par jdh » 02 Fév 2010 10:47
Tant qu'à donner des précisions, il serait aussi utile de rappeler aussi le point de vue de certains (et entre autres le mien) :
Snort est typique de la fausse bonne idée :
- intéressant sur le papier et même logique,
- totalement irréaliste en pratique dans de petites structures,
- de plus, TRES mal placé sur un firewall.
Les raisons :
- le placement : la sonde doit être à l'intérieur du réseau (et non à sa périphérie), sans adresse ip, sans aucun lien avec aucune machine,
- il faut 2 ressources pour en avoir un intérêt exploitable : le temps et l'expertise.
- l'expertise : il faut savoir interpréter les alertes et notamment distinguer le faux positif : pour cela, il faut être expert en paquet IP ainsi qu'en services réseaux,
- le temps : il faut être capable de réagir immédiatement : quel intérêt de réagir le lundi matin pour un paquet bizarre du vendredi soir ?
Bref, que l'on s'informe, que l'on expérimente, pourquoi pas ? Mais, en prod, pas d'IDS dans une pme avec un service informatique de taille moyenne ! Dans une structure qui a la disponibilité, la matière, pourquoi pas !
Pour la population du forum, cela doit représenter moins de 1% des membres.
De plus, ceux qui mettent cela en pratique, n'utilise certainement pas ipcop pour cela ! Ce qui nous amènent à 0% !
En fait, il est logique de trouver Snort, outil Open Source de référence dans le domaine, sur un ipcop (il existe le package pour pfSense aussi). Il est moins logique de l'utiliser ...
NB : bien que travaillant depuis plus de 10 ans sur des firewall de tout type et pour des entreprises variés plus ou moins grande, je ne suis pas personnellement assez expert en IDS pour en tirer profit.
