IDS / IPS¶
Suricata — Détection d'intrusion réseau¶
Suricata analyse tout le trafic réseau entrant en mode IDS (détection) sur l'interface WAN du firewall.
| Paramètre | Valeur |
|---|---|
| Déploiement | fw-gw, af-packet sur interface WAN |
| Règles | 48 838 règles ET Open |
| Couverture | Scans de ports, exploitation CVE, C2, tunneling DNS, brute force, malware |
| Mise à jour | suricata-update automatique |
| Intégration | eve.json → Wazuh → Shuffle SOAR → MISP + IRIS |
IDS, pas IPS
Suricata fonctionne en mode détection (IDS) — il alerte mais ne bloque pas directement. Le blocage est assuré par CrowdSec et nftables en amont.
CrowdSec — Protection collaborative¶
CrowdSec fonctionne comme un IPS/WAF devant Traefik. Il analyse les logs d'accès et bloque les comportements malveillants.
Architecture¶
graph LR
REQ[Requête HTTP] --> TP[Traefik]
TP --> CS{CrowdSec<br/>Bouncer}
CS -->|IP OK| APP[Application]
CS -->|IP bannie| BAN[403 Forbidden]
CAPI[CAPI Communauté<br/>~4 930 IPs] --> CS
LOGS[Access logs JSON] --> ENGINE[CrowdSec Engine]
ENGINE -->|Décision ban| CSScénarios actifs¶
crowdsecurity/http-cve— 50+ CVE (Log4Shell, Spring4Shell, Fortinet...)crowdsecurity/traefik— scans, probing, crawlingcrowdsecurity/sshd— brute force SSH- Scénarios admin interface, path traversal, XSS, SQLi
Tuning anti faux-positifs¶
| Mesure | Détail |
|---|---|
| Whitelist interne | Tailscale (100.64.0.0/10) + VLANs (10.0.0.0/8) |
| http-probing | Seuil relevé de 10 à 30 (redirections SSO légitimes) |
| Accès secours | Si IP WAN bannée, Tailscale reste fonctionnel |
Tetragon — Monitoring kernel eBPF¶
Tetragon intercepte les appels système au niveau kernel via eBPF. Déployé sur toutes les VMs (sauf iot-ha).
| Ce qu'il détecte | Exemple |
|---|---|
| Exécution de processus | Shell lancé dans un container |
| Outils suspects | nmap, netcat, wget sur bare-metal |
| Accès fichiers sensibles | Lecture de /etc/shadow, id_rsa |
| Contexte container | Process ID, image Docker, parent process |
Complémentarité
Suricata voit le réseau. CrowdSec protège le web. Tetragon voit le kernel. Auditd trace les fichiers. Ensemble, ils couvrent toute la surface d'attaque — du paquet réseau au syscall kernel.