Snort se désactive selon les règles
-
Il me faut juste quelques pistes pour débuter, quel livre me conseillerez vous dans cette liste: Amazon (dans la langue de Molière de préférence ;D)
-
Si un seul, le premier.
-
très bien merci beaucoup, si je comprends bien un IDS est comme un antivirus, il s'installe sur uen plateforme Unix/Linux/Windows et se configure de façon pointue ?
Existe t'il des OS spécialement dédiées à ça ?
Il vaut mieux mettre un firewall devant un IDS?EDIT: livre commandé :D :D :D
-
Désolé pour mon premier lien qui n'est plus actif. Celui ci l'est : http://beta.redes-linux.com/manuales_english/seguridad/snort_enterprise.pdf même si ancien les principes demeurent.
Si il n' y a pas d'OS dédié en open source il y des plateformes complète pour gagner du temps comme EasyIDS : http://www.skynet-solutions.net/easyids/default.asp
Pour le placement ce n'est ni devant ni derrière mais plutôt … à côté. Ce n'est ni une plaisanterie ni un jeu de mot. Une bonne méthode consiste à utiliser un switch administrable permettant de créer Vlan et span port (port de copie) comme les Cisco 2900XL et autres. Le switch va copier tout le trafic d'un ou plusieurs port vers un autre sur lequel on branchera la sonde, c'est à dire une interface réseau de Snort sans adresse ip. Une seconde interface, sur un réseau protégé, sera utilisée pour l'administration Snort et la consultation des alertes. On est donc parfois amené à placer plusieurs sondes en différents endroits du réseau. Pfsense 2 disposera d'un port de copie. C'est une configuration qui dissimule assez bien Snort ce qui est important. Une méthode d'attaque consiste à inonder l'IDS, ce qui suppose qu'il a été détecté, pour se dissimuler ou le saturer.
Nous sommes assez loin de l'antivirus.La configuration consiste en particulier à choisir les jeux de règles que l'on active selon ses besoins. Pas nécessaire de déclencher des alertes sur des tentatives dirigées contre SQL Server si l'on utilse MySQL.
IDS Policy Manager peut être utile pour une partie de ce travail. -
Merci beaucoup ccnet,
Ah oui j'avais lu un article sur les spanport, ça tombe bien dans mon environnement de test j'ai un 2900XL :D, mais dans ce cas là l'IDS agit un peu comme un sniffer, il surveille mais peut il agir ou ne fait il que remonter les alertes ? -
Quand on lance ccnet sur snort, ça déménage … Et j'aime bien ça, car on est souvent d'accord !
Evidemment, il faut choisir dans la collection O'Reilly !
Il y a quelques Linux Magazine qui ont aussi parlé d'IDS :
- juin 2010 : OSSEC un HIDS qui fait le café
- Hors-série 41 : Configurer et optimiser son firewall
(Et pourquoi aussi peu d'articles sur le sujet ... cherchez bien !)
Evidemment le site de référence www.snort.org où on s'aperçoit qu'il y a derrière la société sourcefire qui détient aussi ... clamav.
Je répète qu'il est nécessaire d'avoir une (très très) bonne culture réseau : on parle de paquet ip, presque de l'ethernet de base !
Et bien évidemment il faut avoir compris les couches de tcp/ip et connaitre à fond les protocoles usuels (smtp, http, dns, icmp, ...............)
(D'habitude on met seulement 3 points de suspension !)Le positionnement (et la prise de trafic) est indiqué par ccnet, normal.
Faut-il ajouter qu'il est très dangereux d'imaginer agir sur le trafic (afin de ne pas de créer un auto denial of service !) ? -
Ah bah en effet je viens de me souvenir de où j'avais vu ces infos… J'avais acheter le linux mag sur OSSEC l'HIDS qui fait le café et avec mes dernières recherches je comprends bien mieux comment cela fonctionne.
Mon livre arrive lundi :D :D :D mes nuits vont être longues ::)
J'ai plutôt une bonne culture réseau, j'adore ce domaine, mais j'ai encore énormément à apprendre ça c'est sur.
Je comprends bien que si l'IDS agissait de façon trop agressive un auto-denial of service serait vraiment paradoxal... une sorte "d'auto agression" ;D- Mais dans ce cas l'IDS ne fait que dire "eh ya eu une tentative d'intrusion là" mais qui agit ou qui peut le bloquer ? le firewall ?
- Il y a une communication entre l'IDS et le firewall ? On peut peut être voir l'IDS comme une machine branchée en parallèle du firewall ?
(Qui a dit que je me posais beaucoup de question ? ::))
-
Bonjour,
Personnellement en production je suis d'accord, mais pour un réseau personnel depuis que j'ai intégré Snort, HAVP and Co j'ai beaucoup moi de trafic chez moi qui comporte quand même de la vidéo surveillance, un serveur multimédia, deux portable, des appareils Hifi en réseau, une Wii.. Je suis peut-être une exception mais je me vois mal avoir une machine pour Snort, une pour un antivirus…..
De plus j'avais peur que la bande passante en prenne un coup, ben non toujours autant.
Maintenant pour Pfsense il serait vraiment judicieux pour le Team Pfsense de faire la différence entre des Packages 100% compatible, ceux qui tournent et ceux qui pourrait tourner. Car la désinstallation voir la configuration de certain est un peut limite.
Et quand on voit les logs de Snort on est un peut envahi.
Mais je remercie quand même ceux qui nous aides et Pfsense qui apporte la seule solution qui intègre un peut tous ce que l'on veut.
@+
Actuellement tourne sur Pfsense selon ma config. Voir ce poste. http://forum.pfsense.org/index.php/topic,33511.0.html
Reste à corrigée les erreurs du log et à stabilisé le tous.
-
Mais dans ce cas l'IDS ne fait que dire "eh ya eu une tentative d'intrusion là" mais qui agit ou qui peut le bloquer ? le firewall ?
C'est toute la différence entre un IDS et un IPS.
Pour les packages, la core team a toujours prévenu que c'était des developpement additionnels, maintenus par des tiers et qu'il fallait passer par une phase de test avant de les utiliser. Ils ont deja beaucoup de travail avec pfSense, donc pas réellement le temps de jouer avec les packages.
-
Et quand on voit les logs de Snort on est un peut envahi.
Vous prêchez un convaincu ! C'est un des problèmes. Snort brut de fonderie c'est inexploitable.
