Principalement, nous distinguons deux cat\u00e9gories de syst\u00e8mes de d\u00e9tection
\nd\u2019intrusion :
\nLe premier type est form\u00e9 par les d\u00e9tecteurs d\u2019intrusion bas\u00e9s sur l\u2019h\u00f4te (HIDS), ceux-ci analysent et contr\u00f4lent uniquement l\u2019activit\u00e9 et les informations de l\u2019h\u00f4te sur lequel est nstall\u00e9 le HIDS et assurent ainsi seulement la s\u00e9curit\u00e9 de l\u2019h\u00f4te en question.<\/p>\n
La deuxi\u00e8me cat\u00e9gorie est form\u00e9e par les d\u00e9tecteurs d\u2019intrusion r\u00e9seau (NIDS), ceux-ci observent et analysent le trafic r\u00e9seau, cherchent des indicateurs d\u2019attaques et envoient des alertes.
\nSNORT, logiciel open source se situe dans la deuxi\u00e8me cat\u00e9gorie des IDS.<\/p>\n
La premi\u00e8re question qui se pose lorsqu’on d\u00e9cide de d\u00e9ployer une sonde sur son r\u00e9seau est son emplacement.<\/p>\n
\u00ab\u00a0O\u00f9 je la mets ma sonde ???\u00a0\u00bb Et la je vous r\u00e9pond dans ton cul<\/strike> \u00e7a d\u00e9pend.<\/p>\n
En g\u00e9n\u00e9ral, 3 endroits sont d\u00e9sign\u00e9s pour cela :<\/p>\n
dans cette position, la sonde occupe une place de premier choix dans la d\u00e9tection des attaques de sources ext\u00e9rieures visant votre r\u00e9seau.<\/p>\n
SNORT pourra alors analyser le trafic qui sera \u00e9ventuellement bloqu\u00e9 par le Firewall.<\/p>\n
Les deux inconv\u00e9nients de cette position du NIDS sont:<\/p>\n
primo, le risque engendr\u00e9 par un trafic tr\u00e8s important qui pourrait entra\u00eener une perte de fiabilit\u00e9 et secondo, \u00e9tant situ\u00e9 hors du domaine de protection du firewall, le NIDS est alors expos\u00e9 \u00e0 d’\u00e9ventuelles attaques pouvant le rendre inefficace.<\/p>\n
dans cette position, la sonde peut d\u00e9tecter tout le trafic filtr\u00e9 par le Firewall et qui a atteint la zone DMZ. Cette position de la sonde permet de surveiller les attaques dirig\u00e9es vers les diff\u00e9rents serveurs de votre r\u00e9seau accessibles de l\u2019ext\u00e9rieur.<\/p>\n
L\u00e0, vous d\u00e9tecter le trafic qui a \u00e9t\u00e9 valid\u00e9 par le Firewall mais \u00e9galement les attaques internes (je sais, chez vous, \u00e0 moins d’\u00eatre schyzo, peu de chances de vous auto-attaquer.)<\/p>\n
Personnellement, j’opte pour la premi\u00e8re solution et je vous expliquerais comment optimiser les \u00e9critures MySQL avec un module suppl\u00e9mentaire.<\/p>\n
Sur le serveur h\u00e9bergeant SNORT, je d\u00e9die une carte r\u00e9seau \u00e0 la sonde.<\/p>\n
Pour renifler le trafic, vous avec le choix :<\/p>\n
Dans ce cas, pas de soucis, tout le trafic est dupliquer sur tout les ports du HUB, il suffit de brancher la sonde dessus.<\/p>\n
Dans ce cas, ou vous placer un hub entre votre modem\/routeur exterieur et votre Switch et sur lequel vous brancherez la sonde, ou vous utilisez un boitier TAP (voir ici<\/a>) .<\/p>\n Entre nous, le hub vous coutera moins cher \ud83d\ude09<\/p>\n Sur les Catalyst (gamme de switch Cisco), vous pouvez d\u00e9finir un des ports en mode mirroir et lui dire quels autre ports il doit dupliquer le trafic.<\/p>\n Le terme CISCO est SPAN pour Switched Port Analyser.<\/p>\n Exemple pour passer l’interface 1 d’un switch type 2900 en mode SPAN :<\/p>\n Voila, l’interface 1 \u00e9coute tout le trafic cicurlant sur les interfaces 2 et 5.<\/p>\n Si vous voulez \u00e9couter un VLAN entier :<\/p>\n Magique non ?…<\/p>\n Pour v\u00e9rifier vos configs :<\/p>\n Bien, maintenant que vous savons o\u00f9 positionner notre sonde, pr\u00e9parons la carte r\u00e9seau (remplacer eth4 par la votre) :<\/p>\n L’option -arp demande \u00e0 la carte de ne pas r\u00e9pondre aux requ\u00eates ARP (j’aime assez la discr\u00e9tion \ud83d\ude42 )<\/p>\n Eviter \u00e9galement d’affecter une adresse IP \u00e0 la carte, cela ne sert \u00e0 rien.<\/p>\n Un petit tour chez SNORT pour t\u00e9l\u00e9charger la derni\u00e8re version :<\/p>\n http:\/\/www.snort.org\/dl\/ <\/a><\/p>\n R\u00e9cuperer \u00e9galement la derni\u00e8re release de Barnyard<\/a> , nous nous en servirons plus tard.<\/p>\n A suivre…<\/p>\n","protected":false},"excerpt":{"rendered":" Principalement, nous distinguons deux cat\u00e9gories de syst\u00e8mes de d\u00e9tection d\u2019intrusion : Le premier type est form\u00e9 par les d\u00e9tecteurs d\u2019intrusion bas\u00e9s sur l\u2019h\u00f4te (HIDS), ceux-ci analysent et contr\u00f4lent uniquement l\u2019activit\u00e9 et les informations de l\u2019h\u00f4te sur lequel est nstall\u00e9 le … Read More \n
Switch(config)#interface fastethernet 0\/1<\/strong><\/pre>\n
Switch(config-if)#port monitor fastethernet 0\/2<\/strong><\/pre>\n
Switch(config-if)#port monitor fastethernet 0\/5<\/strong><\/pre>\n
Switch(config-if)#port monitor vlan 1<\/strong><\/pre>\n
Switch#show port monitor<\/strong>\r\n\r\nMonitor Port Port Being Monitored\r\n\r\n--------------------- ---------------------\r\n\r\nFastEthernet0\/1 VLAN1\r\n\r\nFastEthernet0\/1 FastEthernet0\/2\r\n\r\nFastEthernet0\/1 FastEthernet0\/5\r\n\r\nFastEthernet0\/4 FastEthernet0\/3\r\n\r\nFastEthernet0\/4 FastEthernet0\/6<\/pre>\n
\/sbin\/ifconfig eth4 up\r\n\r\n\/sbin\/ifconfig eth4 -arp<\/pre>\n
<\/pre>\n
<\/pre>\n