Dimensionnement hardware pour Snort

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Dimensionnement hardware pour Snort

Messagepar o_ttt » 19 Avr 2011 18:50

Bonjour,

D'après vos expériences, quelles sont les configurations matérielles requises pour utiliser Snort en mode IDS en fonction des débits à analyser (1 Gbps...) ? A savoir CPU, RAM, carte réseau... Notamment pour une utilisation avec une distribution Debian.

Merci d'avance.
o_ttt
Matelot
Matelot
 
Messages: 4
Inscrit le: 19 Avr 2011 18:45

Re: Dimensionnement hardware pour Snort

Messagepar jdh » 19 Avr 2011 23:18

Moi, je chercherai avec http://marc.info/?l=snort-users&w=2&r=1&s=hardware&q=b

Par exemple, http://marc.info/?l=snort-users&m=128931962818381&w=2 me semble correct (bon c'est pour Fedora)

1 giga : belle ligne Internet !
Je croyais qu'une ligne gigabit était capable d'écrouler n'importe proc multicore actuel ?!
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Dimensionnement hardware pour Snort

Messagepar o_ttt » 20 Avr 2011 11:53

Merci pour les liens.

Apparemment c'est tout à fait jouable d'analyser un traffic de l'ordre du gigabit par seconde.
J'ai trouvé des documents qui indiquent qu'un proc à 3.4 GHz pouvait faire l'affaire. Pour la RAM j'ai vu 1Go mais j'ai de sérieux doutes.

Je poursuis mes recherches, si quelqu'un a des idées !

Merci.
o_ttt
Matelot
Matelot
 
Messages: 4
Inscrit le: 19 Avr 2011 18:45

Re: Dimensionnement hardware pour Snort

Messagepar ccnet » 20 Avr 2011 11:55

Avez vous regardé le forum Snort ?
Oui c'est faisable 1 Gbits mais combien de sondes, placées comment, quelle utilité ... ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Dimensionnement hardware pour Snort

Messagepar o_ttt » 20 Avr 2011 13:00

Oui j'y ai jeté un coup d'œil. Bizarrement je trouve un peu partout sur le net qu'il est possible d'analyser 1Gbps avec une machine, mais quand je lis ce document officiel je ne comprend plus trop : http://assets.sourcefire.com/snort/depl ... apping.pdf

Si quelqu'un pouvait m'aider à le décrypter.
o_ttt
Matelot
Matelot
 
Messages: 4
Inscrit le: 19 Avr 2011 18:45

Re: Dimensionnement hardware pour Snort

Messagepar ccnet » 20 Avr 2011 19:19

Quel est le problème avec ce document ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Dimensionnement hardware pour Snort

Messagepar o_ttt » 21 Avr 2011 10:35

J'ai l'impression qu'il indique qu'il est préférable d'avoir un capteur pour 100Mb/s.
o_ttt
Matelot
Matelot
 
Messages: 4
Inscrit le: 19 Avr 2011 18:45

Re: Dimensionnement hardware pour Snort

Messagepar ccnet » 21 Avr 2011 10:49

Je comprend que ce document fait l'hypothèse qu'il y a un certain nombre de segments réseaux à surveiller et que l'on place un sonde sur chacun. Une sonde étant physiquement une carte réseau sans adresse ip. Le tout est agrégé ensuite via un commutateur par exemple dont on utilise le port span (port de copie).
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron