Bonjour à tous,

Tout d'abord je ne sais pas si ce message à sa place ici, au pire les modos déplaceront ;)

je suis actuellement en stage dans une université pendant 8 semaines, et je dois mettre en place un système de détections d'intrusions.

Voici le libellé complet du sujet :

Sujet proposé:

Etude de mise en place d'un service de détection d'intrusion (IDS): analyse de l'architecture du réseau du pôle universitaire, des différents équipements, des systèmes d'exploitation utilisés.
Recherche et comparatif des solutions existantes opensource, proposition du choix le mieux adapté aux besoins exprimés, rédaction de la procédure d'intégration d'un équipement, et des actions à envisager en cas de détection d'intrusion, selon le type et la gravité.
Associer à ce service des outils de surveillance réseau, de type Nagios.

Selon l'état d'avancement du projet, le stagiaire pourra étudier la problématique liée aux obligations légales de conservation de fichiers de log: comment gérer la taille croissante des informations à enregistrer ?

Avantages et inconvénients d'une solution centralisée ?

Comment en cas de centralisation gérer les différents formats de fichiers de log ?

Séparer les informations serveur (logs de connexion extérieures) des informations client (logs des authentification).






J'ai trouvé sur votre site un tutoriel sur les IDS très complet mais un petit peu trop technique pour moi ( je dois bien l'avouer )

Sur le net j'ai trouvé 2 IDS

Snort et Prelude ( qui integre Snort ) quelqu'un peut il me faire les avantages et les inconvénients ??

En ce qui concerne la surveillance réseau réseau, on m'a donc parlé de Nagios mais aussi de Munin, Cacti ou Zabbix.

Donc je suis un petit peu perdu alors si quelqu'un pouvait m'éclairer sur ce sujet, je lui en serais tres reconnaissant.

Bonne journée a tous

Perso j'ai deja travailler avec SNORT, et c'est un tres bon produit. Alors pour ta question sur l'interet de centraliser les logs c'est simple, un IDS doit pouvoir detecter les tentatives d'intrusion. Et une tentative peut se presenter par une suite d'attaque a different niveau de ton infra reseau, par exemple sur l'interface externe de ton firewall, ensuite dans la DMZ externe, puis DMZ interne et pour finir reseau interne (mais la c'est beaucoup trop tard). Et donc la centralisation des logs te permet de suivre et analyser l'attaque faite par le hacker.

Pour le format des logs, c'est simple tu peux tout mettre dans une DB avec SNORT, MySQL ou autre. Il existe aussi une interface web pour consulter les logs. (ACID)


Ici SNORT est un NIDS (network IDS et pas un HIDS Host IDS) donc il pourra detecter que les attaques niveau reseau mais rien pour celle dans les sessions criptées (ex. ssl, ...) la il te faut un HIDS,


Et pour le monitoring des machines j'utilise Nagios, ca marche, il existe une enorme quantite d'agent de monitoring et tu peux faire aussi les tiens si ca n'existe pas. Et aussi avec interface web pour la consultation (ou monitoring).

Les deux peuvent aussi te permettre d'envoyer de emails pour signifier les erreurs.

Bonjour a tous, tout d'abord merci à chromosome pour ta réponse.

Après plusieurs réunions, mon maitre de stage m'a conseillé d'utiliser Prélude qui semble plus robuste et qui intègre snort.

donc si quelqu'un aurait la gentillesse de pouvoir m'aiguiller sur l'installation détaillée ainsi que la mise en place de Prelude ( plus l'intégration de snort et d'autres outils ).

Car ce pavé est assez gros et malheureusement le peu de connaissances que j'ai ne me permettent aps d'accomplir ceci tout seul

Merci d'avance