Discussion :

[asma_insat]

Bonjour,
Mon projet porte sur les ids sur linux,specifiquement snort, mais je n'ai pu effectuer aucun test pour le mode NIDS, soit avec nmap ou dsniff .
nmap n'a reussi qu'a scanner le 'localhost', svp aidez moi à resoudre mon probleme

[Manumation]

Bonjour,

Avec le peu de détail que tu donnes, je dirais que tu as oublier de brancher ton câble réseau !

[Elboras]

ton projet consiste en quoi exactement ? que veux tu faire de spécial ?
Essaye de bien reflechir sur ce que tu veux detecter avec snort, car il peut te detecter tout et n'importe quoi si tu le configure pas, voir si tu le config comme un bourrin il logera meme les pings.

Je pense qu'il faut bien que tu definisse ce que tu dois faire avant de te lancer dans des tests.
Ensuite tu ne donne pas la raison qui fait que tu as echoué tes tests.

Bon courage

[i-m-t]

salut à tous, je suis débutant en matière de SNORT et j'ai aussi un problème de détection d'intrusion avec.
je suis en stage et le projet consiste à installer et paramétrer SNORT sur DEBIAN dans un environnement virtuel (VM Ware).
l'installation s'est terminé et le paramétrage du fichier snort.conf aussi.
je dois effectué des tests et l'un de mes objectifs est de détecter un ping sur le réseau interne, pour ça j'ai écris la règle suivante :

alert icmp $HOME_NET any -> $HOME_NET any (msg:"Detection Ping Windows"; content:"abcdefg"; sid:1800000; )

lorsque le ping vient de la machine sur laquelle snort est installé ou le sens inverse (d'une autre machine vers cette machine) c'est détecté, mais lorsque le ping est effectué entre deux autres machine du réseau il n'y a pas d'alerte.

est ce que quelqu'un a une idée sur cette situation.
merci d'avance pour toute aide.

[lennelei]

Evite de remonter un sujet vieux de 4 ans pour poser ta question...

Edit: pour ton problème, si chaque machine est branchée sur un switch, un ping entre A et B ne sera pas vu par C... donc si snort est sur la machine C, ça ne marchera pas (c'est le principe même d'un switch par rapport à un hub).

[i-m-t]

merci du conseil et c'est ok

pour mon problème l'environnement de test est comme suite:
un routeur sans fil connecté à un switch, certaines machines sont sur le switch, mais la machine avec snort (soit C) et les deux autres (soit A et B) sont en wifi.

est ce que le résultat sera le même que dans le cas que vous venez d'expliquer. merci

[lennelei]

J'avouerais que sur le wifi, je ne suis pas un expert... si ta carte wifi le permet, tu dois pouvoir capturer les packets qui passent et qui ne te sont pas destinés, mais si je ne me trompe pas, il te faut la configurer en promiscous mode et ce mode n'est pas forcément disponible pour toutes les cartes wifi.
De plus, j'ignore si un ping passé sur un réseau wifi chiffré est chiffré ou pas à vérifier !

Mais en tout cas, tu as plus de chance d'y arriver en wifi que sur un switch

[i-m-t]

je pense que ma carte réseau sans fil fonctionne en promocious mode car lorsque je lance snort il fait des captures sur le réseau interne indiqué dans le fichier de configuration (snort.conf) et certains échanges que je ne comprend pas en totalité apparaissent avec des @IP autres que celle de la machine avec snort en fonction des règles par défaut qui sont activées.

par exemple j'ai définis la règle suivante pour détecter les communications sur le port 80 dans le réseau:

alert tcp $HOME_NET 80 <> $EXTERNAL_NET any (msg:"Tentative de faude"; sid:1000003; )

et sa fonctionne (les autres adresses apparaissent dans la capture). alors qu'avec le ping j'ai même essayé de spécifier l'@IP des deux autres machines dans la règle, ça ne marche pas ?