Bonsoir,
Une petite interrogation....
Je me demande comment utiliser snort. Si j'ai bien compris, snort analyse le contenu des paquets, vérifie s'il est sain, et en cas d'intrusion détécté, il fait un rapport dans un fichier log.
Les rapports concernent-t-ils les intrusions réussies ou les intrusions tentées?
Et puis après, comment utiliser au mieux les logs?
J'ai donc essayé de me renseigner... J'ai installé guardian, qui devrait bannir les ip des "méchants" mais il me bloque tout même news.google.fr.
Voila si quelqu'un sait utiliser snort, et s'il peut m'aider à comprendre... Ce serait cool.
Merci
Fonctionnement / utilité de snort.
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
Fonctionnement / utilité de snort.
par tuton » 12 Jan 2007 00:48
- tuton
- Second Maître
- Messages: 33
- Inscrit le: 03 Déc 2004 15:33
par ccnet » 31 Jan 2007 01:50
Plutôt qu'un long message, éventullement assortis d'approximations, voire d'erreurs de ma part, je vous recommande la lecture de "Snort et les IDS" http://www.oreilly.fr/catalogue/2841773086 Ou bien le site Snort http://snort.org/
Ce que je peux vous en dire.
Si vous ne configurez pas votre IDS avec les règles adaptées à vos systèmes (inutile de détecter les attaques visant IIS ou SQL server si vous n'avez aucun de ses produits sur votre réseau), vous aurez beaucoup d'alertes inutiles.
Si vous ne regardez pas les logs et alertes très régulièrement, ce n'est pas la peine d'installer Snort. Si ce n'est à titre de formation ou d'exercice. (Très interessant d'ailleur + MySQl + Base : la console indispensable).
Enfin Snort nécessite certaines dispositions potentiellement très spécifiques du point de vue du matériel réseau, ceci selon ce que vous voulez surveiller.
Voir : http://snort.org/docs/iss-placement.pdf
http://snort.org/docs/100Mb_tapping1.pdf
Le travail de Snort consiste à détecter principalement les tentatives d'intrusions, ce qui n' a pas directement à voir avec un "paquet sain" ou la détection de virus, c'est plutôt un ensemble d'actions qui permet à Snort de reconnaitre une tentative. Encore faut il que vos signatures et règles soient à jour et bien configurées.
Tout cela prend du temps. Beaucoup. Tout dépend de l'enjeu.
Ce que je peux vous en dire.
Si vous ne configurez pas votre IDS avec les règles adaptées à vos systèmes (inutile de détecter les attaques visant IIS ou SQL server si vous n'avez aucun de ses produits sur votre réseau), vous aurez beaucoup d'alertes inutiles.
Si vous ne regardez pas les logs et alertes très régulièrement, ce n'est pas la peine d'installer Snort. Si ce n'est à titre de formation ou d'exercice. (Très interessant d'ailleur + MySQl + Base : la console indispensable).
Enfin Snort nécessite certaines dispositions potentiellement très spécifiques du point de vue du matériel réseau, ceci selon ce que vous voulez surveiller.
Voir : http://snort.org/docs/iss-placement.pdf
http://snort.org/docs/100Mb_tapping1.pdf
Le travail de Snort consiste à détecter principalement les tentatives d'intrusions, ce qui n' a pas directement à voir avec un "paquet sain" ou la détection de virus, c'est plutôt un ensemble d'actions qui permet à Snort de reconnaitre une tentative. Encore faut il que vos signatures et règles soient à jour et bien configurées.
Tout cela prend du temps. Beaucoup. Tout dépend de l'enjeu.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité