Log snort sur Mysql

codercrack

Bonjour a tous !!!!

Voila je voudrais que mes alertes snort de mon pfsense remonte sur un serveur Mysql qui est installé sur un serveur debian.

Donc j'ai remplis le champs 'Log to a mysql database.'dans la configuration avancé de snort sur pfsense: output database: log, mysql, dbname=snort user=*** host=192.168.2.250:3306 password = ******* (avec ou sans l'identification du port)**

Mais dans les log : J'ai authentification Mysql Faild !!!!

Sur le serveur debian j'ai installé BASE (Basic Analysis and Security Engine) qui lui se connecte correctement a la base snort du serveur Mysql.

Voila j'espère avoir été assez clair !!!

jdh

N'y aurait-il pas quelques questions sur l'authentification MySQL ?

Quand on veut accéder à distance à un serveur MySQL, il faut

• connaitre l'ip du serveur et le n° de port,
• d'identifier avec user et mot de passe,
• indiquer la base à laquelle on veut accéder.

Le serveur MySQL devra, sans doute, avoir quelques définitions pour ces 3 points. N'est-il pas ?

Une piste serait peut-être autour de "grant" et "flush privileges" …

codercrack

??? ??? ??? ??? ???euuuh je ne comprend pas bien car dans post il me semble bien avoir précisé toutes ces infos, les revoilà

output database: log, mysql, dbname=snort user=***** host=192.168.2.250:3306 password = *******

bon c vrai que j'ai mis des etoiles a la place du user et du password !!!

mais l'ip et le port du serveur y sont ainsi que le nom de la base !!!

sinon le user et en "flush privileges"

jdh

Relis un peu : j'écris qu'il y a FORCEMENT quelque chose à configurer sur le serveur MySQL.

Par exemple, si on lit la syntaxe de grant on explicite précisément le user, la machine source, …

cf http://dev.mysql.com/doc/refman/5.0/fr/grant.html (si ce n'est pas clair ...)

NB : La différence c'est que l'accès à partir du localhost n'est pas identique à l'accès à partir d'une machine distante ... (user@localhost et user@machine)

jdh

Alors, où en est on ?

verash

Perso des fois avec mysql quand j'ai des problemes de conexion a la base, je vais directement dans la base et change le mdp…sur le user qui se connect...

ou alors j'enleve totalement le passwd le temps des tests...(que je remet aprse evidement...) pour m'assurer que ce n'est pas le mdp qui pose problème...mais je ne suis pas un crack en mysql...loin de la...mais j'arrive a me debrouiller sur des petits problèmes de ce genre...

jdh

Il me semble très clair que le problème est lié à une incompréhension des droits MySQL.

Il ne suffit pas d'avoir un serveur MySQL.
Encore faut-il définir quel users, quel mots de passe, quelle bases, quelles machines (sources).

Bref aucun rapport avec pfSense.

codercrack

dsl mais j'etait passé sur autre chose avant de me repencher la dessus.

concernant les droit j'avais parfaitement compris seulement je me suis un peu aider de l'idée verash, j'ai d'abord enlevé le mot pour ensuite le remettre et l'a tout a fonctionné.

cependant je viens de monté un serveur Vmware EXSi 4, j'ai opté pour une l'installation d'une debian serveur avec snort/mysql/base  en amont et en aval du pfsense .

cela a pour effet de me faire gagné plus de ressources sur le pfsense car snort est tres gourmand (pfsense avec 1 Go etait a 80 % d'utilisation avec snort)

voila !!!!

merci d'avoir répondu a mon post !!!

Merci David pour ton idée ;) !!!

ccnet

@codercrack:

cela a pour effet de me faire gagné plus de ressources sur le pfsense car snort est tres gourmand (pfsense avec 1 Go etait a 80 % d'utilisation avec snort)

voila !!!!

Haaaaaa bon ???
No comment.

jdh

Ce qui est dommage, c'est de ne pas avoir compris que le problème venait de l'authentification au sein du serveur MySQL (et de guère le reconnaitre).

Concernant l'architecture indiquée, quelques réflexions personnelles : (à moins que ce soit une totale provocation ?)

• l'utilisation d'IDS (comme snort) est TRES discutable. (Je ne suis pas le seul à l'écrire : par exemple ccnet … qui vient de répondre)
  Un IDS parait, sur le papier, comme quelque chose de très intéressant.
  Mais la pratique est TELLEMENT exigeante pour être efficace ... que cela réserve l'utilisation à de grosses structures avec de gros moyens.

Le pire est toujours de croire que l'on est capable de comprendre ce qui se passe alors que l'on est réellement ignorant !

• Position d'un IDS :
  Il serait très surprenant de mettre un IDS devant un firewall !
  C'est la garantie d'avoir soit rien soit une foule d'alertes sans le moindre intérêt.

Un IDS devrait être sur une machine … n'ayant pas d'adresse ip (compatible avec le réseau interne de l'entreprise).

Je ne parle même pas du matériel actif nécessaire ...

En tout cas, moi, je n'activerais jamais un IDS sur un firewall !

• La virtualisation :
  Virtualiser sur le même serveur des machines situées sur des zones différentes est une hérésie !
  Tout comme virtualiser un firewall (en production) ce qui est assez stupide !

Ah sainte virtualisation "solution miracle" ! (prière à genoux pendant 30')

Bref, comme qui dirait, pas très intéressant ...

codercrack

euh je ne voit pas ou j'ai été provocant mais bon c'est pas bien grave.
ensuite si tu avais bien lu j'ai compris mon erreur suite au lien que tu m'avait donné !!! car j'ai bien spécifié que cela a fonctionné !!! mais que j'avais opté pour une autre solution !!!

De plus la virtualisation me permet de faire des test a moindre couts car je ne suis pas une entreprise mais un simple particulier !!! la mise en place de l'ids est juste la pour me familiarisé avec sont fonctionnent et sont installation  je ne suis pas un point de blindé ma maison avec firewall / ids / honeypot etc ….....

Je connait bien la position de ccnet concernant l'ids dans un firewall et je suis de d'accord avec lui, mais je le répète encore une fois je n'est pas les moyens d'une entreprise donc je fait avec ce que j'ai !!!

dernière chose je n'est jamais dit que j'avais installé un firewall en virtualisation juste une simple debian et d'autre distrib (tous ca pour tester).

maintenant si l'un de vous est prés a me fournir des machines pour remplacer la virtualisation je suis ouvert a tous !!!!

voila j'espère avoir été assez clair.

Sujet clos en ce qui me concerne.

jdh

Les deux simples mots "de fait" aurait été une reconnaissance qu'une solution était logique.
(Outre la compréhension du problème, j'ai quand même passé le temps de chercher la page utile de doc, non ?)

Pour un IDS, il faut du trafic. Donc la maison ne parait pas le mieux.

Essayer un IDS sur un firewall ne parait pas très sérieux. D'ailleurs le package serait plutôt un exercice d'école AMHA.

Les moyens nécessaires à la bonne exploitation sont ENORMES : expertise, connaissance des protocoles, hauteur de vue et temps ! AMHA quand on a l'expertise, on sait comment et où installer un IDS.

Un schéma avec 2 VM chacune connectée de part et d'autre du firewall N'EST PAS DU TOUT un schéma sérieux (sauf pour test … ce qu'on ignore, et encore !). Moi aussi j'ai une machine pour tester la virtualisation mais je ne l'utilise pas pour acquérir une compétence très longue à obtenir et qui me serait très inutile.

Avant de se mettre à un IDS, il y a peut-être des choses plus directement utiles : par exemple, administrer les droits de MySQL.
Bon allez, je blague, je pique un peu ... mais c'est pour la bonne cause ...

Meulator

;D Ca ne change pas ici!

Mais enfin codercrack, tu n'as pas compris que PFsense est un firewall, et uniquement un firewall? Les développpeurs sont complètement à la masse, et ajoutent des fonctionnalités juste pour réduire la sécurité!! D'ailleurs, tous les constructeurs de firewall au monde sont tous aussi débiles, puisqu'ils intègrent maintenant pour la plupart un IPS, un IDS, et même un Antispam, les fous!

Bref, si tu veux sécuriser la NASA, vaut mieux éviter Pfsense… sans dec....

Juve

ou ne pas ajouter de package.

ccnet

Il vous faudrait apprendre à faire la différence entre la technique et le marketing. Les constructeurs ont de très bonne raisons d'ajouter ces composants dans leurs produits. Donc il le font. Il y a un marché pour des produits conçus de cette façon et c'est une raison bien suffisante. Si il y avait un marché pour des vélos avec trois pédales, il y en aurait.
Vous seriez aussi bien inspiré de découvrir les ouvrages de Bruce Schneier. "Secrets et mensonges. Sécurité numérique dans un monde en réseau" est un classique disponible en français.
Cela vous donnera, peut être, un regard différent sur ces questions et, peut être, ne pas ajouter le package.

Meulator

Non mais j'ai l'impression que vous ne comprenez pas, ou du moins que vous faites exprès de ne pas comprendre, sous couvert d'un professionalisme à toute épreuve ; on a bien compris que ce n'est pas avec Pfsense, avec ou sans packages, que l'on va sécuriser la banque de France ou tout autre institution dont les données sont absolument capitales, et qui sont soumises à un risque de par leur status, attirant les convoitises.

