Aller au contenu

IDS - comment ça marche ? que faire ?


klipita

Messages recommandés

Posté(e)

La seule chose puisse te permettre d’évaluer la pertinence d’un IPS est la sensibilité de ce que tu places derrière.

Pour un particulier, un pare-feu bien configuré suffit amplement à se passer d’un IPS.

Posté(e)

 

il y a 32 minutes, PiwiLAbruti a dit :

La seule chose puisse te permettre d’évaluer la pertinence d’un IPS est la sensibilité de ce que tu places derrière.

Pour un particulier, un pare-feu bien configuré suffit amplement à se passer d’un IPS.

Bon alors je vais m'en passer,

Je suis justement en train de demander si les régles de mon parefeu sont solides :

http://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/?page=9

Ca devrait faire l'affaire dans ce cas.

Merci de ta réponse. Bonne journée à toi.

Posté(e)
Le 1/4/2018 à 11:43, Diabolomagic a dit :

Bonjour Klipita , je tenterai bien l'utilisation de ce paquet sur mon RT2600ac, avant de faire l'achat d'une carte SD pour passer à l'action aurais-tu la possibilité de me faire un petit retour d'expérience s'il te plait histoire de savoir si "l'investissement" (de temps et d'argent) vaut le coup ?

Merci à toi par avance ;-)

Hello Diabolomagic, 
Désolé pour le retard dans ma réponse. Pour tout te dire, j'ai ce package installé depuis que le sujet est ouvert sur un RT1900ac. Sachant que mon routeur sert essentiellement à faire de l'analyse de traffic et de la QOS et du firewalll ,on va dire ...

Ce package m'a été utile pour identifier ce qui a tenté d'entrer ou sortir de mon réseau.  Il a même presque faillit me rendre parano, tellement il y'a d'attaques ... 

Après queqlues mois d'utilisations, j'ai la net impression d'avoir restreint énormément les fuites de tram sur mon réseaux, autant en sortie qu'en entrée d'ailleurs. Cependant quelques requètes résiduelles restent présentent et j'ai bien tenté d'ouvrir où de fermer les ports ... mais rien ni fait ces alertes sont tout le temps présentes. J'ai une liste d'IPs longues comme le bras de bloqués et pourtant je ne suis pas tout le temps scotché au alertes.  J'ai laissé le paquet actif sur mon routeur car je regarde qd même mes alertes de temps en temps. 

Maintenant pour ce qui est de ta carte SD je ne sais pas trop à quoi elle peut te servir ... je n'ai pas eu besoin d'allouer plus de mémoire sur le routeur. Simplement, il se limite à sa fonction première avec surtout surveillance et rapport de traffic. Choses d'ailleurs que j'aurai aimé voir s'enrichir encore.   

En éspérant avoir répondu à tes attentes ... 

  • 1 mois après...
Posté(e)
Le 11/01/2018 à 14:33, klipita a dit :

Hello Diabolomagic, 
Désolé pour le retard dans ma réponse. Pour tout te dire, j'ai ce package installé depuis que le sujet est ouvert sur un RT1900ac. Sachant que mon routeur sert essentiellement à faire de l'analyse de traffic et de la QOS et du firewalll ,on va dire ...

Ce package m'a été utile pour identifier ce qui a tenté d'entrer ou sortir de mon réseau.  Il a même presque faillit me rendre parano, tellement il y'a d'attaques ... 

Après queqlues mois d'utilisations, j'ai la net impression d'avoir restreint énormément les fuites de tram sur mon réseaux, autant en sortie qu'en entrée d'ailleurs. Cependant quelques requètes résiduelles restent présentent et j'ai bien tenté d'ouvrir où de fermer les ports ... mais rien ni fait ces alertes sont tout le temps présentes. J'ai une liste d'IPs longues comme le bras de bloqués et pourtant je ne suis pas tout le temps scotché au alertes.  J'ai laissé le paquet actif sur mon routeur car je regarde qd même mes alertes de temps en temps. 

Maintenant pour ce qui est de ta carte SD je ne sais pas trop à quoi elle peut te servir ... je n'ai pas eu besoin d'allouer plus de mémoire sur le routeur. Simplement, il se limite à sa fonction première avec surtout surveillance et rapport de traffic. Choses d'ailleurs que j'aurai aimé voir s'enrichir encore.   

En éspérant avoir répondu à tes attentes ... 

Salut Klipita,

Finalement je me suis résigné à installer le paquet IDS, j'ai suivi le conseil de Piwi qui me faisait remarquer qu'un pare-feu bien configuré chez un particulier suffit très largement.

Merci à toi pour ta réponse tout de même  !  ;-)

  • 1 an après...
Posté(e)

Bonjour a tous, 

Je viens d'installer un RT2600ac avec le paquet Treath Prevention.

j'ai donc suivi les tutos (Merci aux Auteurs), j'aurais quelques petites questions si vous pouvez m’éclairer.

