sulimim a écrit:Que faut-il utiliser avec snort pour que ce soit efficace ?
L'IDS ne sert a rien alors ?
L'IDS ne bloque rien quand il est tout seul ?
Alors pourquoi le mettre d'origine dans IPCOP ?
'alute
SNORT est un IDS et ne sert
qu'a la Detection et il remplit excellement son usage...(normalement on devrait piquer la sonde SNORT juste derrière le FW mais ipcop l'intègre très bien et permet de conserver une topographie réseau plus simple)
Pour le "traitement" de ces detections, c'est toi qui agit ou non au besoin ; ou alors tu prends/fais qqch pour te permettre un réponse adaptative à la detection
guardian en est un exemple, regarde aussi du côté de
psad pour un complément.
mais attention, qd on parle de détection, il existe évidement de nombreux faux positifs... ainsi la réponse adaptative si elle est mal configurée peut très rapidement devenir hum... contraignante
Rien ne vaut de passer du temps avec SNORT pour bien mitonner tout çà aux petits oignons sinon çà risque vite de te gonfl** de ne plus pouvoir aller nulle part intempestivement et de devoir constamment débloquer les adresses lockées
Bref, c'est bien... mais faut y passer pas mal de temps pour que ça marche sans trop de soucis au quotidien surtout si tu as pas mal d'utilisateurs/services.
Donc pour de l'adaptatif, réfléchi en fonction de tes besoins et de ta patience
@ Villot : les règles snorts sont des signatures (avérées ou potentielle) d'une activité donnée sur un réseau ; l'arrivé sur ta gw d'une série de packets envoyés avec nmap par exemple, sera enregistrée par snort qui comparera cette "trace" d'activité à celles qu'il connait (les règles) et en fonction il t'indiquera celle qu'il a reconnue avec ce à quoi cette activité s'apparente et son inscidence.
salut 