Créer un serveur HIDS / NIDS

Lou - 17 juin 2022 à 12:09
brupala Messages postés 106081 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 mars 2023 - 17 juin 2022 à 16:17
Bonjour,

Je souhaite recycler un ancien ordinateur que je n'utilise plus, mais encore bien performant !
J'ai pour idée d'y installer un logiciel de surveillance informatique, tel que Wazuh et Suricata pour ceux qui connaissent.

Je n'y connais pas grand chose, c'est par pur intérêt ludique. J'ai vu qu'il y avait une bonne documentation pour l'installation et la configuration de ces outils, je pense donc que cela devrait aller de ce côté.

Par contre au niveau matériel et réseau, je me pose quelques questions.

Par exemple, si j'installe le logiciel Wazuh server sur mon ancien PC (sous Linux), comment puis-je y accéder à partir des réseaux externes ? Est-ce qu'il suffirait d'une simple ouverture de port au niveau de ma Freebox ? Par exemple, permettant de rediriger vers le service Wazuh (port 5000 il me semble) au niveau du flux entrant ?

En effet, cet outil fonctionne avec des agents à installer sur les machines à surveiller, c'est pour cela que je souhaite y avoir accès à l'intérieur et à l'extérieur.

Donc si je reprends, si un agent Wazuh est disposé sur une machine du même réseau, alors il suffira d'indiquer dans la configuration de l'agent l'adresse IP du serveur du réseau local, à savoir 192.168.x.x. Pour les agents de réseaux externes, il faudra indiquer l'adresse IP publique du routeur, soit par exemple la Freebox, n'est-ce pas ?

Pour finir, au niveau sécurité, j'imagine qu'il va falloir faire quelque chose ?

Merci par avance

Lou
A voir également:

1 réponse

brupala Messages postés 106081 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 mars 2023 13 793
17 juin 2022 à 14:30
Salut,
la sécurité, c'est comme tous les services connectés à l'internet: un parefeu, soit sur la box, soit entre box et serveur, soit sur le serveur seul, suivant le linux, il y a un logiciel parefeu ou pas, mais dans tous les cas, ça se fait par IPTABLES.
Il existe IPV6 aussi maintenant, pas partout mais de plus en plus quand même.
Après,
je ne sais pas si ton serveur peut demander une authentification des accès, jamais entendu parler de ton logiciel.
0
Très bien merci !

Sinon l'idée au niveau architecture te paraît bonne et possible ?
0
brupala Messages postés 106081 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 18 mars 2023 13 793 > Lou
Modifié le 17 juin 2022 à 16:25
C'est très classique visiblement, bien que je ne sache pas à quoi ça sert.
Wikipedia me dit que ça parle de détection d'intrusion, du coup j'ai du mal à voir l'intérêt d'un accès à distance.
Sur le domaine, je me suis arrêté à snort et encore je n'ai regardé que de loin.
0