Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Règles snort

    Scheduled Pinned Locked Moved Français
    4 Posts 3 Posters 4.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jldbaro
      last edited by

      Bonjour,

      Ancien utilisateur d'ipcop, je me lance à fond dans pfsense…

      J'aurais voulu savoir quelles sont les règles snort à activer et les blacklister combien de temps?

      J'ai notamment activé pop3 et j'ai eu la suprise d'avoir mon serveur pop3 blacklisté...

      Merci d'avance,

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Votre question, à cause de sa forme, comme du fond ne peut recevoir de réponse.

        La forme parce que je ne comprend pas :

        et les blacklister combien de temps?

        Blacklister une règle pendant un certain temps je ne sais pas ce que cela veut dire.

        Le fond pose problème aussi.

        J'aurais voulu savoir quelles sont les règles snort à activer

        Cette question ressemble un peu çà celle ci : Quel âge avait Henry IV ?
        Je vois laisse méditer l'absurdité de ma question.

        Essayons d'expliquer un peu tout cela, toutefois sans répondre directement à vos questions. Expliquons au moins pourquoi c'est impossible.

        Snort est in ids, un outil logiciel permettant de détecter des tentatives d'intrusion visant un ou plusieurs des services et serveurs accessibles depuis un réseau. Lorsqu'une tentative est détectée (il reste à comprendre comment) une alarme est émise. Alarme à partir de laquelle on prendra une décision.
        On comprend bien que prendre la décision d'interdire une ip qui tente d'accéder à un serveur IIS alors que l'on exploite un serveur Apache n'a pas grand sens et surtout aucune utilité. Vous aurez compris que lechoix des règles dépend donc des services à protéger. En l'état il n'y a que vous qui sachiez ce qu'il y a protéger sur votre réseau.

        J'ai expliqué qu'une alarme nécessite un traitement, une prise en charge. Réagir lundi matin à une alarme qui date de vendredi soir est dérisoire. Tout cela suppose des moyens humains importants que vous n'avez sans doute pas. Une structure (votre domicile ?) qui utilise ipcop n'a pas de cellule de supervision réseau 24/7. Celle qui en possède n'utilise pas ipcop et ne viennent pas poser ce type de question ici. Reste l'aspect didactique, la beauté du geste.

        L'exploitation de Snort en IPX pose bien des problèmes de faux positifs et de régalge. Votre dernière phrase, du moins pour ce que je suppose en comprendre en est une bonne illustration. Ca coupe mais ca devrait pas ha ?

        Nous sommes plusieurs à avoir expliqué ici pourquoi un ids n'avait pas sa place sur le firewall. Je n'y reviens pas.

        Adopté une politique de sécurité solide et cohérente, maintenez la opérationnelle et vous serez bien plus en sécurité qu'avec un Snort mal configuré. L'accumulation d'outils mal maitrisés n'améliore rien, au contraire.

        1 Reply Last reply Reply Quote 0
        • B
          BorisLeHachoir
          last edited by

          "et toc!" j'ai envi de dire ^^

          Bref, soyons sérieux j'ai une question. J'ai moi même divers services à protéger, mais j'ai aucune idée des "catégorie de règles" Snort à désactiver/activer. Y'a il quelque part plus d'information pour faire le lien :

          service à protéger <=> activation de tel catégorie de règles

          Parce que on ne peut pas dire que toutes des dénomination des catégories suivantes soit très explicites :

          
attack-responses.rules
backdoor.rules
bad-traffic.rules
bad-traffic.so.rules
chat.rules
chat.so.rules
content-replace.rules
ddos.rules
deleted.rules
dns.rules
dos.rules
dos.so.rules
emerging-attack_response.rules
emerging-compromised.rules
emerging-current_events.rules
emerging-dos.rules
emerging-drop.rules
emerging-dshield.rules
emerging-exploit.rules
emerging-game.rules
emerging-inappropriate.rules
emerging-malware.rules
emerging-p2p.rules
emerging-policy.rules
emerging-rbn.rules
emerging-scan.rules
emerging-tor.rules
emerging-user_agents.rules
emerging-virus.rules
emerging-voip.rules
emerging-web.rules
emerging-web_client.rules
emerging-web_server.rules
emerging-web_specific_apps.rules
emerging-web_sql_injection.rules
emerging.rules
experimental.rules
exploit.rules
exploit.so.rules
finger.rules
ftp.rules
icmp-info.rules
icmp.rules
imap.rules
imap.so.rules
info.rules
local.rules
misc.rules
misc.so.rules
multimedia.rules
multimedia.so.rules
mysql.rules
netbios.rules
netbios.so.rules
nntp.rules
nntp.so.rules
oracle.rules
other-ids.rules
p2p.rules
p2p.so.rules
pfsense-voip.rules
policy.rules
pop2.rules
pop3.rules
porn.rules
rpc.rules
rservices.rules
scada.rules
scan.rules
shellcode.rules
smtp.rules
smtp.so.rules
snmp.rules
specific-threats.rules
spyware-put.rules
sql.rules
sql.so.rules
telnet.rules
tftp.rules
virus.rules
voip.rules
web-activex.rules
web-attacks.rules
web-cgi.rules
web-client.rules
web-client.so.rules
web-coldfusion.rules
web-frontpage.rules
web-iis.rules
web-misc.rules
web-php.rules
x11.rules
          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Vous trouverez tout cela, et bien d'autres choses, dans ce livre en français :
            Sécurité réseau avec Snort et les IDS

            http://www.amazon.fr/S%C3%A9curit%C3%A9-r%C3%A9seau-avec-Snort-IDS/dp/2841773086/ref=sr_1_1?ie=UTF8&s=books&qid=1257692749&sr=1-1

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.