Par contre j'ai deux postes en Windows 10 ( a jour et avec antivirus pro) qui  ont des alertes similaire a savoir : Unknown Traffic  ET USER_AGENTS Microsoft Device Metadata Retrieval Client User-Agent , les adresses Ip de destination vont vers Les USA.

Savez vous a quoi cela correspond et comment faire pour les éradiquer ?

J'ai configurer le Pare feu avec les 4 règles par défaut en refuser , est ce une bonne protection ?

J'"ai juste une translation sur un port de créer , par contre je ne trouve pas comment faire pour restreinte l’accès a ce port aux IP françaises uniquement?

merci de votre aide

Posté(e)

Bonjour,

Voilà neuf années que tu es sur le forum et toujours pas de présentation. Tu pourrais penser à la faire 😉

Citation

J'"ai juste une translation sur un port de créer , par contre je ne trouve pas comment faire pour restreinte l’accès a ce port aux IP françaises uniquement?

Alors tu n'as pas lu mon tuto sur le routeur de Synology car c'est normalement très bien expliqué.

[TUTO] Sécuriser et paramétrer son routeur Synology. - Tutoriels - NAS-Forum

 

Citation

J'ai configurer le Pare feu avec les 4 règles par défaut en refuser , est ce une bonne protection ?

Pas bien compris, tu as fait ça sur le routeur ou le pare feu du NAS ?

Posté(e)

Coucou,

Merci pour ton retour, présentation  faite 😅 !

J'ai bien suivi ton tuto mais cela ne fonctionne pas , je ne sais pas ou je me loupe.

la règle nat est Ok et se retrouve bien dans le Parefeu.

Ensuite je créer une règle dans le pare feu :

- protocole : TCP

- Source : Adresse Ip : Région France (je teste en mettant Belgique par exemple , pour voir si je suis bloqué)

- Source : port : tous

- Destination : Ip de Ma machine locale

- Destination Port : le port de ma redirection

- Autoriser

Et je ne suis pas bloqué si je met Belgique alors que je me connecte en 4 g depuis une Ip française.

Petite question Annexe dans le Parefeu il y a un onglet résultat , sais tu a quoi cela correspond et ou on peut consulter les informations ?

 

Pour le Parefeu, je parle celui du routeur:

Actuellement j'ai juste ma règle de redirection et les 4 lignes du bas (Si le Trafic IpV4 To Srm ect... en refuser).

Est ce un paramétrage Suffisant ? Ou il vaut mieux créer d'autre règle en plus ?

Merci

 

Posté(e)
Citation

Petite question Annexe dans le Parefeu il y a un onglet résultat , sais tu a quoi cela correspond et ou on peut consulter les informations ?

Tu aurais une capture d'écran stp ?

Citation

Actuellement j'ai juste ma règle de redirection et les 4 lignes du bas (Si le Trafic IpV4 To Srm ect... en refuser).

Alors c'est ok. Je pensais que tu parlais des règles avec IP privées mises comme dans un NAS.

Citation

Est ce un paramétrage Suffisant ? Ou il vaut mieux créer d'autre règle en plus ?

Non c'est suffisant si tu as besoin que de ça.

Envoi moi ton lien par MP que je regarde de mon côté si ça passe ou non stp.

Posté(e)

Sur la capture de ton tuto quand tu as encadrer les 4 lignes Si le Trafic IpV4 To Srm ect, 

Tu as activité , nom protocole Ip source ect... et a la fin résultat

Pour mes Nas, j'ai bien mis les règles avec Ip privées comme trouvé sur les tuto

D'ailleurs je viens de tester et avec le Pare feu de mon Nas , ca fonctionne si je met Belgique , je ne peux plus connecter , je comprend pas pourquoi sur le routeur avec la même règle ca marche pas .

 

Posté(e)

imageproxy.png.c16e2eaff17dc0ddba6a39e59f99654c.png

Regarde en haut a droite , ce que j'ai entouré en rouge .

J'aimerai savoir a quoi cela correspond et si l'on peut avoir des logs sur cette information ?

Merci

Posté(e)

Ça correspond aux nombres de connexions sur la règle.

Et les logs, bah suffit de regarder les logs en SSH par exemple. Je me souviens plus si il y a un centre de journaux comme sur DSM.

Posté(e)

Ok merci , je vais aller voir les log en ssh.

Aurais tu une idée sur les alertes que j'ai sur Thread Prévention sur mes deux ordinateur en Windows 10 Pro.

Cela me semble pas très importants mais c'est régulier...

Le 16/09/2019 à 19:37, JrTt a dit :

Unknown Traffic :   ET USER_AGENTS Microsoft Device Metadata Retrieval Client User-Agent

merci

Posté(e)

Il faudrait voir l'avertissement complet et venant d'un ordinateur sous Windows, ça peut être tout et n'importe quoi. Il y a tellement de télémétrie d'intégrée dans cet OS et les applications qu'on installe comme Nvidia par exemple qu'il se pourrait que ce soit ça.

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.