Les ports
-
Salut à vous!!!
Je souhaiterais observer les différents ports de mon réseau via pfsense!!quel Package devrais-je utiliser SVP!!! -
Pouvez-vous préciser l'idée ? Je ne vois pas bien ce que vous en attendez. Sinon comme ça : Netflow. Mais pas sur le firewall.
-
Je souhaite surveiller mon réseau des intrusions
Surveiller les ports(éviter les attaques via les ports)
Quel conseil me donnez-vous? -
Un firewall bien configuré ne suffit-il pas en première approche ?
Il existe les fameux IDS et notamment SNORT.
Mais, sauf à être expert et avoir du temps, SNORT n'apportera rien :- si SNORT vous remonte un paquet comme incorrect, saurez vous en quoi il est incorrect ?
- si SNORT voit un paquet le lundi matin, quel sera l'efficacité d'un examen le mercredi après-midi ?
- la place naturelle de SNORT est elle d'être sur le firewall ?
-
Surveiller les intrusions, où du moins les tentatives, vaste sujet.
JDH résume la problématique de l'exploitation d'un IDS. Ceci en supposant que la partie détection et surveillance soit bien adapté au contexte, le problème de l' exploitation et de la réaction sur les alertes reste entier.
La surveillance des ports ne vous donneras pas grand chose. L'immense majorité des intrusions réussies menant à une compromission partielle ou totale du système d'information sont le fait de failles applicatives bien exploitées. Donc du trafic sur des ports ouverts de façon licite. Je doute que l'observation des ports vous informe de la mise en œuvre d'une tentative d'exploitation d'un débordement de tampon (buffer overflow). A a partir du moment où la cible est bien qualifiée et le code d'exploitation disponible il faut moins d'une minute pour prendre le contrôle de la machine visée. Avec les bons outils. N'importe quel programme en apparence inoffensif peut vous exposer, comme un simple Acrobat Reader ou un logiciel de sauvegarde.
Un de mes clients dispose d'un monitoring sécurité 24/7 avec temps de réaction garantit de 15 mn sur alerte critique. Tout cela est situé chez un hébergeur en banlieue parisienne alors que les cellules de monitoring sécurité sont réparties sur deux autres payes en Europe. L'hébergeur est aussi propriétaire de quelques milliers de kilomètres de liaisons en fibre optique. Cela vous donne une idée de l'ampleur des moyens nécessaires.
Plus raisonnablement il y a mieux à faire en déployant avec le maximum d'efficacité les outils disponible comme le firewall et … le jus de cerveau appliqué à une bonne conception de l'architecture, à de bonnes procédures d'exploitation et de réaction sur incident.