IPS snort_inline

[DeeVoiD]

Bonjour,

Je souhaite mettre en place un IPS et pour cela, je pense utilisé snort_inline... J'hésitais avec Bro mais il me semble qu'il y a plus de doc / outil / support pour snort_inline.. me tompe-je ? Bref.. j'aimerais avoir quelque renseignement.. Mon réseau est assez simple :

Code: Tout sélectionner


LAN -----------o FIREWALL ---------- WAN
                    o
                    ¦
                    ¦
                    ¦
                   DMZ

les 'o' sont les interfaces que je veux surveiller.. je les ai mise la car je veux surveiller les intrusions sur le LAN (il y a les travaux des utilisateurs) et la DMZ (tout ce qui est en prod)..

Mes questions sont :
1) est-ce que ca pose un problème si j'installe snort_inline sur le firewall ? je ne saurais pas ou le placer autre vu qu'il doit modifié les règle du firewall, il doit bien pouvoir y accéder.. nan ?
2) En parcourant le forum, j'ai souvent vu qu'il fallait mettre en place un honeypot losqu'il y avait un IDS.. Mais vu que c'est un IPS, le honeypot devient inutile ?

Merci d'avance pour vos eclaircissement

[ccnet]

Je ne veux pas vous vexer, mais vu vos messages précédents vous devriez vous tenir à l'écart de cet outils.
Si vous faites une recherche sur Snort dans les forums, principalement ipcop et sécurité sur ixus, vous trouverez de nombreux détails et informations relatifs à l'emploi de Snort. Vous y verrez pourquoi rien sans doute ne justifie dans votre cas l'utilisation d'un tel outils. Il y a sans doute beaucoup mieux et plus à faire pour améliorer votre sécurité que d'installer Snort.

je veux surveiller les intrusions sur le LAN

Mettre la sonde à cet emplacement pour cette raison n'est pas sérieux. Une intrusion se prépare. Si il existe des signes de cette préparation, c'est depuis l'interface Wan qu'ils seront éventuellement visibles. Je dis éventuellement prce qu'il faut encore que sachiez quoi surveiller en fonction de ce que vous estimez être des vulnérabilités sur votre réseau.
Enfin une sonde efficace ne s'installe pas en utilisant l'interface d'un firewall mais via d'autres équipements comme un switch avec un port de copie (Span port) par exemple.

Je ne sais pas quels sont vos objectifs et votre politique de sécurité. Ce dont je suis certain par contre c'est que ce n'est pas ainsi que vous avez une chance de les atteindre pour autant qi'ils soient définis. Ce serait un travail bien plus important (et bien plus productif) que d'installer Snort.

[DeeVoiD]

Bonjour,

Snort-inline doit etre installer sur le firewall, donc comment ne pas utilisé une des ces interfaces ?

Et mettre une sonde sur le coté WAN, ca ne serait pas "inutile", car beaucoup de ces tentatives sera bloqué par le firewall.. ?

Et l'utilisation d'un switch avec le span port, c'est utile pourquoi ? c'est pour avoir toute les communication (firewall -> srv, srv-> srv, ..), au cas ou un serveur a été infecté et essais d'aller sur les autres ?

Pour snort, lorsqu'il est installer sur un port span et qu'il détecte une intrusion et les actions sont 'reject' ou 'sdrop', comment se fait-il qu'il peut ajouter une règle dans iptables pour bloqué ?

Je demande tout ca car j'aimerais vraiment etre sur du fonctionnement et savoir argumenter pourquoi je ne vais pas le mettre en place.. L'admin réseau pensait qu'après avoir été mis en place, il ne faudrait pas surveiller lees logs, que c'était infaillible et ne connaissait pas les faux-positifs..

En tout cas merci pour vos réponses et votre patience.. Et vous ne me vexez pas, je comprend parfaitement après avoir passé la semaine a lire de la doc la dessus que j'ai beaucoup de choses qu'il me manque pour bien le mettre en place..