[résolu] Recherche d'information sur les IDS

[alx_the_barbare]

Bonjour,

Je recherche donc des informations precises.
Prenons un cas simple, un reseau local avec SWITCH connecté à une passerelle (avec firewall et tout et tout) puis internet.

Internet ---- passerelle ---- switch ---- reseau local

Comment etre alerté (avec un IDS) d'une attaque interne. Est-ce possible ?

merci de vos reponses


---------------------------------------------------------------------------------


Ouai bah à discuter avec mes collegues j'ai eu la soluce, en fait c'est pas possible d'etre alerté des attaques en interne sauf avec un switch parametrable et du miroring de ports. C'est bien ce que je me disais...


Merci quand meme.

[Methos_Hi]

A quoi sert Internet dans ton architecture pour tracer les attaques internes ??

D'ailleurs les ids détectent les intrusions donc à priori venant de l'extérieur ...
Mais je suis pas au top dans le domaine.

[alx_the_barbare]

Internet sert a rien en fait dans ce cas, c'etais juste pour donner une configuration typique. le principal probleme que je me posais etait la detection d'attaques internes...

Je sais bien que ca n'a pas trop d'interet d'utiliser un IDS en zone sure (ie l'intranet) mais c'est une securité en plus.

[delph_b]

Code: Tout sélectionner

D'ailleurs les ids détectent les intrusions donc à priori venant de l'extérieur

C'est possible de voir les attaques internes avec un IDS !!!
C'est d'ailleurs un avantage par rapport aux firewalls: si une machine interne est infectée et qu'elle esaie d'infecter les autres, tu peux le voir.
Il suffit de bien paramétrer tes règles de remontées d'alertes...

[Methos_Hi]

oui mais dans ce cas, il faut que le trafic passe par la sonde.
Comment fait-elle pour capter le trafic sans devoir en générer davantage dans une architecture à switch, a part les attaques broadcast.

A moins qu'il y est une sonde sur chaque machine.

Cà m'interesse, c'est très interessant en effet pour eviter la propagation d'une attaque venant au départ de l'extérieure mais par exemple encapsulé dans http...

[alx_the_barbare]

Hmmm, EXACTEMENT ça.

Tu pourrais detailler un peu (config materielle)
Mais il faut necessairement utiliser un Hub ou un Switch avec miroring de port, non ?
Parce que si avec un Switch classique, tu fais ca, ca m'interresse:

"si une machine interne est infectée et qu'elle esaie d'infecter les autres, tu peux le voir. "

Merci

[delph_b]

ben en fait, je sais pas trop si j'ai un switch classique, je suis en stage et il me semble les avoir entendu parler de switch mais bon...

désolée

[Methos_Hi]

Nous voilà bien avancés Monsieur Barbare

[alx_the_barbare]

Effectivement Methos_Hi, on est bien avancé.

plus serieusement, je pense pas que ce soit possible de relever le traffic interne avec un switch, sauf en mirroring, c'est ce que tous mes collegues me disent.

Donc, idée à oublier je pense.

Voila.

Bye

[Methos_Hi]

Ben en fait ya un moyen mais çà tue les performances du réseau

Ya des outils qui font en sortent de balancer toutes les adresses mac sur tous les ports du switch et la ton switch c'est un hub ...

[alx_the_barbare]

Net ou utiliser un switch à 200 euros avec miroring de ports (ou il n'y a pas de degradation du reseau)

Mais l'interet reste quand meme grand puisque l'on peut eviter la propagation sur un reseau en interne de virus,...

Ce type de switch me semble donc un bon investissement.

@+

PS: merci pour cette discution Methos, c'est instructif et ça donne des idées...

[Franck78]

Effectivement Methos_Hi, on est bien avancé.

plus serieusement, je pense pas que ce soit possible de relever le traffic interne avec un switch, sauf en mirroring, c'est ce que tous mes collegues me disent.

Donc, idée à oublier je pense.

Voila.

Bye

Et bien tes collègues, c'est pas des bons....

La méthode n'est pas orthodoxe mais parfaitement fonctionnelle.

Avant de switcher, le switch doit apprendre quelles macs sont sur lequel de ces port. Pour cela il fonctionne OBLIGATOIREMENT en hub.
Et toutes ces associations, elles sont rangées ou ? Dans la mémoire...

Et rien de plus facile à saturer que cette mémoire... avec pour conséquence de le faire rebasculer en hub !

[Methos_Hi]

Ben oui c'est a peu près ce qu'on à dit juste entre ton message Franck et la citation.

Le problème étant qu'un hub c'est pas aussi performant qu'un switch (et pour cause). Cà pénalise donc le réseau.