Journal Utilisation de SNORT + ACID

Posté par  (site web personnel) .
Étiquettes : aucune
0
10
juin
2004
Bonjour journal,

Voila le problème du jour. On me demande d'installer une sonde IDS, tout de suite je pense a SNORT.

Celle ci devra surveiller une connexion Internet de plus de 100Mbits/s et j'ai lu dans plusieurs comparatifs que SNORT était certifié mais pour les réseaux de 10 Mbits/s par ICSA.

Est ce vrai ou serait une simple parade des grands éditeurs tel CISCO et ISS.

Merci journal d'éclairer ma lanterne sur ce problème épineux

  • # voyons

    Posté par  . Évalué à 6.

    Je ne sais pas si c'est vrai, mais j'ai mis en place un tel système et cela marche apparement bien.
    Si tu mets en palce un tel sytème, fais attention à la montée en charge de ta base de données, car si tu as beaucoup d'alertes(si tu ne stockes que les alertes, si tu stock tout, aie...) ton disque pourait saturer a force.

    (il y a aussi un mode pour stocker "rapidement" en cas de gros débit, mais je ne sais plus si cela peut stocker dans une BDD)


    Petite biblio si tu es intéressé et que tu ne le possède pas(très très bon livre):

    Intrusion Detection Systems with Snort (advanced IDS techniques using Snort, Apache, MySQL, PHP and ACID) de Bruce Perens (il y a eu une news là dessus récemment)
    disponible en ebook naturellement :-)

  • # autre solution

    Posté par  (site web personnel) . Évalué à 2.

    au lieu de sonder tout ton traffic à 100M
    tu installes snort sur le(s) serveur(s) -> apt-get install snort
    , ailleurs le traffic est censé être interdit par un firewall et tu centralises les alertes sur la base acid

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.