salut, je me suis monté un tout petit serveur sous red hat 7.2, quelques regles tres simples de firewall et avec SNORT, il marche, mais je sais pas si c'est vraiment top, il détecte pleins de trucs, des 400 depuis la semaines derniere au total et je ne sais pas si c'est des attaques (je pense pas non   ) mais je voudrais savoir si c'est un bon détecteur d'intrusion ou si c'est vraiment pas top....      
 
Que me conseillez vous ? ?
 
Merci bcp !  

Topic trop dur ?    
 
ou vous connaissez pas ?

Je ne connais pas vraiment le sujet, mais tu peux aussi regarder du côté de Prelude : http://www.prelude-ids.org/

ah ouais ca a l'air pas mal !          

ben perso j'ai jamais utilisé mais il parait qu'il est bien ... enfin je vois pas ce que tu veux asvoir en fait ... s'il te convient, y-a pas de pb, sinon passes à autres chose
 
moi j'utilise pas de détecteur d'intrusion étant donné que ntop et iptraf me convienne ... enfin c'est suffisant pour l'utilisation que j'en fais ... j'ai pas trop poussé l'usage de ce genre d'outils

c pas mal mais moi ce ui m'emmerde c le decryptage des logs ....
 
oui je sais c de la fégnantise ...
nan avec un serveur sql c terrible et pas trop mal  
mais il en eiste d'autre du meme type si celui-la te plais pas !!
 

 
si tu l'utilises, est ce que tu pourrais me dire à quoi sont dues toutes les alertes qui apparaissent, j'en ai plus de 400 en seulement quelques jours...

UP....

snort c'est franchement pas mal, a condition de le configurer correctement!
et il y a des outils pour analyser les logs: qui te font des graph html..
 
 
vous pouvez jeter un coup doeil du coter de www.logtrend.org !
il y a un agent pour snort.
 
@++

 
merci !  
 
parce que c'est vrai que c'est assez difficile de d'analyser le rapport généré par snort...

j'ai regardé en effet ça a l'air pas mal... je vais l'installer... et le tester...

Quelqu'un connaitrait logtrend ? pour me donner son opinion ?

zytrahus5 a écrit a écrit :   J'en ai plus de 400 en seulement quelques jours...

 
Il t'alerte sur les nimda/codered qui viennent frapper à la porte ?

et ça se configure comment ? parce que le How To est quasi inexistant... enfin si en anglais mais là c'est pas de mon ressort....

zytrahus5 a écrit a écrit : et ça se configure comment ? parce que le How To est quasi inexistant... enfin si en anglais mais là c'est pas de mon ressort....

 
javais commencer a lire ca en Fev, mais je me souviens plus trop... jpense qu il faut que tinstalle lagent de logtrend pour snort sur la machine ou est snort, et tu dois aussi installer un serveur web , si je me souviens bien! :-p

400 alertes, c'est pas super etonnant si tu as l'ADSL.
 
Rien qu'en comptant les Nimda / Code Red / etc... j'arrive facilement à 400
 
353 le 17/9
290 le 18/9
534 le 19/9  

philou_a7 a écrit a écrit : 400 alertes, c'est pas super etonnant si tu as l'ADSL.   Rien qu'en comptant les Nimda / Code Red / etc... j'arrive facilement à 400   353 le 17/9 290 le 18/9 534 le 19/9

 
je me suis fait prendre par nimda la semaine derniere (2 jours que j'avais l'ADSL) et j'etais pas sorti couvert (mdr) résultat... formattage... en fait, j'avais mis norton en inactivité... et la j'avais des fichiers *.eml de partout dans le disque !!! c'est pour ça que j'ai dégagé windows 2000 server qui a rien vu venir   ... et j'ai remis ma red hat dans l'espoir de pouvoir installer le modem, parce que j'avais laché l'affaire 3 jours plus tot... mais je m'y suis mis à fond et j'ai réussi !    
 
Bref pour SNORT, je ne sais pas quoi faire de toutes ces alertes, en général t'en fait quoi ? tu les lis ???

zytrahus5 a écrit a écrit :     je me suis fait prendre par nimda la semaine derniere (2 jours que j'avais l'ADSL) et j'etais pas sorti couvert (mdr) résultat... formattage... en fait, j'avais mis norton en inactivité... et la j'avais des fichiers *.eml de partout dans le disque !!! c'est pour ça que j'ai dégagé windows 2000 server qui a rien vu venir   ... et j'ai remis ma red hat dans l'espoir de pouvoir installer le modem, parce que j'avais laché l'affaire 3 jours plus tot... mais je m'y suis mis à fond et j'ai réussi !       Bref pour SNORT, je ne sais pas quoi faire de toutes ces alertes, en général t'en fait quoi ? tu les lis ???

 
les alertes nimda, code red ect, tu ten fous sur ton nux, puisque ils attaquent IIS ...
 

dans le rapport généré par SNORT.... comment on reconnait une vraie alerte ? je veux dire quelque chose de risqué ou dangereux parce que pour un néophyte c'est un peu du charabia ! y a des IPs dans tous les sens, y a celles du réseau local (visées...) mais je ne saurais pas dire s'il s'agit d'un site qui envoie une info qui est considérée comme une alerte ou bien quelqu'un qui accede au serveur... (ce qui est surement rare non ?)  

zytrahus5 a écrit a écrit : dans le rapport généré par SNORT.... comment on reconnait une vraie alerte ? je veux dire quelque chose de risqué ou dangereux parce que pour un néophyte c'est un peu du charabia ! y a des IPs dans tous les sens, y a celles du réseau local (visées...) mais je ne saurais pas dire s'il s'agit d'un site qui envoie une info qui est considérée comme une alerte ou bien quelqu'un qui accede au serveur... (ce qui est surement rare non ?)

 
je crois que tu as le nom du module snort qui correspond a lattaque detecter en tete de ligne apres les ip..
 
a verifier.