snort
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
snort [2023/12/04 10:20] – [Configuration pour un switch Cisco] admin | snort [2023/12/12 15:01] (Version actuelle) – [Configuration pour un switch Cisco] admin | ||
---|---|---|---|
Ligne 43: | Ligne 43: | ||
==== Configuration pour un switch Cisco ==== | ==== Configuration pour un switch Cisco ==== | ||
- | Le mirroring de port(s) sur Cisco passe par des **// | + | Le mirroring de port(s) sur Cisco passe par des **// |
- | La **//source//** peut être un **//port//**, une **//plage de ports//** ou un **// | + | La syntaxe est : |
+ | <code lscript> | ||
+ | //pour les ports source | ||
+ | monitor session < | ||
+ | //pour le port destination | ||
+ | monitor session < | ||
+ | </code> | ||
- | On peut rediriger le trafic reçu (**// | + | * La **// |
+ | * On peut rediriger le trafic reçu (**// | ||
+ | * La **// | ||
**__Exemples__** | **__Exemples__** | ||
<code lscript> | <code lscript> | ||
- | #monitor session 1 source interface fa 0/1 both | + | monitor session 1 source interface fa 0/1 both |
- | #monitor session 1 source interface fa0/2 - fa0/4 tx | + | monitor session 1 source interface fa0/2 - fa0/4 tx |
- | #monitor session 1 source interface fa0/6 - fa0/8 rx | + | monitor session 1 source interface fa0/6 - fa0/8 rx |
- | #monitor session 1 destination interface fa0/2 | + | monitor session 1 destination interface fa0/2 |
</ | </ | ||
Ligne 88: | Ligne 96: | ||
|L’option msg | Elle va permettre d’entrer un message spécifique afin que l’utilisateur puisse comprendre rapidement.| | |L’option msg | Elle va permettre d’entrer un message spécifique afin que l’utilisateur puisse comprendre rapidement.| | ||
|Sid | C'est l’identifiant unique pour identifier les règles il y a trois types : \\ * <100 Réservé pour une utilisation future \\ 100-999,999 Règles incluses dans la distribution de Snort \\ >1 000 000 Utilisé pour les règles locales \\ Dans notre cas la règle a un Sid 1 000 000 2 pour signifier que c’est la deuxième règle .| | |Sid | C'est l’identifiant unique pour identifier les règles il y a trois types : \\ * <100 Réservé pour une utilisation future \\ 100-999,999 Règles incluses dans la distribution de Snort \\ >1 000 000 Utilisé pour les règles locales \\ Dans notre cas la règle a un Sid 1 000 000 2 pour signifier que c’est la deuxième règle .| | ||
- | |La révision | Elle permet aussi d’identifier | + | |La révision | Elle indique un numéro |
- | Il faut faire très attention lors de la création de règle, c’est sensible à la casse, et le lancement d’analyse ne se lance pas. | | + | |
Voici ci-dessous des exemples de règles locales : | Voici ci-dessous des exemples de règles locales : | ||
{{ : | {{ : | ||
- | La règle numéro une va analyser les tentatives d’accès root aux nas, pour ce qui est de la seconde règle c’est l’analyse des scans port sur le serveur de portefeuille. Et enfin la dernière règle va analyser | + | La règle numéro une va analyser les tentatives d’accès root aux nas, pour ce qui est de la seconde règle c’est l’analyse des scans port sur le serveur de portefeuille. Et enfin la dernière règle va analyser |
Liste des liens internet intéressant pour la construction de règles snort. | Liste des liens internet intéressant pour la construction de règles snort. |
snort.1701685252.txt.gz · Dernière modification : 2023/12/04 10:20 de admin