Bonjour,
Je suis actuellement en train de configurer l'IDS SNORT pour mon réseau.
Mon IDS est placé entre mon firewall et mon réseau local.
Il faut maintenant que je définisse les variables HOME_NET et EXTERNAL_NET.
Voici mon soucis : je travail sur un réseau extrêmement grand, qui utilise une centaine de réseaux privés (pour faire simple, nous diront 192.168.0.0/16 et 172.16.0.0/12), qui aboutissent tous la où j'ai placé ma sonde. Je met donc ces 2 plages d'adresse pour ma variable HOME_NET. Pour EXTERNAL_NET, je met tout simplement !$HOME_NET.
J'utilise les règles fournies par SNORT.
Ma question : est-ce que mon IDS sera capable de détecter les attaques en interne ?? Par exemple, le réseau comprend un réseau nomade Wifi, est-ce que je pourrai voir les éventuelles attaques provenant de ce réseau ? Vite fait, je n'ai pas vu de règles indiquant "alert <proto> $HOME_NET any <> $HOME_NET any ...."
Merci de votre aide !