📍 Guide principal : Réseau d’entreprise : MikroTik, pfSense, OPNsense, FortiGate
Ce tutoriel fait partie d’une série sur le cœur de réseau professionnel. Pour la vue d’ensemble, lisez d’abord le guide principal.
Filtrer le trafic est nécessaire, mais insuffisant face aux attaques modernes : un paquet peut être parfaitement autorisé par le pare-feu tout en transportant une charge malveillante. C’est là qu’intervient la détection d’intrusion. Dans ce tutoriel, vous allez activer Suricata sur OPNsense, le faire passer du simple mode observation (IDS) au mode blocage actif (IPS), et charger des jeux de règles maintenus pour repérer et stopper les menaces réseau en temps réel.
🎯 Ce que vous allez apprendre
- Distinguer concrètement détection (IDS) et prévention (IPS), et savoir laquelle activer en premier.
- Activer Suricata sur OPNsense et choisir les interfaces à surveiller.
- Télécharger, planifier et mettre à jour des jeux de règles fiables (Emerging Threats, Abuse.ch).
- Basculer en mode IPS proprement, en réglant les actions règle par règle pour éviter les faux positifs.
🛠️ Ce que vous allez construire
À la fin, votre pare-feu OPNsense inspectera le trafic en profondeur : il lèvera des alertes sur les comportements suspects, puis bloquera activement les menaces reconnues. Vous saurez lire le tableau des alertes, comprendre pourquoi une règle a déclenché, et ajuster la politique sans couper le trafic légitime.
Prérequis
- Une installation OPNsense fonctionnelle (série 26.1 « Witty Woodpecker » recommandée, embarquant Suricata 8).
- Au moins 4 Go de RAM : l’inspection profonde et les jeux de règles consomment de la mémoire.
- Un accès Internet opérationnel sur le pare-feu pour télécharger les règles.
- Niveau : intermédiaire. Test express : si vous savez naviguer dans l’interface OPNsense et identifier vos interfaces, vous êtes prêt.
- ⏱️ Temps estimé : ~50 minutes.
Étape 1 — Comprendre IDS contre IPS avant de cliquer
Avant toute manipulation, fixons la distinction qui guide tout le reste. Un système de détection d’intrusion (IDS) observe une copie du trafic et lève une alerte quand il reconnaît une signature d’attaque, mais il ne bloque rien : aucun risque de couper une application légitime. Un système de prévention d’intrusion (IPS) est placé dans le chemin du trafic et peut jeter les paquets malveillants, donc protéger réellement — au prix d’un risque : une règle trop agressive ou un faux positif peut bloquer du trafic sain.
La méthode professionnelle découle directement de là : on démarre toujours en IDS, on observe les alertes pendant quelques jours, on identifie les faux positifs propres à son environnement, et seulement ensuite on bascule en IPS en activant le blocage de façon maîtrisée. Brûler cette étape, c’est s’exposer à couper un service métier dès le premier jour et à perdre la confiance des utilisateurs.
Étape 2 — Activer Suricata sur OPNsense
Rendez-vous dans le menu Services → Intrusion Detection → Administration. C’est le tableau de bord central de Suricata sous OPNsense. Cochez la case Enabled pour activer le service, mais ne touchez pas encore au mode IPS : on reste volontairement en détection pour l’instant.
Sous la section générale, plusieurs réglages méritent attention. Le Pattern matcher détermine l’algorithme de correspondance des signatures ; le moteur par défaut est Aho-Corasick, et l’option Hyperscan est plus performante sur les processeurs qui la supportent. Le champ le plus important est la sélection des interfaces à surveiller.
Choisissez l’interface à inspecter. Surveiller le LAN permet de voir le trafic interne tel qu’il est, avant traduction d’adresse, ce qui rend les alertes plus lisibles car elles portent les vraies adresses sources. Surveiller le WAN montre le trafic vu de l’extérieur. Pour débuter, sélectionnez le LAN. Cliquez sur Apply : Suricata démarre en mode détection sur l’interface choisie.
Étape 3 — Télécharger des jeux de règles fiables
Suricata sans règles ne détecte rien : les règles sont les signatures qui décrivent les attaques connues. OPNsense intègre un gestionnaire de jeux de règles dans l’onglet Download. Vous y trouverez plusieurs sources gratuites de qualité, qu’il suffit de cocher.
Les incontournables pour débuter sont le jeu ET Open (Emerging Threats Open), très complet et activement maintenu, ainsi que les listes d’Abuse.ch — notamment les indicateurs de serveurs de commande et de contrôle de logiciels malveillants. Cochez ces sources, puis lancez le téléchargement avec le bouton Download & Update Rules.
Services → Intrusion Detection → Download
[x] ET open/emerging-* (Emerging Threats Open)
[x] Abuse.ch / Feodo Tracker
→ Download & Update RulesLe téléchargement prend un moment selon votre connexion. Une fois terminé, la colonne d’état indique le nombre de règles récupérées pour chaque source. Pensez à planifier une mise à jour automatique : dans System → Settings → Cron, ajoutez une tâche « Download and reload Suricata rules » quotidienne. Des règles jamais actualisées vieillissent vite et laissent passer les menaces récentes.
Étape 4 — Observer les alertes en mode détection
Maintenant que Suricata tourne avec ses règles, laissez-le travailler et consultez ce qu’il voit. L’onglet Alerts liste en temps réel les correspondances : horodatage, adresses source et destination, identifiant de signature (SID) et description de la menace présumée.
C’est l’étape d’apprentissage la plus précieuse. Parcourez les alertes pendant plusieurs jours d’utilisation normale. Vous distinguerez vite deux catégories : les vraies détections (un poste qui contacte une adresse réputée malveillante, par exemple) et les faux positifs propres à votre environnement (une application interne dont le comportement ressemble à une signature). Notez les SID des faux positifs : vous les neutraliserez à l’étape suivante, avant d’activer le blocage. Sans cette phase d’observation, passer en IPS reviendrait à jouer à pile ou face avec la disponibilité de vos services.
Étape 5 — Régler les politiques de règles
OPNsense permet d’agir sur les règles sans éditer de fichiers, via l’onglet Policies (ou directement Rules pour une action ciblée). Une politique définit, pour un ensemble de règles, l’action à appliquer : alert (alerter sans bloquer), drop (jeter le paquet) ou disable (désactiver complètement la règle).
Pour chaque faux positif identifié à l’étape précédente, recherchez son SID dans l’onglet Rules et passez-le en disabled, ou ajustez-le finement. À l’inverse, pour les catégories de menaces sérieuses que vous voulez bloquer (commande et contrôle, exploits connus), créez une politique qui force l’action drop. Cette granularité est exactement ce qui sépare un IPS utile d’un IPS qui paralyse le réseau.
Étape 6 — Basculer en mode IPS
Vous avez observé, nettoyé les faux positifs et défini les actions : il est temps d’activer le blocage. Retournez dans Administration et cochez la case IPS mode. OPNsense 26.1 s’appuie sur le mécanisme divert pour réinjecter le trafic à travers le moteur d’inspection, ce qui s’intègre proprement au pare-feu sans exiger de configuration matérielle particulière.
Services → Intrusion Detection → Administration
[x] Enabled
[x] IPS mode
Interfaces: LAN
→ ApplyAprès application, Suricata ne se contente plus d’alerter : il jette les paquets correspondant aux règles dont l’action est drop. Vérifiez immédiatement que le trafic légitime continue de passer — navigation, messagerie, applications métier. Surveillez l’onglet Alerts : les entrées marquées comme bloquées confirment que l’IPS agit. Si une application légitime cesse de fonctionner, identifiez la règle responsable dans les alertes et repassez-la en alert ou disabled. Ce va-et-vient maîtrisé est normal pendant les premiers jours.
Comment fonctionne une signature
Pour régler intelligemment Suricata, il faut comprendre ce qu’est une règle. Une signature décrit un motif de trafic considéré comme suspect : un protocole, des adresses ou ports, et surtout un contenu à rechercher dans les paquets. Quand le trafic observé correspond au motif, la règle déclenche son action — alerter ou bloquer. Chaque règle porte un identifiant unique, le SID, qui permet de la retrouver, de la désactiver ou d’ajuster son comportement. C’est ce SID que vous notez quand vous repérez un faux positif.
Cette mécanique a une conséquence directe sur la qualité de la détection : une signature trop générique génère beaucoup de bruit (des alertes sur du trafic légitime), tandis qu’une signature trop spécifique risque de manquer des variantes d’attaque. Les bons jeux de règles, comme Emerging Threats, sont le fruit d’un travail constant d’équilibre entre ces deux écueils. C’est pourquoi on ne réinvente pas ses propres signatures au départ : on s’appuie sur des sources maintenues, puis on affine au fil de l’observation. Comprendre qu’une alerte n’est pas une preuve d’attaque, mais une correspondance de motif à interpréter, est la marque d’un administrateur mûr en détection d’intrusion.
Cette lecture change aussi la façon de traiter un incident. Devant une alerte, on ne réagit pas mécaniquement : on examine le contexte — qui parle à qui, est-ce un comportement habituel, la machine concernée est-elle sensible — avant de conclure. Une détection d’intrusion efficace est autant une discipline d’analyse qu’un outil technique.
Dimensionner et maintenir dans la durée
L’inspection profonde a un coût, et l’ignorer mène à des déconvenues. Chaque paquet inspecté est comparé à des milliers de signatures, ce qui sollicite fortement le processeur et la mémoire. Sur un pare-feu modeste qui inspecterait tout le trafic avec tous les jeux de règles activés, le débit peut chuter sensiblement et la latence augmenter. La parade consiste à n’inspecter que les interfaces qui comptent, à n’activer que les catégories de règles pertinentes pour son environnement, et à dimensionner le matériel en conséquence — un processeur supportant Hyperscan fait une vraie différence.
