Bonjour, ..
Je dois mettre en place un systeme securité pour la société ou je travaille qui permetrai d'analyser les trame s'echangeant entre le reseau localet internet. Il y a quelque temps ils utilisaient Symantec Manhunt , J'hesite a le réutiliser, je me dit qu'il doit y avoir mieux et plus facile ...
J'ai un peu chercher je suis tombé sur " snort" j'imagine qu'il en existe d'autre.. mais je demande quelques consseilles avant de m'engouffrer dans un projet trop compliqué ..
Il serai connecté comme suit :
Internet :: -> HUB -> Firewall -> Reseau Local
-> Snort (ou autre)
D'avance merci
Analyse des traffic sur Reseau local
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
Analyse des traffic sur Reseau local
par Syms » 26 Juil 2006 18:19
- Syms
- Matelot
- Messages: 6
- Inscrit le: 26 Juil 2006 18:12
par trance-maniac » 27 Juil 2006 09:33
Salut !!!
Tout d'abord, snort est un IDS (Intrusion Detection System). C'est une bonne solution pour connaitre tout le traffic qui passe sur ton réseau. En fait, il s'agit d'une sonde placé sur une interface réseau (en l'occurence l'interface qui relie ton réseau local au firewall). Elle met ton interface en mode "promiscuous" : c'est à dire qu'elle récupère toutes les infos qui transitent, même si elles ne lui sont pas destinées. De plus, un moteur de règles très puissant analyse chacune de ces trames et permet de juger si elles doivent être interprétées comme un traffic anormal.
Snort est plus un outil de statistiques pour l'administrateur. Couplé avec des outils d'analyse de logs, comme BASE (http://secureideas.sourceforge.net/) ou ACID (le prédecesseur de BASE : http://acidlab.sourceforge.net/), l'administrateur peut disposer de graphiques, voir les informations les plus pertinentes (15 dernières alertes, IP source la plus référencée lors des alertes, etc...). Mais bien régler le moteur de règles pour avoir un minimum de fausses alertes reste un art minutieux
Dans le même genre, tu peux trouver Prelude (http://www.prelude-ids.org/). Un autre projet concurrent, et qui réutilise le moteur de règles que Snort en plus du sien.
Si tu veux réaliser de la sécurité, tu peux être intéressé par un proxy filtrant (par exemple Squid : http://www.squid-cache.org/ avec SquidGard : http://www.squidguard.org/) ou par un proxy antivirus pour le HTTP (une discussion est en cours à ce sujet : http://forums.fr.ixus.net/viewtopic.php?t=34597) ou pour le FTP (comme frox : http://frox.sourceforge.net/)
En espérant t'avoir éclairé
Tout d'abord, snort est un IDS (Intrusion Detection System). C'est une bonne solution pour connaitre tout le traffic qui passe sur ton réseau. En fait, il s'agit d'une sonde placé sur une interface réseau (en l'occurence l'interface qui relie ton réseau local au firewall). Elle met ton interface en mode "promiscuous" : c'est à dire qu'elle récupère toutes les infos qui transitent, même si elles ne lui sont pas destinées. De plus, un moteur de règles très puissant analyse chacune de ces trames et permet de juger si elles doivent être interprétées comme un traffic anormal.
Snort est plus un outil de statistiques pour l'administrateur. Couplé avec des outils d'analyse de logs, comme BASE (http://secureideas.sourceforge.net/) ou ACID (le prédecesseur de BASE : http://acidlab.sourceforge.net/), l'administrateur peut disposer de graphiques, voir les informations les plus pertinentes (15 dernières alertes, IP source la plus référencée lors des alertes, etc...). Mais bien régler le moteur de règles pour avoir un minimum de fausses alertes reste un art minutieux
Dans le même genre, tu peux trouver Prelude (http://www.prelude-ids.org/). Un autre projet concurrent, et qui réutilise le moteur de règles que Snort en plus du sien.
Si tu veux réaliser de la sécurité, tu peux être intéressé par un proxy filtrant (par exemple Squid : http://www.squid-cache.org/ avec SquidGard : http://www.squidguard.org/) ou par un proxy antivirus pour le HTTP (une discussion est en cours à ce sujet : http://forums.fr.ixus.net/viewtopic.php?t=34597) ou pour le FTP (comme frox : http://frox.sourceforge.net/)
En espérant t'avoir éclairé
Why did I make a GNU/Linux Test Environment? Just For Fun (Linus Torvalds)
-
trance-maniac - Second Maître
- Messages: 37
- Inscrit le: 13 Mai 2004 16:29
- Localisation: Rennes, France
par Syms » 27 Juil 2006 09:53
Merci de m'avoir deja plus eclairé.
Pour les proxy on en a deja qui fonctionne il me faut vraiment une analyse du traffic et de ce qu'il se transmet, ainsi que des attaque, ( meme si on a deja un firewall)
Au fait c'est surtout pour remplacer un appliance de symantec, .. un ptit peu d'economie...
Je vais me lancer dans le snort alors je pense...
Si quelqu'un imagine encre d'autres solutions...
Pour les proxy on en a deja qui fonctionne il me faut vraiment une analyse du traffic et de ce qu'il se transmet, ainsi que des attaque, ( meme si on a deja un firewall)
Au fait c'est surtout pour remplacer un appliance de symantec, .. un ptit peu d'economie...
Je vais me lancer dans le snort alors je pense...
Si quelqu'un imagine encre d'autres solutions...
- Syms
- Matelot
- Messages: 6
- Inscrit le: 26 Juil 2006 18:12
3 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)