How to activate Threat Radar selks /Comment activer Threat Radar selks

[Admin-hoc]

Bonjour, Je viens d'installer selks comme système IPS/IDS dans un réseau d'une société j'ai quelques questions à ce sujet :
Peut-on l'utiliser comme Système IPS/IDS ? Comment activer Threat Radar ? Dans le cas où nous souhaitons ajouter des règles snort en plus de celle de suricate comment procède-t-on ? Dans l'attente de votre retour en vous remerciant par avance Cordialement, A.B

Hello, I have just installed selks as an IPS/IDS system in a company network and I have a few questions about it: Can it be used as an IPS/IDS system? How to activate Threat Radar? In case we want to add snort rules in addition to the suricate one, how do we proceed ? We look forward to hearing from you and thank you in advance Thank you very much, AB

[pevma]

This is an option for the commercial solution for which you can request a trial via - https://www.stamus-networks.com/contact-us

[Admin-hoc]

Bonjour,

Je vous remercie pour votre réponse.

J'ai une dernière question concernant le mode IPS , après avoir activé le mode IPS, et quand je suis dans "EveBox je vois bien qu'il a bloqué quelques trafics réseau mais en réalité il n’a rien bloqué, les ping fonctionnent toujours , les brutes-force sur ssh ne sont pas bloqué etc ... voici un 1er exemple :

et voici l'architecture de test :

Pourriez-vous m'aider à savoir pourquoi le trafic réseau n'est pas bloqué réellement s'il vous plait ?

Dans l'attente de votre retour, Bien Cordialement,

########################### Hello,

Thank you for your answer.

I have a last question concerning the IPS mode, after having activated the IPS mode, and when I am in "EveBox" I see well that it blocked some network traffic but in reality it did not block anything, the ping always works, the brute-force on ssh are not blocked etc... here is a 1st example :

and here is the test architecture :

Could you help me to know why the network traffic is not really blocked please ?

Waiting for your feedback, Sincerely, Hello,

[c-x]

D'après le schéma, votre instance de SELKS reçoit une copie du trafic via le Switch. Or, le mode IPS suppose que Suricata soit "inline" pour être un "IPS", c'est à dire que sur votre schéma il faudrait que SELKS soit entre le Switch et le Fortigate. Un peu comme un péage avant d'entrée sur l'autoroute, on à pas le choix, on est obligé d'y passer :)

Ce que vous observez dans EveBox est SELKS faisant un DROP du paquet, sauf que le paquet est une copie du paquet "réel", donc la connection n'est pas réellement DROP-ée.

Une autre approche serait d'utiliser les transformations avec l'action REJECT au lieu de DROP. SELKS resterait en mode IDS, mais lorsqu'un paquet non désiré apparait, il envoit un RST aux src/dest de la communication.

https://scirius.readthedocs.io/en/scirius-2.0.1/ruleset.html#rule-transformations