Différences

Ci-dessous, les différences entre deux révisions de la page.

--- snort [2023/12/04 10:21] – [Configuration de règles snort] admin
+++ snort [2023/12/12 15:01] (Version actuelle) – [Configuration pour un switch Cisco] admin
@@ Ligne 43: / Ligne 43: @@
 ==== Configuration pour un switch Cisco ====
-Le mirroring de port(s) sur Cisco passe par des **//sessions//** qui prennent une ou plusieurs **//sources//** vers une **//destination//**
+Le mirroring de port(s) sur Cisco passe par des **//sessions//** qui prennent une ou plusieurs **//sources//** vers une **//destination//**.
-La **//source//** peut être un **//port//**, une **//plage de ports//** ou un **//vlan//**.
+La syntaxe est :
+<code lscript>
+//pour les ports source
+monitor session <numero_session_mirroring> source interface <nom_interface> <sens_trafic>
+//pour le port destination
+monitor session <numero_session_mirroring> destination interface <nom_interface>
+</code>
-On peut rediriger le trafic reçu (**//rx//**), transmis (**//tx//**) ou les deux (**//both//**).
+  * La **//source//** peut être un **//port//**, une **//plage de ports//** ou un **//vlan//**.
+  * On peut rediriger le trafic reçu (**//rx//**), transmis (**//tx//**) ou les deux (**//both//**)
+  * La **//destination//** est un port unique.
 **__Exemples__**
 <code lscript>
-#monitor session 1 source interface fa 0/1 both
+monitor session 1 source interface fa 0/1 both
-#monitor session 1 source interface fa0/2 - fa0/4 tx
+monitor session 1 source interface fa0/2 - fa0/4 tx
-#monitor session 1 source interface fa0/6 - fa0/8 rx
+monitor session 1 source interface fa0/6 - fa0/8 rx
-#monitor session 1 destination interface fa0/2
+monitor session 1 destination interface fa0/2
 </code>
@@ Ligne 88: / Ligne 96: @@
 |L’option msg | Elle va permettre d’entrer un message spécifique afin que l’utilisateur puisse comprendre rapidement.|
 |Sid | C'est l’identifiant unique pour identifier les règles il y a trois types : \\   * <100 Réservé pour une utilisation future \\ 100-999,999 Règles incluses dans la distribution de Snort \\ >1 000 000 Utilisé pour les règles locales \\ Dans notre cas la règle a un Sid 1 000 000 2 pour signifier que c’est la deuxième règle .|
-|La révision | Elle permet aussi d’identifier de manière unique la règle, la révision et le Sid sont donc liés. \\ Il faut faire très attention lors de la création de règle, c’est sensible à la casse, et le lancement d’analyse ne se lance pas. |
+|La révision | Elle indique un numéro de version, permettant de faire évoluer une règle dans le temps \\ Il faut faire très attention lors de la création de règle, c’est sensible à la casse, et le lancement d’analyse ne se lance pas. |
 Voici ci-dessous des exemples de règles locales :
  {{ :snortregles.png?700 |}}
-La règle numéro une va analyser les tentatives d’accès root aux nas, pour ce qui est de la seconde règle c’est l’analyse des scans port sur le serveur de portefeuille. Et enfin la dernière règle va analyser les ports non autorisés sur le serveur portefeuille.
+La règle numéro une va analyser les tentatives d’accès root aux nas, pour ce qui est de la seconde règle c’est l’analyse des scans port sur le serveur de portefeuille. Et enfin la dernière règle va analyser un accès FTP (port 21) non autorisé sur le serveur portefeuille.
 Liste des liens internet intéressant pour la construction de règles snort.