Surveillance avec snort

[tempus]

Bonjour à tous,

Voila mon probleme: j'ai installé snort sur un serveurs pour surveiller les autres.
Le probleme est que je suis chez dédibox et mes ip ne se suivent pas comme une plage normale,
Elles sont situées sur plusieurs sous réseaux différents.
Et je remarque que snort ne releve le traffic que sur la machine sur laquelle il est installé.
Mon fichier snort.conf est bien configuré pour surveiller toutes mes adresses:

$HOME_NET [A.B.C.D/32,,A.B.C.E/32,A.B.F.G/32 .... ]

soit adresses reseaux: A.B.C.0 , A.B.C.0 , A.B.F.0
serveur snort étant A.B.F.G

Or une question me vient à l'esprit:
Est il possible avec snort de surveiller le traffic d une adresse ip n'étant pas sur le meme réseau?

Merci pour vos réponses

[ccnet]

Oui.

[tempus]

Ah ok! ^^
alors pkoi lorsque je simule des attaques reseaux je ne vois que des alertes qui concernent mon serveur snort et non les autres serveurs dont les interfaces sont pourtant définis dans mon fichier de conf?

[ccnet]

Comment est assurée la connectivité des différentes machines ?

[tempus]

euh... Il s'agit de serveurs de chez dédibox donc je c pas trop, inter-connexion avec routeur et switch certainement...
je n'ai pas trop d'info sur leur architecture réseau dsl

[ccnet]

Vous pensez mettre en place un outil comme snort sans maitriser l'architecture réseau en place ? Peine perdue ! Il n'est pas difficile de comprendre si, comme c'est très probable, un switch est utilisé, vous ne pouvez évidement rien voir de ce qui ce passe sur les interfaces des autres serveurs.

[tempus]

C vrai vous avez raison... ce n'est pas tres sage.
Il me semblait bien que le probleme venait de ca, du fait qu il n'était pas sur le meme réseau et que les équipements d'inter-connexion bloquait l'analyse.
Maintenant qu'on le dit je ne sais comment j'ai pu ne pas y penser plus tot...

Merci à vous

[ccnet]

Ma première réponse reste valable, mais il faut avoir accès à la configuration switchs. Il faut par ailleurs utiliser des switchs permettant de créer un port de copie (Span port). Ensuite il faut une configuration spécifique de Snort avec deux interfaces dont l'une utilise l'ip 0.0.0.0.
On peut aussi utiliser une tap-box dans certaines situations.

[tempus]

Oui effectivement il faut pouvoir configurer les switchs pour faire du span port ou port mirroring.
Merci pour toutes les infos.

[jdh]

Utiliser Snort sur un serveur dédié (et donc hors de son réseau) n'a guère de sens. C'est certain.

On peut, si on a l'expertise et le temps, utiliser snort dans un réseau interne. (Encore faut-il savoir où l'installer !)

Attention à ne pas confondre surveillance et snort ! En aucun cas snort surveille des serveurs (hérésie !), il peut surveiller des trafics inadéquats quoique passés au travers d'un firewall.