Info sur IDS (références, documentation, conseils)

[Pegazus]

Bonjour, je travaille actuellement sur un projet d'intégration d'une sonde IDS dans un réseau. J'aimerais savoir si certains d'entre-vous connaissent ce domaine et si vous aviez éventuellement des références libraires (livres intéressants) voire des documents sur internet à me conseiller pour mieux maîtriser ce domaine. J'ai déjà trouvé quelques documents, mais j'aimerais étoffer un peu mes connaissances. (Eventuellement si vous avez déjà travaillé sur un tel projet, quels sont les points phares à prendre en compte).



Ps : j'ai posé également cette question sur un autre forum français (un peu moins spécialisé dans la sécu réseau)

edit : voici ce que j'ai déjà trouvé (si ça peut servir à d'autres personnes) :
http://www.snort.org/docs/Architecture% ... S-0.32.pdf
http://www.linuxfocus.org/Francais/May2 ... e292.shtml
http://www.linuxfocus.org/Francais/Arch ... 7-0294.pdf

[vanvan]

Et bien du côté de snort ça me parait un bon début mais tu risques de te retrouver vite avec une tonne de logs à gérer. T'as regardé du côté des ips ?

[vanvan]

Sinon un complément sur tes serveurs, tripwire et des roots-kits.

[Pegazus]

Ma solution IDS est déjà choisie. Il s'agira d'une appliance (sonde hardware) couplée à un serveur qui gérera les logs envoyés par la sonde et agira sur le réseau. Mon étude se base sur où placer la sonde, quelles attaques traiter, quelle finesse adopter pour ne pas avoir trop de faux positifs ou de faux négatifs, dimensionnement de la sonde en fonction du trafic à gérer etc... C'est à ce sujet que j'aurais aimé trouver des infos .

[S0l0]

Si je devais te conseiller un livre http://www.dunod.com/pages/ouvrages/fic ... p?id=47257 l'auteur se connecte regulierement sur le forum de vulnerabilites (desoller pour la pub)

[Pegazus]

Merci du conseil, je vais me renseigner au sujet du livre et sûrement l'acheter