Installation SNORT



  • Bonjour

    j'ai téléchargé le package SNORT mais comment l'installer sur pfsense tenant compte que je travaille sur une machine WMware.

    Merci.



  • Salut
    Je l ai pas fais via vmware, mais je pense que ca passe.
    tu va dans le menu package de pfsense et la tu va trouve snort et ca s installe tout seul:
    :D
    a+



  • (Oui je suis un rabat-joie !)

    Un, il est à fortement déconseillé d'installer un firewall sur un hôte de virtualisation !

    Deux, Snort est un outil parfait "sur le papier" mais qui n'a d'intérêt QUE si on a des ressources techniques et humaines GENERALEMENT inexistantes !

    Firewall vs virtualisation :
    Pour tester un firewall en mode maquette, la virtualisation est bonne.
    Attention au support réseau fourni par la virtualisation (switchs virtuels, …) qui complique la perception !
    Mais, en prod, il n'est ABSOLUMENT pas question de mettre un firewall en VM : la faille de l'hôte mettrait tout par terre.
    La règle est simple : on ne met sur un hôte que des VM situées dans la même zone. Point barre.

    Snort :
    S'il est intéressant de recevoir une alerte pour un paquet douteux,
    encore faut-il savoir en quoi le paquet est douteux (que faire avec une requête dns avec flags incorrects ?),
    et encore faut-il réagir immédiatement (aucun intérêt de réagir le lundi après-midi pour un paquet arrivé le vendredi soir !),
    Vous travaillez dans une petite structure alors vous n'avez sans doute pas l'expertise et la disponibilité nécessaire à l'exploitation correcte de ce type d'outil.
    A commencer par ne pas placer un ids sur un firewall !



  • En fait, je suis en train de tester le pfsense 1.2.2, c pr ça que j utilise le VMWare.

    1- je ne trouve aucun package sous le menu system/packages , j 'ai un message " Unable to communicate to pfSense.com. Please check DNS, default gateway, etc. ", cela veut dire que j'ai besoin d'une connexion internet.
    Comment le configurer pour qu'il ait cette connexion sachant que je me connecte a partir de ma machine physique via un proxy ?

    2-j'ai essayé d'installer snort mauellement a partir du shell via un serveur web et la commande pkg_add -r http://@IP/…/snort-2.8.2.1_1.tbz, ça marche bien l'iinstallation mais je n'arrive pas à démarrer ou tester snort!!!!! Comment pourrais je y accéder à partir de l'interface graphique du pfsense.

    Merci pou m'aider



  • Attention au support réseau fourni par la virtualisation (switchs virtuels, …) qui complique la perception !

    J'écrivais cela totalement par hasard. Beh non ! C'est la difficulté de la virtualisation : chaque solution (VMware, Xen, KVM, …) ses contraintes !
    En fait, c'est presque plus difficile de tester dans un contexte virtualisé. Mais ça gagne à ne pas utiliser un pc complet (avec effacement du disque, …)

    (Moi cela ne pose pas de problème : ça fait 10 ans que je configure des firewalls !)

    Ajouter le paquet à la mano, c'est pathétique !
    Ne vaudrait-il pas mieux faire fonctionner NORMALEMENT le firewall avant d'installer un paquet ?

    Suis-je illisible quand j'explique l'inutilité de ce paquet Snort (présent tant sur pfSense que sur Ipcop) ?
    Suis-je compris quand je parle des ressources nécessaires pour que Snort ait le moindre intérêt ?

    Tester pfsense, pourquoi pas ? Et c'est plutôt bien de faire une maquette.
    Mais pourquoi ce besoin de Snort ? (Alors que Snort N'EST PAS à sa place sur un firewall ?)



  • Bonsoir

    "Suis-je illisible quand j'explique l'inutilité de ce paquet Snort (présent tant sur pfSense que sur Ipcop) ?  Suis-je compris quand je parle des ressources nécessaires pour que Snort ait le moindre intérêt ?"
    ==> j ai bien lu ce que vous venez de dire, mais comme je travaillons dans un grand organisme très sensible ou la moindre intrusion compte, je suis intéressé à étudier Snort ainsi que le bénéfit que j en peux tirer (Vous travaillez dans une petite structure alors vous n'avez sans doute pas l'expertise et la disponibilité nécessaire à l'exploitation correcte de ce type d'outil : qui vous a di ça).
    En plus de tout ça, j ai mon boss qui insiste a ce que je configure Snort….....vous voyez!



  • Quoi qu'il en soit ou ce que vous voulez en faire:

    • mini dual Core > 2ghz
    • mini 2 Go RAM
      Si vous souhaitez avoir des performances convenables.


  • j ai bien lu ce que vous venez de dire, mais comme je travaillons dans un grand organisme très sensible ou la moindre intrusion compte, je suis intéressé à étudier Snort ainsi que le bénéfit que j en peux tirer

    Raison de plus pour ne pas l'installer … sur Pfsense mais à côté sur une machine dédiée, sans ip, avec un switch comportant un port de copie, etc ... Bref avec toutes les précautions indispensables si vous êtes si sensible.

    En d'autres termes vous faites état d'un degré de sensibilité très fort. Vous êtes le mieux placé pour nous le dire. La conséquence logique c'est qu'il vous faut une plateforme de détection solide (non détectable, si ça exsite ), puissante (ne pas manquer de paquets). Ce qui est l'inverse de se qui va se passer si vous l'installez sur Pfsense.

    En plus de tout ça, j ai mon boss qui insiste a ce que je configure Snort….....vous voyez!

    Est ce une raison pour l'installer mal ? C'est à dire sur Pfsense.

    Si vous cherchez ici, nous sommes plusieurs à avoir posté pas mal de chose, notament des liens vers des documents très détaillés sur la mise en ouvre de Snort et d'outils additionnels qui sont pratiquement indispensables à un début d'usage efficace.
    Après il faut regarder les logs et les alertes quasiment en direct. Tous les jours, toutes les nuits, le samedi, le dimanche. Il reste à évaluer si c'est vraiment cela dont vous avez besoin. Ce qui est possible, mais il faut savoir ce que cela implique.



  • Je suis lassé de lire "grand organisme", "sensible", …, "mon boss", ...
    Et ce type d'"organisme" met en oeuvre des firewalls tel pfSense ...
    Bref, je suis lassé d'écrire toujours les mêmes chose sur les IDS :

    Un IDS est un élément qui capte les paquets passants devant lui et qui détecte ceux dont la forme appartient à une base de référence.
    En principe, cette base rassemble des formes de paquets suspects.

    Pour tirer profit d'un IDS, il est ESSENTIEL d'avoir l'expertise idoine pour dire en quoi ce paquet nécessite un examen, une action, …
    Et bien évidemment, il est tout aussi ESSENTIEL d'avoir la disponibilité en temps pour réagir.

    A partir du moment, où vous ne comprenez pas pourquoi un IDS est mal placé sur un firewall, cela veut clairement dire que vous ne savez pas grand chose sur le sujet.
    C'est à dire que le premier point n'est pas rempli. (Je ne dis pas ça par méchanceté, je constate !)

    La sécurité n'est pas une question de souhait, c'est une posture, c'est une organisation, ce sont des moyens humains, des budgets, … bref pas seulement de la volonté

    Je crois qu'un IDS est possible dans de grosses structures informatiques.

    Mais vous ferez comme vous voudrez ... (J'espère que vous ne viendrez pas dire qu'on ne vous a rien dit ...)


Log in to reply