Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2415 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  détection intrusion (pro)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

détection intrusion (pro)

n°104142
El_Cyprian​o
Posté le 12-12-2012 à 15:12:34  profilanswer
 

Bonjour à tous,  
 
Je me permets de vous contacter pour solliciter votre aide.  
 
La problématique est la suivante:  
 
Je dois mettre en place un système empêchant un intrus de s'installer sur le réseau (jusque là tout va bien), il faut pour cela que je mette soit un service qui empêche l'intrus d'avoir une adresse IP (authentification par ex), soit un service qui permet de fermet le port d'un commutateur dès qu'il y a un intrus (à l'aide d'une clé peut être). Cependant je ne peux pas mettre de système d'authentification (login/mdp) car l'entreprise dans laquelle je travaille possède plusieurs sites qui ont leur propre sécurité, et on ne peut pas gérer les personnes qui arrivent d'autres sites dans le notre. Ensuite, je ne peux pas faire un système d'authentification par adresse MAC, car c'est le même problème que précédemment, on ne connaît pas l'adresse MAC d'une personne qui arrive d'un autre site avec son PC portable.  
 
J'ai essayé de faire cette détection d'intrusion grâce à l'outil de supervision Nagios mais cela n'a pas été concluant.  
 
Il faut savoir que l'entreprise (tous sites confondus), possède un master, chaque station possède ce master avec par exemple la même clé de registre (ce qui peut être une solution pour la détection d'intrusion, je suppose ?)  
 
Avez-vous des solutions afin de détecter les intrus, et les avez-vous déjà mise en place ? Est-ce qu'il faut passer par du scripting, par des IDS ?  
 
Je vous remercie d'avance pour votre aide  
 

mood
Publicité
Posté le 12-12-2012 à 15:12:34  profilanswer
 

n°104154
trekker92
-où sont ils? -..tout près....
Posté le 12-12-2012 à 22:54:14  profilanswer
 

l'empêcher d'avoir une IP :
serveur DHCP avec attribution uniquement sur réservation. si la mac est pas répertoriée/enregistrée dans ta config on répond pas à sa requête dhcp
 
fermer le port d'un communtateur dès qu'il y a un intrus :
alors en fait, le mieux, c'est d'ouvrir le port d'un commutateur quand c'est uen personne connue. C'est à dire que tu désactive tous les ports RJ45 du switch non utilisés (switch manageable), et tu les réactive à la demande, pour combien de temps etc..

n°104158
El_Cyprian​o
Posté le 13-12-2012 à 08:11:52  profilanswer
 

Merci pour ta réponse trekker92, mais le problème de ta première solution, c'est que cela se fait pas @MAC, c'est facile à usurper (MAIS, je sais, que pour usurper une adresse MAC il faut déjà être sur le réseau, mais quand même). Le problème de ta deuxième solution est que l'entreprise possède une quinzaine de switchs, donc cela fait beaucoup de stations. Je ne peux pas passer mon temps à activer les ports à la demande, il faudrait que le système soit automatique, que je n'ai pas à influencer le programme.

n°104201
aniki8
Posté le 14-12-2012 à 15:06:58  profilanswer
 

L'IDS/IPS te protégera plus sur le niveau applicatif. Alors que ta protection du port, c'est niveau réseau physique/logique.
C'est 2 réponses à 2 problématiques différentes, à voir selon tes besoins.
 
Pour ce qui est de la protection du port, la solution la plus propre est d'authentifier un poste par certificat, ce qui lui ouvrirait le port, et les flux (niveau 2 et 3+ donc). Mais c'est une solution lourde qui implique un certificat par machine.

n°104343
cyrus16
Posté le 19-12-2012 à 17:30:05  profilanswer
 

l'installation du protocol NAC de cisco répond à  ce besoin !
 
il va détecter toute les anomalies sur ton architecture reseaux que se soi les routeurs, switch, port , etc.de plus  un petit routeur/firewall type PFSENCE pour filtrer tout ca et eventuelement la mise en place de certificat  et  ca devrai le faire ;)
 
voici le site qui pourras t'aider sur ton litige :
 
NAC =  http://www.packetfence.org/home.html


Message édité par cyrus16 le 19-12-2012 à 17:33:37

---------------
Celui qui endure avec persévérance , conquiert !
n°104344
akizan
Eye Sca Zi
Posté le 19-12-2012 à 17:43:26  profilanswer
 

yes avec tout ça, tu auras une bonne sécu déjà ^^

n°104353
cyrus16
Posté le 20-12-2012 à 09:31:43  profilanswer
 

et  je rajoute, si tu veux augmenter tout ca , tu rajoute  une sonde avant le routeur comme  ca tu aurras les IP des attaquants ;)

n°104976
Lomba
Posté le 11-01-2013 à 23:06:11  profilanswer
 

Le NAC, c'est pas un protocole, mais une technologie. Ca nécessite soit de se baser sur l'adresse MAC (donc visiblement impossible ici), soit sur de l'authentification 802.1x (donc déploiement de certificat sur les machines). Si tu as la main à un moment ou à un autre sur les postes, c'est sûrement la meilleure méthode, mais elle peut être contraignante. Attention aussi aux environnements réseaux hétérogènes, les technos NAC apprécient moyennement.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  détection intrusion (pro)

 

Sujets relatifs
detection d'une imprimante en reseau local et instalation de celle çiDétection upload sur le NET - Linksys rv052
[MDT] Détection des modèles CTO de LenovoComment savoir s'il y a eu intrusion dans le réseau ?
Système de détection/suppression d'incendieDétection OS à distance - fingerprinting [résolu]
reseau d'entreprise-machine de détection des conflits réseauProblèmes dossier devenus cachés après une détection de trojans
Pb détection Serveur de licencesDétection d'intrusion
Plus de sujets relatifs à : détection intrusion (pro)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR