N-IDS : à placer avant ou après le firewall?

Bonjour à tous, et merci de me lire :sol:

Alors voilà, en ce moment j’ai à ma charge un stagiaire au boulot et celui-ci doit mettre en place et configurer le N-IDS Snort. Bon il ne fait pas ça sur un réseau bien complexe, bref en gros un LAN bête et méchant.
Il a décidé (et c’est bien!) de le coupler à un firewall, jusque là pas de problème. Seulement, aujourd’hui il est venu me poser une question :
dois-je placer ma sonde de manière à ce qu’elle analyse le traffic avant que celui-ci soit filtré par le firewall ou après?:etonne2:

Bref, retour de vacances toussa, j’ai un peu du mal à réfléchir à la question. :smiley:
Non plus sérieusement, je me dis que placé avant filtrage Snort va remonter un paquet d’alerte et cela risque d’encombrer un peu le réseau non? et puis vu qu’il a créé un script de notification par mail, cela éviterait de se faire spammer toute la journée si on la place après filtrage… Enfin bon je n’ai jamais utilisé snort donc j’en sais trop rien :ane:

J’aimerais donc avoir un retour de votre part, savoir ce que vous en pensez, et pendant que j’y suis y-a-t’il des utilisateurs de Snort dans la salle? :ane:

Bonjour,

moi je te conseillerais d’utiliser une carte réseau pour l’analyse en monitor et une autre pour y accéder par le réseau classique.

Après, tu peux désactiver les analyses de certains types de paquets avec le module threshold.

Sinon je ne sais pas quelle interface graphique vous allez utiliser moi j’étais parti sur du BASE et récemment j’ai découvert SPLUNK et je pense mettre ça en place vu que ma machine Snort à rendu l’âme il y a peu de temps.
Edité le 08/03/2011 à 09:00

Merci pour ta réponse, je n’avais pas pensé à cette solution. :jap:

Nous sommes partis sur BASE, mais je vais jeter un oeil à SPLUNK, merci pour le lien!