La maintenance, enfin, est ce qui sépare une détection vivante d’une protection en trompe-l’œil. Les menaces évoluent chaque semaine ; un jeu de règles figé devient rapidement aveugle aux attaques récentes. La mise à jour planifiée des règles n’est donc pas une option mais une condition de fonctionnement. De même, on revisite périodiquement la liste des faux positifs neutralisés : une règle désactivée il y a six mois pour une application aujourd’hui retirée devrait être réactivée. Une détection d’intrusion se cultive ; elle ne s’installe pas une fois pour toutes.
🐞 Pièges fréquents
| Symptôme / erreur | Cause probable | Correctif |
|---|---|---|
| Suricata refuse de démarrer | Mémoire insuffisante avec trop de jeux de règles | Augmenter la RAM ou réduire le nombre de catégories actives |
| Aucune alerte ne remonte | Aucune règle téléchargée ou mauvaise interface | Vérifier l’onglet Download et l’interface surveillée |
| Une application interne tombe en IPS | Faux positif bloqué par une règle | Trouver le SID dans Alerts, repasser la règle en alert/disabled |
| Alertes avec adresses traduites peu lisibles | Inspection sur le WAN après NAT | Inspecter le LAN pour voir les vraies adresses sources |
| Règles obsolètes | Pas de mise à jour planifiée | Ajouter une tâche Cron de mise à jour quotidienne |
| Chute de débit après activation | Inspection de tout le trafic sur matériel modeste | Limiter aux interfaces critiques, prévoir un processeur plus puissant |
✅ Récapitulatif
Vous avez activé Suricata sur OPNsense, chargé des jeux de règles maintenus, observé le trafic en mode détection pour repérer les faux positifs, réglé les actions règle par règle, puis basculé en mode prévention pour bloquer activement les menaces. Vous maîtrisez désormais la démarche complète d’un projet IDS/IPS : observer avant de bloquer, ajuster en continu, et tenir les signatures à jour. C’est cette discipline, plus que l’outil lui-même, qui fait l’efficacité d’une détection d’intrusion.
🧾 Aide-mémoire
| Emplacement | Rôle |
|---|---|
| Services → Intrusion Detection → Administration | Activer Suricata, choisir interfaces, mode IPS |
| Onglet Download | Sélectionner et mettre à jour les jeux de règles |
| Onglet Alerts | Lire les détections en temps réel |
| Onglet Rules / Policies | Régler l’action par règle (alert/drop/disable) |
| System → Settings → Cron | Planifier la mise à jour des règles |
| Mode divert | Mécanisme d’inspection en ligne d’OPNsense 26.1 |
💪 À vous de jouer
Activez en plus la catégorie de détection des scans de ports, observez si elle déclenche lors d’un scan de test depuis un poste autorisé, puis décidez si vous la passez en blocage ou la laissez en simple alerte.
Voir une solution
Dans Download, assurez-vous que la catégorie « scan » d’ET Open est active. Lancez un scan depuis un poste de laboratoire vers le pare-feu ; les alertes correspondantes apparaissent dans Alerts. Les scans internes légitimes (outils de supervision) étant fréquents, il est souvent préférable de garder cette catégorie en alert plutôt qu’en drop, pour ne pas gêner les sondes de monitoring. C’est un cas typique où la décision dépend de votre contexte, pas d’une règle universelle.
Tutoriels de la même série
- Installer et configurer pfSense — le pare-feu jumeau d’OPNsense, mêmes fondations FreeBSD.
- MikroTik : VLAN et pare-feu — segmenter pour limiter la portée d’une intrusion.
Pour aller plus loin
- 🔝 Retour au guide principal : Réseau d’entreprise : MikroTik, pfSense, OPNsense, FortiGate
- Documentation officielle : docs.opnsense.org, section « Intrusion Detection and Prevention ».
- Tutoriel suivant suggéré : FortiGate et le VPN IPsec pour relier deux sites.
FAQ
Suricata ralentit-il beaucoup le réseau ?
L’inspection profonde consomme du processeur et de la mémoire. Sur du matériel modeste inspectant tout le trafic, la baisse de débit peut être notable. On limite l’impact en inspectant les seules interfaces critiques et en dimensionnant correctement le matériel.
Faut-il payer pour de bonnes règles ?
Non pour commencer. Les jeux ET Open et Abuse.ch sont gratuits, fiables et largement suffisants pour un premier déploiement. Des abonnements commerciaux existent pour une couverture plus rapide des menaces émergentes, mais ils ne sont pas indispensables.
Pourquoi mes alertes montrent-elles des adresses traduites ?
Parce que vous inspectez le trafic après traduction d’adresse, typiquement sur le WAN. Inspecter le LAN affiche les véritables adresses internes, ce qui facilite l’enquête.
OPNsense ou pfSense pour la détection d’intrusion ?
Les deux utilisent Suricata et offrent des capacités équivalentes. OPNsense met l’accent sur une interface remaniée et une API riche ; le choix relève surtout de la préférence d’administration.
Mots-clés : OPNsense 26.1, Suricata 8, IDS IPS, détection d’intrusion, Emerging Threats, mode divert, jeux de règles, prévention d’intrusion.