cette base est très semblable à celle de Snort ... avec quelques bricoles en plus.
Après un premier test "à blanc" sur un portable (Debian 6.0), le test suivant a été réalisé sur une machine virtuelle "vierge" afin de bien faire ressortir toutes les dépendances.
La MV (avec KVM bien sûr!) a été installée sur une Debian (6.0) a été utilisée pour initialiser cette machine avec le minimum et "gcc4.7" sans oublier "ln -s /usr/bin/gcc4.7 /usr/bin/gcc" et "g++4.7" avec son petit lien en "g++".
En ce qui concerne la gestion des règles je présenterai, peut-être, plus tard quelque chose couvrant ce sujet.