Mise en place d'un IDS
Bonjour,
Un ami m'a demandé de l'aider à mettre en place un IDS au sein du réseau de
son université.
Come il utilise Linux depuis quelques moi deja, je lui ai recommandé une
patate "discrete" faisant tourner snort.
Il doit certainement etre possible sous Linux de mettre en place une machine
dediee a l'IDS qui soit la plus discrete possible, mais mes connaissances
dans ce domaine sont assez limitées. J'ai commencé à installer la machine,
mais je seche un peu sur la config reseau : comment faire pour mettre en
place l'IDS sur la machine sans que celle ci n'aie d'adresse IP (pour qu'on
ne puisse pas l'attaquer directement) ? Je pense qu'il doit y avoir du
bridging quelque part, mais la lecture des Howto a ce sujet ne m'aide pas
beaucoup.
Ou mettriez vous cette machine dans le reseau : avant ou apres le firewall ?
En bridge (les paquets entrent par une carte rx et sortent par une autre
carte rx de la machine IDS) ou "en derivation" ( la machine "sniffe" betement
le reseau, avec sa carte) du reseau ? Comment configurer snort de telle facon
qu'il n'y ait pas besoin d'affecter d'IP a la machine tout en ayant acces au
reseau ? Snort vous semble t il un bon choix ?
Mes questions sont aussi confuses que moi en ce moment ;-)
N'hesitez pas a me communiquer un pointeur ou un document concernant la mise
en place d'un IDS "discret" sous Linux (le but du jeu etant que la machine en
question ait acces a tout le traffic reseau touten etant difficilement
reperable, d'ou la non affectation d'IP).
Merci pour votre aide
Amaury
Reply to: