Bonjour à tous,
 
Je voudrais savoir s'il y eu intrusion dans notre réseau. Je ne suis pas du tout expert en administration, comment faire ?
Voici la configuration :

• un parefeu watchguard XTM23
• Les utilisateurs peuvent se connecter en VPN
• un serveur SBS 2007 (active directory, exchange, partage de fichiers)
• une 20aine de postes connectés en WiFi

Je ne sais pas par où commencer. Vérifier les logs de connexions au serveur ? Vérifier les logs du parefeu ?
Même si je savais comment faire, je ne sais pas si je détecterai une intrusion...  

Bonjour,
 
qu'est-ce qui te fait penser qu'il y a eu une intrusion sur votre réseau ?.

Pour le moment rien...
mais un contact (extérieur à la société) a été piraté, on voudrait être sûr de ne pas avoir été piraté également.

Commence par vérifier les règles de ton pare feu en vérifiant qu'elles sont toujours d'actualité.
 
Si ce n'est pas le cas, désactive les(plus simple à restaurer).
 

Ce genre d'analyse se prépare avant, avec un IDS par exemple.

 
J'ai entendu parler de snort ( http://www.snort.org ) mais j'ai jamais testé.

NetASQ pour moi. Très bon produit.  
 
Mais bien évidemment, il en existe bien d'autre...
 
En tout cas, une chose est sûre, si tu n'avais rien de ce côté là, tu ne pourra pas prouver qu'une intrusion à eu lieu (ou alors très difficilement).
 

 
j'ai testé snort et il te permets bien de détester les intrusions à conditions de rediriger le trafic de ton firewall sur ta machine qui héberge le snort. Il y'a pas mal de tuto sur internet à ce sujet la.