Détection d'intrusion

Détection d'intrusion - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 12-12-2012 à 13:43:34    

Bonjour à tous,
 
Je me permets de vous contacter pour solliciter votre aide.
 
La problématique est la suivante:  
 
Je dois mettre en place un système empêchant un intrus de s'installer sur le réseau (jusque là tout va bien), il faut pour cela que je mette soit un service qui empêche l'intrus d'avoir une adresse IP (authentification par ex), soit un service qui permet de fermet le port d'un commutateur dès qu'il y a un intrus (à l'aide d'une clé peut être). Cependant je ne peux pas mettre de système d'authentification (login/mdp) car l'entreprise dans laquelle je travaille possède plusieurs sites qui ont leur propre sécurité, et on ne peut pas gérer les personnes qui arrivent d'autres sites dans le notre. Ensuite, je ne peux pas faire un système d'authentification par adresse MAC, car c'est le même problème que précédemment, on ne connaît pas l'adresse MAC d'une personne qui arrive d'un autre site avec son PC portable.  
 
J'ai essayé de faire cette détection d'intrusion grâce à l'outil de supervision Nagios mais cela n'a pas été concluant.
 
Il faut savoir que l'entreprise (tous sites confondus), possède un master, chaque station possède ce master avec par exemple la même clé de registre (ce qui peut être une solution pour la détection d'intrusion, je suppose ?)
 
Avez-vous des solutions afin de détecter les intrus, et les avez-vous déjà mise en place ? Est-ce qu'il faut passer par du scripting, par des IDS ?
 
Je vous remercie d'avance pour votre aide

Reply

Marsh Posté le 12-12-2012 à 13:43:34   

Reply

Marsh Posté le 12-12-2012 à 14:40:00    

Un IDS/fail2ban est intéressant pour une certaine catégorie d'attaque, mais là je pense que la question serait plus à poser en catégorie pro non ?
 
Il faudrait aussi préciser certains points :
- l'entreprise dispose-t-elle d'un accès WiFi public/semi-public pour les clients de passage ?
- y a-t-il une gestion des utilisateurs par domaine ?
- les sites se connectent-ils au siège via un VPN ?
- y a-t-il une gestion centralisé des achats de matériel ?
- des règles pour éviter l'utilisation de matériel personnel ?  
- présence de smartphones ? de tablettes ? avec connexion au réseau ? (présentation, accès messagerie)


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 12-12-2012 à 15:11:31    

Alors pour répondre à tes questions, l'entreprise n'a pas de Wi-Fi (du moins pas encore), il n'y a pas de smartphones, tablettes, il est interdit d'utiliser un matériel personnel (ordinateur portable ou clé USB).  
 
Le problème de fail2ban, c'est qu'il lit les fichiers de log, et découvre l'intrusion par plusieurs échecs d'authentification. Ce que je veux réellement, c'est par exemple si un intrus prend son portable et se connecte à un switch ou à une prise murale, il faut, dès que le port s'active, vérifier qu'il fait bien parti de l'entreprise, et s'il ne l'est pas, il faut bloquer le port du switch. Alors peut-être avec l'authentification par Certificat (EAP-TLS) avec Radius, mais il est vrai que j'ai du mal à comprendre le principe des IDS: entre NIDS, HIDS, etc, est-ce qu'il est possible d'intéragir avec le réseau depuis les IDS ?

Reply

Marsh Posté le 12-12-2012 à 17:46:32    

Ah ça, c'est la règle de base d'un réseau câblé... fermer les portes et les fenêtres, c'est le minimum :D


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 12-12-2012 à 18:15:56    

En temps normal, les ports sont bien fermés, mais il y a des salles de réunion où il y a plein de prises murales, et on ne peut pas fermer les ports de telle salle une fois la réunion terminée, sachant que cette salle pourrait servir quelques minutes après.
 
Alors programmation | sonde IDS | authentification par certificats, ... Je ne sais vraiment pas

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed