Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Le Mercredi 17 Janvier 2007 17:58, [EMAIL PROTECTED] a écrit : Personnellement c'est aussi une installation local (1 seul post) que j'aurais à faire, je ne sais pas si je peux te demandé un petit morceau de log (histoire de voir si il est aussi performant qu'il en a l'aire) avec les sortes d'attaque et les parades qu'il a intreprit (que tu as paramétré) (si par exemple les scan de ports son enregistré avec l'IP de l'attaquant? si il est possible de faire d'autre notification que par mail?) En brût pour les premiers 12 h de tests... [EMAIL PROTECTED] lolo]# tail -f /var/ossec/logs/active-responses.log jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 201.236.4.225 1169145163.509834 3302 Pour /var/ossec/logs/ossec.log il ne produit pas grand chose sauf si tu mets dans /var/ossec/etc/internal_options.conf: # Windows debug (used by the windows agent) windows.debug=1 # Syscheck (local, server and unix agent) syscheck.debug=1 # Remoted (server debug) remoted.debug=1 # Analysisd (server or local) analysisd.debug=1 # Log collector (server, local or unix agent) logcollector.debug=1 redémarre ossec : /etc/init.d/ossec restart
Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Personnellement c'est aussi une installation local (1 seul post) que j'aurais à faire, je ne sais pas si je peux te demandé un petit morceau de log (histoire de voir si il est aussi performant qu'il en a l'aire) avec les sortes d'attaque et les parades qu'il a intreprit (que tu as paramétré) (si par exemple les scan de ports son enregistré avec l'IP de l'attaquant? si il est possible de faire d'autre notification que par mail?) si tu as eu des problèmes quelquonque, ou alors des petites précision à faire? OSSEC HIDS avec son site http://www.ossec.net/fr/manual.html c'est vraiment parfait (en français en plus) merci d'avance ;) Laurent Besson a écrit : Le Mercredi 17 Janvier 2007 03:37, [EMAIL PROTECTED] a écrit : mais j'ai eu un très bonne avis sur http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et celui ci maintenant) Un petit retour... L'installation (type local) un bonheur !!! :) D'ailleurs je viens de recevoir un mail ! (qui m'appelle ?) OSSEC HIDS Notification. 2007 Jan 17 05:43:50 Received From: helios-ossec-monitord Rule: 502 fired (level 3) - Ossec server started. Portion of the log(s): ossec: Ossec started. --END OF NOTIFICATION Moi je ne connaissais pas OSSEC HIDS ! Donc un grand merci ! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: RE : question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Je te remercie, j'avais quelque rétissance sur Snort (par sa popularité, et son système de régle de filtrage à mettre à jours) j'ai lu sur différent site que Snort été vraiment bien, mais j'ai des doutes, si par exemple une personnes utilise une attaque maison, l'éfficacité des régles est forcement inutile. Si vous aviez des sites sur les fonctionnalités de SNORT (http://www.hsc.fr/ressources/presentations/ids-free/img14.htm il ne fait pas d'analyse du système?) on m'a parlé aussi de prelude-ids, mais j'ai eu un très bonne avis sur http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et celui ci maintenant) http://www.linux.ie/articles/portsentryandsnortcompared.php après la lecture, j'ai complètement laché l'idée portsentry... et si je par sur OSSEC HIDS, logcheck serait totalement inutile. Pitshou Asingalembi a écrit : bonjour comme IDS je te propose snort car la plupart des IDS commerciaux sont basés sur lui.Et il faut dire qu'une bonne communauté l'utilise donc plusieurs solutions ont été mise en place. Tu peux le combiner avec plusieurs outils pour une administration facilitée. Pour logcheck, pour l'analyse de tes fichiers des logs.Je pense que c'est la bonne solution. Merçi Découvrez une nouvelle façon d'obtenir des réponses à toutes vos questions ! Profitez des connaissances, des opinions et des expériences des internautes sur Yahoo! Questions/Réponses http://fr.rd.yahoo.com/evt=42054/*http://fr.answers.yahoo.com. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Le Mercredi 17 Janvier 2007 03:37, [EMAIL PROTECTED] a écrit : mais j'ai eu un très bonne avis sur http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et celui ci maintenant) Un petit retour... L'installation (type local) un bonheur !!! :) D'ailleurs je viens de recevoir un mail ! (qui m'appelle ?) OSSEC HIDS Notification. 2007 Jan 17 05:43:50 Received From: helios-ossec-monitord Rule: 502 fired (level 3) - Ossec server started. Portion of the log(s): ossec: Ossec started. --END OF NOTIFICATION Moi je ne connaissais pas OSSEC HIDS ! Donc un grand merci !