Bonjour
Je vais posé un IDS sur le réseaux..
ma question :
1) Poser un IDS sur une DMZ ou derriere un firewall ?? (sachant qu'il y'a plusieurs DMZ)
2) Quel sont les paramétres secure à mettre en place sur la machine Linux qui heberge l' IDS ?
Merci pour votre aide
Cdt
Sécurité IDS
Modérateur: modos Ixus
11 messages
• Page 1 sur 1
Sécurité IDS
par lastarHack » 02 Mars 2009 23:19
- lastarHack
- Quartier Maître
- Messages: 13
- Inscrit le: 02 Mars 2009 23:12
par ccnet » 03 Mars 2009 01:30
L'IDS, le retour.
Je recommence. Mais pas tout depuis le début. Faites une recherche sur les forums ixus avec le mot clé snort. Nous sommes plusieurs à avoir donné notre point de vue sur cet outils fort utile au demeurant.
Je vais répondre à votre question :
1. Ni l'un ni l'autre. Ou les deux. Question abrupte réponse abrupte. Si vous avez lu les posts trouvés par la recherche suggérée, ma réponse devrait déjà vous paraître plus claire et bête qu'il ne semble à la première lecture.
Mettons les choses dans l'ordre. Admettons que vous ayez la capacité, sur le plan des ressources humaines, à exploiter un IDS, et que vous ayez aussi les ressources techniques pour le faire. Je viens de parcourir le chapelet de questions que vous avez posté ce jour et la façon dont les questions sont posées me font penser que vous avez les yeux plus gros que le ventre et que "quelques" éléments vous échappent encore, sans doute pour un court instant, le temps de mettre à jour des connaissances représentant quelques milliers de pages de documentation.
Avant d'installer un ids, et sous réserve des deux conditions posées ci dessus, il faudrait que vous ayez évalué les actifs à protéger, et surtout les risques encourus. Ayant répondu à ces question vous sauriez ce qui réclame dans votre réseau la plus grande vigilance. De là vous auriez conçu une architecture en conséquence et en particulier installé des défenses en profondeur. Vous en déduisez les points sensible et donc le ou les endroits où placer les sondes de votre IDS.
Comme nous ne savins rien de tout cela , en ce qui me concerne je ne sais pas répondre à votre question, ou seulement donner la réponse lapidaire qui débute mon message.
Pour éclairer le propos prenons un exemple. Si ce qui vous menace le plus se trouve à l'extérieur du réseau (Internet) alors il vous faut au moins une sonde, ni en dmz, ni derrière le firewall mais devant celui ci. Il est très utile d'observer ce qui se passe devant la porte plutôt que d'être barricadé derrière à écouter les bruits qui filtrent sans savoir ce qui se trame dehors. Vous aurez l'air malin lorsque la porte aura explosé et que vous serez face à un adversaire que ne pouvez contenir. Alors que si vous aviez observé ce qui se passait dehors vous auriez vu les forces se rassembler devant votre porte.
Si votre activité comporte l'utilisation de données sensibles en particulier si elles sont connus des utilisateurs, ou de certains, alors c'est à la sortie du Lan interne qu'il faut placer au moins une sonde afin de découvrir les collaborateurs trop curieux qui rôdent autour des zones réservées.
Ces deux exemples, dont aucun de correspond à votre idée préconçu de la question pour expliquer qu'il n'y a pas de recette.
C'est, pour commencer, une question d'architecture réseau. Les réponses sont dans les liens que j'ai donné lors de discussions précédentes sur le sujet.
Je recommence. Mais pas tout depuis le début. Faites une recherche sur les forums ixus avec le mot clé snort. Nous sommes plusieurs à avoir donné notre point de vue sur cet outils fort utile au demeurant.
Je vais répondre à votre question :
1. Ni l'un ni l'autre. Ou les deux. Question abrupte réponse abrupte. Si vous avez lu les posts trouvés par la recherche suggérée, ma réponse devrait déjà vous paraître plus claire et bête qu'il ne semble à la première lecture.
Mettons les choses dans l'ordre. Admettons que vous ayez la capacité, sur le plan des ressources humaines, à exploiter un IDS, et que vous ayez aussi les ressources techniques pour le faire. Je viens de parcourir le chapelet de questions que vous avez posté ce jour et la façon dont les questions sont posées me font penser que vous avez les yeux plus gros que le ventre et que "quelques" éléments vous échappent encore, sans doute pour un court instant, le temps de mettre à jour des connaissances représentant quelques milliers de pages de documentation.
Avant d'installer un ids, et sous réserve des deux conditions posées ci dessus, il faudrait que vous ayez évalué les actifs à protéger, et surtout les risques encourus. Ayant répondu à ces question vous sauriez ce qui réclame dans votre réseau la plus grande vigilance. De là vous auriez conçu une architecture en conséquence et en particulier installé des défenses en profondeur. Vous en déduisez les points sensible et donc le ou les endroits où placer les sondes de votre IDS.
Comme nous ne savins rien de tout cela , en ce qui me concerne je ne sais pas répondre à votre question, ou seulement donner la réponse lapidaire qui débute mon message.
Pour éclairer le propos prenons un exemple. Si ce qui vous menace le plus se trouve à l'extérieur du réseau (Internet) alors il vous faut au moins une sonde, ni en dmz, ni derrière le firewall mais devant celui ci. Il est très utile d'observer ce qui se passe devant la porte plutôt que d'être barricadé derrière à écouter les bruits qui filtrent sans savoir ce qui se trame dehors. Vous aurez l'air malin lorsque la porte aura explosé et que vous serez face à un adversaire que ne pouvez contenir. Alors que si vous aviez observé ce qui se passait dehors vous auriez vu les forces se rassembler devant votre porte.
Si votre activité comporte l'utilisation de données sensibles en particulier si elles sont connus des utilisateurs, ou de certains, alors c'est à la sortie du Lan interne qu'il faut placer au moins une sonde afin de découvrir les collaborateurs trop curieux qui rôdent autour des zones réservées.
Ces deux exemples, dont aucun de correspond à votre idée préconçu de la question pour expliquer qu'il n'y a pas de recette.
2) Quel sont les paramétres secure à mettre en place sur la machine Linux qui heberge l' IDS ?
C'est, pour commencer, une question d'architecture réseau. Les réponses sont dans les liens que j'ai donné lors de discussions précédentes sur le sujet.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
IDS
par lastarHack » 04 Mars 2009 12:50
Oui , je me doute, je comprend bien que cela a été répété moulte fois..
J'ai juste besoin de votre avis.
J'aimerais quand même votre avis sur l'achitecture suivante :
J’ai 7 dmz sur une batterie de blue pix = Groupe DMZ 1
J’ai 8 dmz sur une batterie de white pix = Groupe DMZ 2
1 patte de chaque pix sur un Lan
1 Lan d’admin derrière un pix ayant une patte sur le lan client
Je vais mettre des IDS de cette façon :
1 IDS avant le firewall 1, 1 IDS entre le FIREWALL1 et le groupe de DMZ 1
1 IDS avant le firewall 2, 1 IDS entre le FIREWALL2 et le groupe de DMZ 2
1 IDS avant le pix du Lan Admin
Pourquoi 1 amont / 1 aval : Il est important d’être alerté avant (avec des filtres convenable) que de s’en apercevoir après, une fois que le fw est traversé !
Monitoring plus cohérent, et plus convaiquant.
Il va biensur avoir des règles, des filtres, un travail de scripting, de dev, pour la visibilité des Amonts / Aval, de notification d’alerte, tout un système carré..
Au total , 7 IDS ( je suis pas allé dans les détails de l’archi…)
Le tout centralisé vers une console..
Pourquoi une telle mise en place ? Nous hébergeons des données trés sensible
J’aimerais avoir votre avis sur cette mise en place..
Cordialement
J'ai juste besoin de votre avis.
J'aimerais quand même votre avis sur l'achitecture suivante :
J’ai 7 dmz sur une batterie de blue pix = Groupe DMZ 1
J’ai 8 dmz sur une batterie de white pix = Groupe DMZ 2
1 patte de chaque pix sur un Lan
1 Lan d’admin derrière un pix ayant une patte sur le lan client
Je vais mettre des IDS de cette façon :
1 IDS avant le firewall 1, 1 IDS entre le FIREWALL1 et le groupe de DMZ 1
1 IDS avant le firewall 2, 1 IDS entre le FIREWALL2 et le groupe de DMZ 2
1 IDS avant le pix du Lan Admin
Pourquoi 1 amont / 1 aval : Il est important d’être alerté avant (avec des filtres convenable) que de s’en apercevoir après, une fois que le fw est traversé !
Monitoring plus cohérent, et plus convaiquant.
Il va biensur avoir des règles, des filtres, un travail de scripting, de dev, pour la visibilité des Amonts / Aval, de notification d’alerte, tout un système carré..
Au total , 7 IDS ( je suis pas allé dans les détails de l’archi…)
Le tout centralisé vers une console..
Pourquoi une telle mise en place ? Nous hébergeons des données trés sensible
J’aimerais avoir votre avis sur cette mise en place..
Cordialement
- lastarHack
- Quartier Maître
- Messages: 13
- Inscrit le: 02 Mars 2009 23:12
par jdh » 04 Mars 2009 13:07
Je ne vois aucun intérêt à installer un IDS avant un firewall.
On ne peut faire cela que quand on a pas confiance dans le paramétrage du firewall.
Et puis cela génère beaucoup trop d'alertes qui ne passent pas le firewall.
Quel est le temps humain disponible pour suivre les alertes IDS ?
AMHA, il manque des "honey pots". Sinon cela n'a pas d'intérêt.
On ne peut faire cela que quand on a pas confiance dans le paramétrage du firewall.
Et puis cela génère beaucoup trop d'alertes qui ne passent pas le firewall.
Quel est le temps humain disponible pour suivre les alertes IDS ?
AMHA, il manque des "honey pots". Sinon cela n'a pas d'intérêt.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 04 Mars 2009 13:08
J’ai 7 dmz sur une batterie de blue pix = Groupe DMZ 1
J’ai 8 dmz sur une batterie de white pix = Groupe DMZ 2
Je ne comprend pas. Le reste non plus d'ailleurs, votre style elliptique n'aide pas. Poster un schéma serait préférable. Je ne sais pas donner n avis sur quelque chose que je ne comprend pas.
Cela dit à défaut de schéma, il n'est pas forcément cohérent ou nécessaire de multiplier les sondes (et non les ids). Des switchs bien configurés permettent de simplifier les choses et de surcroit d'améliorer la sécurité. Les tap box sont aussi utiles.
Nous hébergeons des données trés sensible
Assez étonnant. Les structures confrontées à de tels problèmes ont de telles obligations et par conséquent une telle surface technique et financière qu'elles disposent soit des compétences techniques internes, soit ont les moyens de payer des spécialistes.
Il y a quelque chose qui m'échappe à ce stade.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 04 Mars 2009 13:15
(Je savais que ccnet allait répondre !)
Vous avez entendu parler de court-circuit ?
Il est bien évident que la console devra disposer d'un réseau propre et distinct ...
Des honey pots sont indispensables ! Où sont-ils prévus ?
J'imagine que les clefs d'un réseau aussi complexe et sensible (d'après les témoignages et le peu d'informations) ne sont pas données à quelqu'un d'inexpérimenté.
1 Lan d’admin derrière un pix ayant une patte sur le lan client
Vous avez entendu parler de court-circuit ?
Le tout centralisé vers une console..
Il est bien évident que la console devra disposer d'un réseau propre et distinct ...
Des honey pots sont indispensables ! Où sont-ils prévus ?
J'imagine que les clefs d'un réseau aussi complexe et sensible (d'après les témoignages et le peu d'informations) ne sont pas données à quelqu'un d'inexpérimenté.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
IDS
par lastarHack » 04 Mars 2009 15:10
je vais encore me tapé la honte mais c'est quoi la différence entre la sonde et l'ids ?
- lastarHack
- Quartier Maître
- Messages: 13
- Inscrit le: 02 Mars 2009 23:12
par lastarHack » 04 Mars 2009 15:56
Oui c'est un stage.
La sonde c'est physique ? car j'utilise snort
La sonde c'est physique ? car j'utilise snort
- lastarHack
- Quartier Maître
- Messages: 13
- Inscrit le: 02 Mars 2009 23:12
par ccnet » 04 Mars 2009 16:11
Je crois que vous auriez beaucoup d'informations utiles en allant voir le site de Snort. Il y a pas mal de documentation très intéressante à lire.
Pour faire court : 1 IDS = une sonde (ou plus) + Snort + base de données (MySQL par exemple) + console de gestion (ACID par exemple). Plus quelques outils comme ids Policy Manager par exemple. La liste n'est pas limitative.
Une sonde c'est finalement une carte réseau sans ip en mode promiscuité.
Et bien sur :
car c'est indispensable.
Vous auriez pu annoncer la couleur dès le début, encore que le contenu de la question initiale montrait une évidente inexpérience. Pourquoi tenter de le dissimuler ?
Pour faire court : 1 IDS = une sonde (ou plus) + Snort + base de données (MySQL par exemple) + console de gestion (ACID par exemple). Plus quelques outils comme ids Policy Manager par exemple. La liste n'est pas limitative.
Une sonde c'est finalement une carte réseau sans ip en mode promiscuité.
Et bien sur :
Il est bien évident que la console devra disposer d'un réseau propre et distinct ...
car c'est indispensable.
Oui c'est un stage.
Vous auriez pu annoncer la couleur dès le début, encore que le contenu de la question initiale montrait une évidente inexpérience. Pourquoi tenter de le dissimuler ?
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
11 messages
• Page 1 sur 1
Retour vers Linux et BSD (forum généraliste)
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité