Forums Sécurité Sécurité

Snort: slave sensor

Le samedi 29 Septembre 2007 à 16:06

Steph

Bonjour,

Je reviens à l'assaut, désolé d'être bête et discipliné, après la
lecture de http://www.certa.ssi.gouv.fr/site/C...index.html
je veux installer un ids selon le shéma suivant. Mes moyens étant
limités, je n'ai pas la possibilé d'avoir une appliance en parefeu, elle
sera remplacée par un routeur avec FW SPI, selon ce shéma donc:
http://www.winsnort.com/data/images/ids.gif

Ma question 1 donc:
Que dois-je mettre comme matériel faisant slave sensor ?

Dans une autre discussion (sur fcre) on m'a parlé de hub ethernet, mais
difficile à trouver parait-il. Est-ce celà?:
<http://www.actn.fr/productlistgen.php?tsearchúMSEARCH&CAT=RE&FAM4&SFA1>

Ma question 2:
Pour l'utilisation de TCPDump, l'installer ainsi convient-il ?

BoxADSL PC + TCPDump Routeur Lan

Ma question 3:
J'ai une sortie DMZ sur mon routeur FW SPI, où je peux mettre un PC avec
un server WEB, FTP, etc, et bien sûr Snort. Est-ce que la totalité du
trafic envoyé vers mon IP va-t-il être reçu par ce PC ? Ou seulement
tout le trafic qui n'a pas été initié par 1 des PC de mon Lan ?

Comme vous le voyez je patauge, mais je veux comprendre/apprendre, et
n'hésitez pas à me reprendre si les termes que j'emploie ne sont pas
appropriés.

Merci pour vos éclaircissement éventuels.

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé

Questions / Réponses high-tech

Poser une question

Vidéos High-Tech et Jeu Vidéo

Google : connectivité fébrile en Chine
Google fait la démonstration en vidéo de problèmes de connectivité expérimentés par...
PES 2013 : video de gameplay E3 2012
Konami dévoile une première vidéo de gameplay de son prochain PES 2013. Cette année...

Plus de vidéos

Téléchargements

Réseau

Snort
Snort permet de détecter toute intrusion dans un réseau informatique.
Utilitaires

MonPoids : surveiller votre poids
Si votre poids vous préoccupe, alors il est peut être temps de faire un régime ! Le...

Plus de téléchargements

Suivez GNT

Vos réponses Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !

Trier par : date / pertinence

Pascal Hambourg

Le 29/09/2007 à 17:12 #877679

Salut,

Dans une autre discussion (sur fcre) on m'a parlé de hub ethernet, mais
difficile à trouver parait-il. Est-ce celà?:

Il faut se méfier de la dénomination, car il n'est pas rare qu'un
soi-disant "hub" soit en réalité un switch. J'ai même vu un "switching
hub" qui était un banal switch. Ici l'absence de support du fast
ethernet 100Base-T* et la présence d'un port BNC et d'un voyant de
collision sont des indices laissant penser qu'il s'agit bien d'un hub.
Mais purée, qu'il est cher ! J'avais payé beaucoup moins pour un hub de
caractéristiques identiques... en 2002. L'inconvénient du hub est le
fonctionnement en 10 Mbit/s half duplex seulement, donc avec des collisions.

Ma question 2:
Pour l'utilisation de TCPDump, l'installer ainsi convient-il ?

BoxADSL --- PC + TCPDump --- Routeur --- Lan

Oui, comme déjà dit dans le forum ethernet. Le plus simple serait que le
PC avec tcpdump fonctionne en pont transparent.

Ma question 3:
J'ai une sortie DMZ sur mon routeur FW SPI, où je peux mettre un PC avec
un server WEB, FTP, etc, et bien sûr Snort. Est-ce que la totalité du
trafic envoyé vers mon IP va-t-il être reçu par ce PC ? Ou seulement
tout le trafic qui n'a pas été initié par 1 des PC de mon Lan ?

Il faut consulter le manuel du routeur. Généralement la DMZ reçoit
seulement le trafic entrant qui n'est pas explicitement destiné à une
autre adresse.

-1 Répondre en citant

Fabien LE LEZ

Le 29/09/2007 à 18:31 #877442

On 29 Sep 2007 15:12:41 GMT, Pascal Hambourg :

sont des indices laissant penser qu'il s'agit bien d'un hub.
Mais purée, qu'il est cher !

Tant qu'à faire, un switch "haut de gamme" avec un port spécialement
prévu ?

Sinon, si on veut du matériel d'une vieille technologie, je recommande
le marché de l'occasion : 2xmoinscher.com et priceminister.com par
exemple. Ça ne m'étonnerait pas que l'OP trouve sur ces sites un hub à
quelques euros.

-1 Répondre en citant

Pascal Hambourg

Le 29/09/2007 à 19:38 #877440

On 29 Sep 2007 15:12:41 GMT, Pascal Hambourg :

sont des indices laissant penser qu'il s'agit bien d'un hub.
Mais purée, qu'il est cher !

Tant qu'à faire, un switch "haut de gamme" avec un port spécialement
prévu ?

Je voulais dire "cher pour ce que c'est" : 74 ¤. Ça se trouve, des
switches avec port miroir à ce prix ?

-1 Répondre en citant

Steph

Le 29/09/2007 à 19:52 #877439

Le 29/09/2007 18:31, Fabien LE LEZ disait:

On 29 Sep 2007 15:12:41 GMT, Pascal Hambourg :

sont des indices laissant penser qu'il s'agit bien d'un hub.
Mais purée, qu'il est cher !

Tant qu'à faire, un switch "haut de gamme" avec un port spécialement
prévu ?

Sinon, si on veut du matériel d'une vieille technologie, je recommande
le marché de l'occasion : 2xmoinscher.com et priceminister.com par
exemple. Ça ne m'étonnerait pas que l'OP trouve sur ces sites un hub à
quelques euros.

En cherchant hub ethernet, j'ai trouvé ça:
http://www.2xmoinscher.com/INFO/detail.asp?id67107
et pléthore sur Price Minister:
http://www.priceminister.com/nav/In...b+ethernet
Quelle spécification exacte doit apparaitre dans le descriptif détaillé
pour que le matos réponde parfaitement à mes besoins ?

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé

-1 Répondre en citant

Nina Popravka

Le 29/09/2007 à 20:03 #877438

On 29 Sep 2007 14:06:53 GMT, Steph

Merci pour vos éclaircissement éventuels.

Si mes souvenirs sont exacts, un de vos buts était d'observer les
méchancetés qui vous agressaient pendant la navigation.
Pour ça, il faut soit que la sonde tourne sur la machine qui navigue,
soit que vous mirroriez le port de la machine en question.
Parce que si la sonde est sur une autre bécane en DMZ, elle risque pas
de voir ce traffic là.
--
Nina

-1 Répondre en citant

Publicité

‹ 12345 › »

Suivre les réponses

Poster une réponse