Mais qui vient ici pour utiliser Pfsense? Des administrateurs réseaux de petites structures ou plus grosses pour une utilisation en interne, des gens du milieu associatif, etc…. et sauf erreur, parmis eux, aucuns n'ont de secret bancaire ou médical à protéger!
Pour qu'il y ai danger, il faut un risque : la petite maison de retraite qui s'installe un réseau informatique, l'association qui vient en aide aux démunis, le salon de thé qui met à disposition du wifi, qu'est ce qu'ils risquent? Qu'on regarde combien de thés ils ont vendu dans la journée? Savoir combien touche l'employé de salle? Mazette!

Alors vaut il mieux qu'ils n'aient pas de firewall du tout, ou un firewall avec des package pratiques installés, au risque que kevin mitnick les hacks? Parcequ'il faut bien être honnète, les gens capable de bypasser un firewall, même avec des packages, il y en a pas des masses... (bon bien sûr faut un minimum de logique dans la config du FW....)

Quant a l'argument commercial, franchement je veux bien mais.... 1) Dons mis à part, Pfsense doit pas non plus se faire des milles et des cent. 2) Si l'on prend du Sonicwall par exemple  : les firmware évoluent, et proposent + de fonctions : ça, ça coute rien. Les gens ont acheté un firewall qui avait 3 fonctions, 6 mois plus tard grace a une évo de FW, il a 6 fonctions : il est ou l'argument marketing là? L'achat n'a pas été fait sur la base d'une éventuelle évolution, mais sur le fait que le produit convenait à la base.

Après, oui, on peut voir des théroie du complot partout, c'est comme les virus "qui sont créés par les boites d'antivirus" ; doit on se passer pour autant d'antivirus?

Merci pour la référence "littéraire" en tout cas, je vais y jeter un oeil si j'en ai l'occasion :)

jdh

"sous couvert de professionnalisme à toute épreuve"

Perso, je vois mon job comme

• prescripteur d'une solution,
• installateur de la solution,
• exploitant de la solution.

Pour le point 1, mon rôle est de comprendre chaque solution, chaque points techniques annoncés, de faire la synthèse et de proposer le meilleur choix.
J'ai l'expérience de la distinction entre marketing et réalités techniques. Il est très facile de faire de belles plaquettes, et, comme les promesses "cela n'engage que ceux qui les écoutent" !

Prenons Sonicwall, la gamme conseillée pour les PME est la série TZ.
Il faut regarder de très près la doc (http://www.sonicwall.com/downloads/DS_FR_TZ_Series_A4.pdf).

L'utilisation systématique d'acronymes flous (comme "Reassembly-Free Deep Packet Inspection", "Clean VPN" ou "Unified Threat Management") est la marque du marketing.
Par exemple, d'un côté l'antispam est décrit par l'expression "SonicWALL Comprehensive Anti-Spam Service", plus loin on lit "Prise en charge RBL, listes d’autorisation/blocage" (je cite).
Pas d'IDS dans cette gamme TZ !
Il est notable que n'est jamais mentionné le type de CPU mais la mémoire est souvent très limitée (128M de mémoire vive : un peu juste pour 1000 nouvelles connexions par seconde, non ?).

Et les concurrents idem

Je ne crois pas que vous ayez jamais compris que la sécurité c'est avant tout une posture, un état d'esprit !

(Que dire d'un fil qui commence par un bête problème de droits sur serveur MySQL avec confusion, continu par un schéma avec virtualisation avec des pattes avant/après un firewall, et se termine par "il y a ici toujours des débiles" … ?)

Je l'ai écrit : il n'y a pire insécurité que celle de l'immodestie !

Juve

Meulator,
Concernant les comptes ou structures utilisant pfSense et les données qu'il protège. Je suis désolé de vous décevoir mais à l'heure actuelle je l'ai déployé sur des comptes industriels de très grande taille, dans certaines zones de défense du ministère de l'intérieur et enfin puisque l'on parle du domaine médical sachez que plus de 20 millions d'identités médicales sont protégées par pfsense sur notre territoire (si vous habitez en France ou dans ses DOM).
Bien entendu les architectures sont dimmensionnées (techniquement et fonctionnellement) en conséquence, la sécurité est loin d'être un simple problème technique.

ccnet

C'est sans état d'âme que j'ai récemment remplacé Pix ou Arkoon par Pfsense dans des structures qui n'ont rien à voir avec des jardins d'enfants ou la cantine d'une maison de retraite.

Meulator

Au temps pour moi Juve / ccnet, cela ne me déçoit aucunement! Je ne voulais pas attaquer directement Pfsense, mais je me suis laissé embarqué pour tenter de faire comprendre mon point de vue ; Vous avez probablement raison, je dis simplement que tout le monde n'a pas les mêmes exigences de sécurité : pour la base avec des fiches médicales, il faut une sécurité extrème, et donc je suis d'accord, éviter tout modules supplémentaires. Pour le café du coin, les exigences sont bien moins hautes, et donc ajouter le proxy, snort ou tout autre chose ne remet pas en question la sécurité des utilisateurs, puisque de toute façon il n'y a pour ainsi dire RIEN à pirater.

Jdh > Vous interprêtez mes propos en étant tout à fait hautain, et immodeste comme vous le dites ; je ne me suis pas targué d'être un AS de la sécurité, je dis simplement (encore une fois) qu'il existe différent niveau de sécurité, et c'est d'ailleurs valable dans tous les domaines ; Dans mon appartement, j'ai une porte avec simplement deux serrures, et la porte n'est pas blindée : certes, ce n'est pas ce qu'il y a de plus sécurisé, mais cela rempli son rôle à savoir d'empêcher mes voisins ou n'importe qui poussent ma porte d'y entrer comme dans un moulin. Mettre une porte blindée serait évidemment le choix le plus judicieux sécuritairement parlant, seulement je ne veux pas mettre autant d'argent dans ce système très sophistiqué, tout simplement car ce que j'ai a proteger, dans mon appartement, n'est pas d'immense valeur ; si je me faisait cambrioler, je serais certes embêté, je perdrais un peu de temps et d'argent, mais c'est tout. J'ajouterais également qu'en toute logique, si un pirate souhaite s'introduire dans mon réseau ou dans mon appartement, si il est bon il y parviendra forcément, porte blindée ou non. A contrario, si j'habitait dans un quartier huppé, que j'étais un personnage publique et que j'avais un appartement plein de choses très chères, il est certain que j'aurai une très bonne porte blindée, une alarme, des caméras… mais je pense et j'espère que vous avez saisi ce point de vue.

En outre, jdh, vous parlez du marketing des fabricant de matériel informatique : vous avez en partie raison bien entendu... mais la panique sécuritaire, n'est ce pas également une forme de marketing, asser nauséabon? "Oulalala Monsieur, mais vous avez une serrure 2 points, vous ne savez pas qu'il vous faut une porte blindée Duchmoll? Han! Vous n'avez pas de système d'alarme? Savez vous que 78% des personnes qui n'ont pas d'alarme se font cambrioler en moyenne 10x plus que les autres?" etc etc etc.....;

Effectivement vous avez raison pour la partie IDS sur la série TZ ; ils sont toutefois équippés d'un IPS. Au moment d'écrire les lignes sur Sonicwall je pensais à la série NSA.

Je ne relèverais pas vos dernières phrases puisqu'elles sont parfaitement insultantes, et encore une fois hautaines ; prenez au moins le temps de lire les réponses qui vous sont faites, et de prendre en comptes les exemples qui y sont donnés. Dans votre réponse à Codercrack vous écrivez "Le pire est toujours de croire que l'on est capable de comprendre ce qui se passe alors que l'on est réellement ignorant !" ce qui est parfaitement incohérent. Si l'on croit que l'on est capable, pourquoi penserait on que l'on est ignorant? Je veux bien que par rapport à vous, nous soyons tous ignorants nous pauvres cloportes, mais tout de même, comme gagner de l'expérience si l'on n'expérimente pas nous même? Encore une fois, ne vous sentez pas concerné car il est évident qu'avec la science infuse on n'a pas de risques de se tromper. C'est justement là qu'intervient le forum d'entraide : On croit pouvoir, on essaye, ça ne fonctionne pas, on vient éventuellement chercher des réponses, ou, mieux, des explications.... mais on ne vient jamais au grand jamais poster sur un forum pour que le grand manie tout nous envoie ses reflexions qu'il croit spirituelles et nous traine dans la boue lorsque l'on emet une hypothèse... je suis désolé, mais il n'y a pas "les gens qui savent" et "les gens qui ne savent pas". Vous n'avez jamais essayé de bricoler chez vous? De comprendre ce qui déconne dans ce micro-onde, même si vous n'avez jamais fait d electronique de votre vie? De monter un meuble, même si vous n'êtes pas menuisier?

Enfin, une dernière petite pique : il me semblait que lors de notre dernière altercation vous aviez décidé de ne plus me répondre?! Vous auriez la mémoire courte? :)
;D