Snort en sniffer
-
Bonjour a tous =D
J'aimerais tester le super outil de détection d'intrusion qu'a l'air "snort" et vu la superbe interface graphique qu'on créé les concepteur du pfsense, je me disais pourquoi pas mettre un petit pfsense dédié a l'IDS …
J'aimerais placer cette sonde en Sniff, (sur mes switch j'ai la possibilité de "mirrorer" du trafic sur un port, c a d envoyer l'équivalent de ce qui passe sur un port, sur un autre port)
Si je pouvais placer une sonde sur le port de mirroring .... ça me faciliterais grandement dans ma tache.La question c'est est ce que si je met un pfsense a une interface WAN, que j'autorise tout trafic entrant, et que je configure snort pour écouter sur celle ci, est ce que l'écoute des paquets se fera, (étant donné que je ne vais pas activer de mode monitoring, le pfsense en question sera t'il en mesure d'écouter ce qui ne lui est pas destiné, et de le soumettre a l'analyse de snort ... )
Si vous avez des idées sur la question merci beaucoup :)
-
Si je pouvais placer une sonde sur le port de mirroring …. ça me faciliterais grandement dans ma tache.
J'ignore si c'est possible en utilisant le package pour pfsense. Je suis certain, pour l'avoir fait que c'est possible avec une mise en œuvre manuelle. C'est une excellente solution. L'interface ainsi connecté (celle de la sonde) n'a pas d'adresse ip ce qui la dissimule beaucoup plus. Une autre interface est utilisé pour l'administration.
Ensuite le problème de l'exploitation effective de Snort reste entier et ce n'est pas rien.
De mémoire j'ai donné dans le passé sur ce forum pas mal d'information sur l'usage de Snort.
http://forum.pfsense.org/index.php/topic,27400.0.html
http://forum.pfsense.org/index.php/topic,20304.0.html
http://www.snort.org/docs/iss-placement.pdfJe n'ai pas le temps de tout rechercher. Il y en a aussi sur Ixus.net