TOTAL
Depuis Dec 2006
1'942'871 Visiteurs
4'218'042 Pages

Stats Nov 2010
82'909 Visiteurs
146'476 Pages
196 pays
Statistiques completes



Aidez-nous à traduire
nos tutoriaux!

REJOINGNEZ
l'équipe OpenManiak.
SNORT - Le tutorial facile - Port Mirroring

Snort Port Mirroring
Dernière modif: Jan 12 2008


Outil
Installation
Ergonomie
Forum



Détails Snort, c'est quoi?
Captures d'écran
Prérequis
Snort
BASE
Mise à jour Snort
Règles Bleedingsnort
Port Mirroring



⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!


CONFIGURATON DE VOTRE SWITCH

Pour être sur que votre IDS analyse les données voulues, vous devez dupliquer le trafic du port d'un switch ou celui d'un VLAN.
Nous allons utiliser le mécanisme de la duplication de port ("port mirroring") qui signifie que le switch duplique le trafic de l'interface ou du VLAN choisi et l'envoie vers Snort.

Bien sûr, sur votre IDS, il est nécessaire de posséder au moins une interface pour écouter le trafic, mais si vous en possèdez deux, ce sera plus intéressant parce que il est alors possible de dédier une interface pour la gestion de l'IDS et l'autre, configuré sans adresse IP, reçoit juste le trafic "mirroiré" ou dupliqué. Dans ce cas, les données de gestion de l'IDS ne "polluent" pas le trafic "mirroiré".

port mirroring snort IDS

Voici trois exemples de "port mirroring" avec des switches Cisco et Juniper/Netscreen:

Catalyst Cisco 6509 ou 3750:

Cisco_device#configure terminal
Cisco_device(config)#monitor session 1 source interface GigabitEthernet x/x
Cisco_device(config)#monitor session 1 destination interface GigabitEthernet x/x
Catalyst Cisco 3500XL:

Cisco_device#configure terminal
Cisco_device(config)#interface FastEthernet x/x
Cisco_device(config-if)#port monitor FastEthernet x/x
Pare-feu (Firewall) Juniper/Netscreen 25

set mirror port source interface1 destination interface2