Forum Linux.général Snort

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
1
19
juin
2014

Bonjour,

Je ne sais pas si je suis au bon endroit, veuillez m'excuser si ce n'est pas le cas.

Je souhaiterai mettre en place un IDS (Intrusion Detection System). Nous avons choisis d'installer le logiciel SNORT. Par contre, mon maitre de stage veut que ça soit des vraies sondes et non pas des ordis considérés comme sonde. Après diverses recherches, je n'arrive pas à trouver de sonde pour mon futur IDS SNORT.

Ma question est donc la suivante :

Connaissez-vous des sondes (marques) pour implémenter ce système ?

Merci d'avance

  • # Pas que je sache

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    A ma connaissance, Snort s'installe sur un OS "classique", dans notre cas n'importe quelle distribution GNU/Linux ou BSD. Tu peux dédier une machine pour Snort, et considérer cela comme une vraie sonde, pour peu que son positionnement dans le réseau soit pertinent (en coupure ou en port mirroring).

    Après, si ton entreprise a les moyens, elle peut acheter auprès de Sourcefire (la société qui développe Snort, et qui a été rachetée par Cisco) ou un de ses revendeurs des appliances qui ont le rôle de sonde. Tu n'auras donc pas à installer un OS ou Snort dessus, c'est un système créé par Sourcefire qui sera installé, avec un matériel prévu pour. Il existe probablement d'autres marques proposant des appliances de type sonde IDS, mais je ne les connais pas.

    Il convient alors de comparer les coûts par rapport aux besoins.

    • [^] # Re: Pas que je sache

      Posté par  . Évalué à 1.

      Merci de ta réponse.

      Si j'ai bien compris pour mettre en place SNORT, on l'installe sur un pc (qui peut être considéré comme sonde. Par contre si on veut une "vraie" sonde et non un pc, on achéte un système déjà mis en place donc on ne fait pas l'installation de SNORT.

      Est-ce que j'ai bien compris ?

      J'avoue que j'ai un peu du mal avec ces histoires de "vraies" sondes.

      En tout cas merci de ton explication.

      • [^] # Re: Pas que je sache

        Posté par  . Évalué à 3.

        J'avoue que j'ai un peu du mal avec ces histoires de "vraies" sondes.

        il faut voir la "vraie" sonde
        comme un systeme fermé, certifié par le contructeur,
        avec laquelle tu n'auras qu'une interaction limitée (interface web de configuration par exemple)

        là ou ton PC, tu pourras jouer sur certains reglages plus fin, carte reseau, agregation, trafic shaping, spoof d'adresse mac, etc

      • [^] # Re: Pas que je sache

        Posté par  . Évalué à 1.

        Merci pour l'explication

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.