Conseils pour mise en place sonde + pfsense



  • bonjour

    j'utilise une pcengine avec 3 ports (lan/wan/wlan) + pfsense et je souhaiterais mettre en place une solutions ids (easyids par exemple, si vous connaissez autre chose n'hesiter pas a balancer)

    je ne dispose pas de hub ni de switch supportant le port mirroring mais suis pres a investir mais avant j'ai besoin de savoir comment brancher le tout et pourquoi :)

    www.skynet-solutions.net/easyids/

    merci



  • Faites un minimum de recherche sur ce forum, nous sommes plusieurs à avoir développé ce sujet. Vous trouverez d'autres inforlation sur le forum ixus où j'ai aussi régulièrement traité le sujet.



  • bonjour

    ok je vais rechercher une seconde fois, j'ai du passé a coté
    voici en attendant un schéma de ce que j'envisage de faire



  • N'ayant pas connaissance des risques que vous avez évalué ni de votre politique de sécurité, il est difficile de dire si le placement de la sonde est judicieux dans le lan. Deux remarques cependant. Une attaque se prépare et des signes précurseurs sont potentiellement observables mais surement pas sur l'interface lan du réseau.
    Ensuite, et sans plus d'information, l'existence d'un point d'accès wifi dans la dmz avec le serveur web est, à première vue, un choix pour le moins curieux. A ce stade de la discussion la cohérence sur le plan sécurité m'échappe.



  • effectivement le schema n'est pas genial

    le point d'acces wifi sera plutot isolé dans un vlan a part
    concernant la sonde, je pensais la mettre en dmz

    je dispose d'un serveur vmware esxi dans la dmz avec 2 cartes reseaux et je pensais héberger ma sonde dessus (dans l'hypothese que cela soit faisable)

    le but du jeu est de sécurisé au maximum la partie lan et de pouvoir monitorer les attaques externes

    les regles internes n'autorisent que certains protocoles (http, https, dns, ftp) vers l'exterieur.



  • @hubsd:

    effectivement le schema n'est pas genial

    Le problème c'est surtout le contenu du schéma …

    je ne dispose pas de hub ni de switch supportant le port mirroring

    Par définition, sur un hub cela n'a pas de sens.

    le point d'acces wifi sera plutot isolé dans un vlan a part

    Selon l"usage prévu les solutions ne sont pas les mêmes. Si c'est pour des invités, c'est clairement une zone spécifique qui est nécessaire avec portail captif. Si c'est le réseau de l'entreprise, il faut envisager des solutions de type NAC. Utiliser un vlan ou non n'est qu'un choix de mise en ouvre.

    concernant la sonde, je pensais la mettre en dmz
    je dispose d'un serveur vmware esxi dans la dmz avec 2 cartes reseaux et je pensais héberger ma sonde dessus (dans l'hypothese que cela soit faisable)

    Je ne vois pas l'intérêt de mettre la sonde sur une vm, ou alors il y a d'autres vm sur ESX auquel cas avec deux cartes nous avons des problèmes de sécurité. Une carte pour l'administration d'ESX, une carte pour l'interface en sonde (mode promiscuité) et une carte pour accéder à l'administration d'EasyIDS (par exemple). Cela fait déjà 3 interfaces physiques nécessaires.

    le but du jeu est de sécurisé au maximum la partie lan et de pouvoir monitorer les attaques externes

    Tout le monde commence par écrire cela. Ce qui bien sûr ne veut rien dire. Pour le moment et sur divers points aucune vue d'ensemble cohérente ne se dégage, il est donc difficile de prétendre à la sécurité "maximum" du lan. Lorsque l'on vient à une discussion plus précise on découvre qu'une sécurité relativement laxiste fini par être adoptée.
    Je ne vois pas comment, si votre firewall est bien configuré, vous allez pouvoir observer les préparatifs d'une tentative d'intrusion avec la sonde placée en dmz. A moins que vous estimiez qu'elles viennent principalement du lan ? Mais comme tout cela est très flou dans l'exposé des actifs à protéger et des risques encourus, il est toujours aussi difficile de placer la sonde. Sans parler des règles Snort qu'il faut activer ou non selon ce qui est à protéger.

    les regles internes n'autorisent que certains protocoles (http, https, dns, ftp) vers l'exterieur.

    Cela ne tient pas lieu d'une politique de sécurité. Il est évident que l'autorisation du dns sortant, l'absence de proxy en zone intermédiaire nous éloigne beaucoup de la fameuse sécurité maximum.

    Bref encore beaucoup de travail.


Log in to reply