Règles snort



  • Bonjour,

    Ancien utilisateur d'ipcop, je me lance à fond dans pfsense…

    J'aurais voulu savoir quelles sont les règles snort à activer et les blacklister combien de temps?

    J'ai notamment activé pop3 et j'ai eu la suprise d'avoir mon serveur pop3 blacklisté...

    Merci d'avance,



  • Votre question, à cause de sa forme, comme du fond ne peut recevoir de réponse.

    La forme parce que je ne comprend pas :

    et les blacklister combien de temps?

    Blacklister une règle pendant un certain temps je ne sais pas ce que cela veut dire.

    Le fond pose problème aussi.

    J'aurais voulu savoir quelles sont les règles snort à activer

    Cette question ressemble un peu çà celle ci : Quel âge avait Henry IV ?
    Je vois laisse méditer l'absurdité de ma question.

    Essayons d'expliquer un peu tout cela, toutefois sans répondre directement à vos questions. Expliquons au moins pourquoi c'est impossible.

    Snort est in ids, un outil logiciel permettant de détecter des tentatives d'intrusion visant un ou plusieurs des services et serveurs accessibles depuis un réseau. Lorsqu'une tentative est détectée (il reste à comprendre comment) une alarme est émise. Alarme à partir de laquelle on prendra une décision.
    On comprend bien que prendre la décision d'interdire une ip qui tente d'accéder à un serveur IIS alors que l'on exploite un serveur Apache n'a pas grand sens et surtout aucune utilité. Vous aurez compris que lechoix des règles dépend donc des services à protéger. En l'état il n'y a que vous qui sachiez ce qu'il y a protéger sur votre réseau.

    J'ai expliqué qu'une alarme nécessite un traitement, une prise en charge. Réagir lundi matin à une alarme qui date de vendredi soir est dérisoire. Tout cela suppose des moyens humains importants que vous n'avez sans doute pas. Une structure (votre domicile ?) qui utilise ipcop n'a pas de cellule de supervision réseau 24/7. Celle qui en possède n'utilise pas ipcop et ne viennent pas poser ce type de question ici. Reste l'aspect didactique, la beauté du geste.

    L'exploitation de Snort en IPX pose bien des problèmes de faux positifs et de régalge. Votre dernière phrase, du moins pour ce que je suppose en comprendre en est une bonne illustration. Ca coupe mais ca devrait pas ha ?

    Nous sommes plusieurs à avoir expliqué ici pourquoi un ids n'avait pas sa place sur le firewall. Je n'y reviens pas.

    Adopté une politique de sécurité solide et cohérente, maintenez la opérationnelle et vous serez bien plus en sécurité qu'avec un Snort mal configuré. L'accumulation d'outils mal maitrisés n'améliore rien, au contraire.



  • "et toc!" j'ai envi de dire ^^

    Bref, soyons sérieux j'ai une question. J'ai moi même divers services à protéger, mais j'ai aucune idée des "catégorie de règles" Snort à désactiver/activer. Y'a il quelque part plus d'information pour faire le lien :

    service à protéger <=> activation de tel catégorie de règles

    Parce que on ne peut pas dire que toutes des dénomination des catégories suivantes soit très explicites :

    
    attack-responses.rules
    backdoor.rules
    bad-traffic.rules
    bad-traffic.so.rules
    chat.rules
    chat.so.rules
    content-replace.rules
    ddos.rules
    deleted.rules
    dns.rules
    dos.rules
    dos.so.rules
    emerging-attack_response.rules
    emerging-compromised.rules
    emerging-current_events.rules
    emerging-dos.rules
    emerging-drop.rules
    emerging-dshield.rules
    emerging-exploit.rules
    emerging-game.rules
    emerging-inappropriate.rules
    emerging-malware.rules
    emerging-p2p.rules
    emerging-policy.rules
    emerging-rbn.rules
    emerging-scan.rules
    emerging-tor.rules
    emerging-user_agents.rules
    emerging-virus.rules
    emerging-voip.rules
    emerging-web.rules
    emerging-web_client.rules
    emerging-web_server.rules
    emerging-web_specific_apps.rules
    emerging-web_sql_injection.rules
    emerging.rules
    experimental.rules
    exploit.rules
    exploit.so.rules
    finger.rules
    ftp.rules
    icmp-info.rules
    icmp.rules
    imap.rules
    imap.so.rules
    info.rules
    local.rules
    misc.rules
    misc.so.rules
    multimedia.rules
    multimedia.so.rules
    mysql.rules
    netbios.rules
    netbios.so.rules
    nntp.rules
    nntp.so.rules
    oracle.rules
    other-ids.rules
    p2p.rules
    p2p.so.rules
    pfsense-voip.rules
    policy.rules
    pop2.rules
    pop3.rules
    porn.rules
    rpc.rules
    rservices.rules
    scada.rules
    scan.rules
    shellcode.rules
    smtp.rules
    smtp.so.rules
    snmp.rules
    specific-threats.rules
    spyware-put.rules
    sql.rules
    sql.so.rules
    telnet.rules
    tftp.rules
    virus.rules
    voip.rules
    web-activex.rules
    web-attacks.rules
    web-cgi.rules
    web-client.rules
    web-client.so.rules
    web-coldfusion.rules
    web-frontpage.rules
    web-iis.rules
    web-misc.rules
    web-php.rules
    x11.rules
    
    


  • Vous trouverez tout cela, et bien d'autres choses, dans ce livre en français :
    Sécurité réseau avec Snort et les IDS

    http://www.amazon.fr/Sécurité-réseau-avec-Snort-IDS/dp/2841773086/ref=sr_1_1?ie=UTF8&s=books&qid=1257692749&sr=1-1


Log in to reply