Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Conseils pour mise en place sonde + pfsense

    Français
    2
    6
    3.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hubsd
      last edited by

      bonjour

      j'utilise une pcengine avec 3 ports (lan/wan/wlan) + pfsense et je souhaiterais mettre en place une solutions ids (easyids par exemple, si vous connaissez autre chose n'hesiter pas a balancer)

      je ne dispose pas de hub ni de switch supportant le port mirroring mais suis pres a investir mais avant j'ai besoin de savoir comment brancher le tout et pourquoi :)

      www.skynet-solutions.net/easyids/

      merci

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Faites un minimum de recherche sur ce forum, nous sommes plusieurs à avoir développé ce sujet. Vous trouverez d'autres inforlation sur le forum ixus où j'ai aussi régulièrement traité le sujet.

        1 Reply Last reply Reply Quote 0
        • H
          hubsd
          last edited by

          bonjour

          ok je vais rechercher une seconde fois, j'ai du passé a coté
          voici en attendant un schéma de ce que j'envisage de faire

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            N'ayant pas connaissance des risques que vous avez évalué ni de votre politique de sécurité, il est difficile de dire si le placement de la sonde est judicieux dans le lan. Deux remarques cependant. Une attaque se prépare et des signes précurseurs sont potentiellement observables mais surement pas sur l'interface lan du réseau.
            Ensuite, et sans plus d'information, l'existence d'un point d'accès wifi dans la dmz avec le serveur web est, à première vue, un choix pour le moins curieux. A ce stade de la discussion la cohérence sur le plan sécurité m'échappe.

            1 Reply Last reply Reply Quote 0
            • H
              hubsd
              last edited by

              effectivement le schema n'est pas genial

              le point d'acces wifi sera plutot isolé dans un vlan a part
              concernant la sonde, je pensais la mettre en dmz

              je dispose d'un serveur vmware esxi dans la dmz avec 2 cartes reseaux et je pensais héberger ma sonde dessus (dans l'hypothese que cela soit faisable)

              le but du jeu est de sécurisé au maximum la partie lan et de pouvoir monitorer les attaques externes

              les regles internes n'autorisent que certains protocoles (http, https, dns, ftp) vers l'exterieur.

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                @hubsd:

                effectivement le schema n'est pas genial

                Le problème c'est surtout le contenu du schéma …

                je ne dispose pas de hub ni de switch supportant le port mirroring

                Par définition, sur un hub cela n'a pas de sens.

                le point d'acces wifi sera plutot isolé dans un vlan a part

                Selon l"usage prévu les solutions ne sont pas les mêmes. Si c'est pour des invités, c'est clairement une zone spécifique qui est nécessaire avec portail captif. Si c'est le réseau de l'entreprise, il faut envisager des solutions de type NAC. Utiliser un vlan ou non n'est qu'un choix de mise en ouvre.

                concernant la sonde, je pensais la mettre en dmz
                je dispose d'un serveur vmware esxi dans la dmz avec 2 cartes reseaux et je pensais héberger ma sonde dessus (dans l'hypothese que cela soit faisable)

                Je ne vois pas l'intérêt de mettre la sonde sur une vm, ou alors il y a d'autres vm sur ESX auquel cas avec deux cartes nous avons des problèmes de sécurité. Une carte pour l'administration d'ESX, une carte pour l'interface en sonde (mode promiscuité) et une carte pour accéder à l'administration d'EasyIDS (par exemple). Cela fait déjà 3 interfaces physiques nécessaires.

                le but du jeu est de sécurisé au maximum la partie lan et de pouvoir monitorer les attaques externes

                Tout le monde commence par écrire cela. Ce qui bien sûr ne veut rien dire. Pour le moment et sur divers points aucune vue d'ensemble cohérente ne se dégage, il est donc difficile de prétendre à la sécurité "maximum" du lan. Lorsque l'on vient à une discussion plus précise on découvre qu'une sécurité relativement laxiste fini par être adoptée.
                Je ne vois pas comment, si votre firewall est bien configuré, vous allez pouvoir observer les préparatifs d'une tentative d'intrusion avec la sonde placée en dmz. A moins que vous estimiez qu'elles viennent principalement du lan ? Mais comme tout cela est très flou dans l'exposé des actifs à protéger et des risques encourus, il est toujours aussi difficile de placer la sonde. Sans parler des règles Snort qu'il faut activer ou non selon ce qui est à protéger.

                les regles internes n'autorisent que certains protocoles (http, https, dns, ftp) vers l'exterieur.

                Cela ne tient pas lieu d'une politique de sécurité. Il est évident que l'autorisation du dns sortant, l'absence de proxy en zone intermédiaire nous éloigne beaucoup de la fameuse sécurité maximum.

                Bref encore beaucoup de travail.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.