ADC

Intégration des règles Snort

Face aux attaques malveillantes visant les applications Web, il est important de protéger votre réseau interne. Les données malveillantes affectent non seulement vos applications Web au niveau de l’interface, mais les paquets malveillants atteignent également la couche application. Pour surmonter ces attaques, il est important de configurer un système de détection et de prévention des intrusions qui examine votre réseau interne.

Les règles Snort sont intégrées à l’appliance pour examiner les attaques malveillantes dans les paquets de données au niveau de la couche application. Vous pouvez télécharger les règles de sniffage et les convertir en règles de signature WAF. Les signatures sont configurées selon des règles capables de détecter les activités malveillantes telles que les attaques DOS, les dépassements de mémoire tampon, les scans furtifs des ports, les attaques CGI, les sondes SMB et les tentatives d’empreinte digitale du système d’exploitation. En intégrant les règles Snort, vous pouvez renforcer votre solution de sécurité au niveau de l’interface et de l’application.

Configurer les règles de raccourcissement

La configuration commence par le téléchargement des règles Snort, puis par leur importation dans les règles de signature WAF. Une fois que vous avez converti les règles en signatures WAF, elles peuvent être utilisées comme contrôles de sécurité WAF. Les règles de signature basées sur Snort examinent le paquet de données entrant afin de détecter toute attaque malveillante sur votre réseau.

Un nouveau paramètre, « VendorType », est ajouté à la commande d’importation pour convertir les règles Snort en signatures WAF.

Le paramètre « VendorType » est défini sur SNORT uniquement pour les règles Snort.

Téléchargez les règles Snort à l’aide de l’interface de commande

Vous pouvez télécharger les règles de Snort sous forme de fichier texte à partir de l’URL ci-dessous :

https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

Importez les règles Snort à l’aide de l’interface de commande

Après le téléchargement, vous pouvez importer les règles Snort dans votre appliance.

À l’invite de commandes, tapez :

import appfw signatures <src> <name> [-xslt <string>] [-comment <string>] [-overwrite] [-merge [-preservedefactions]] [-sha1 <string>] [-VendorType Snort]

Exemple :

import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort

Arguments :

Src. URL (protocole, hôte, chemin et nom de fichier) correspondant à l’emplacement où stocker l’objet de signatures importé.

Remarque :

L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite une authentification par certificat client pour y accéder. Argument obligatoire de longueur maximale : 2047

Nom. Nom à attribuer à l’objet de signatures sur NetScaler. Argument obligatoire de longueur maximale : 31

Commentaire. Description de la manière de conserver les informations relatives à l’objet de signatures. Longueur maximale : 255 réécritures. Remplacez tous les objets de signatures existants portant le même nom.

Fusionner. Fusionne la signature existante avec les nouvelles règles de signature.

Défactions préservées. Préserve les actions définies des règles de signature.

Type de fournisseur. Fournisseur tiers chargé de générer les signatures WAF. Valeurs possibles : Snort.

Configuration des règles de sniffage à l’aide de l’interface graphique NetScaler

La configuration de l’interface graphique pour les règles Snort est similaire à celle d’autres scanners d’applications Web externes tels que Cenzic, Qualys, Whitehat.

Suivez les étapes ci-dessous pour configurer Snort :

  1. Accédez à Configuration > Sécurité > NetScaler Web App Firewall > Signatures.
  2. Dans la page Signatures, cliquez sur Ajouter.
  3. Sur la page Ajouter des signatures, définissez les paramètres suivants pour configurer les règles Snort.

    1. Format de fichier. Sélectionnez le format de fichier comme externe.
    2. Importer depuis. Sélectionnez l’option d’importation sous forme de fichier de sniff ou d’URL pour saisir l’URL.
    3. Fournisseur de Snort V3. Cochez la case pour importer les règles Snort à partir d’un fichier ou d’une URL.
  4. Cliquez sur Ouvrir.

    Ajouter des signatures

    L’appliance importe les règles Snort sous forme de règles de signature WAF basées sur Snort.

    La meilleure pratique consiste à utiliser des actions de filtrage pour activer les règles de sniffage que vous préférez importer sous forme de règles de signature WAF sur l’appliance.

    Importe des signatures courtes

  5. Pour confirmer, cliquez sur Yes.

  6. Les règles sélectionnées sont activées sur l’appliance.

  7. Cliquez sur OK.
Intégration des règles Snort