lundi 13 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: Sortie de Snort 2.0

Posté par Cédric Foll (page perso, ). Modéré le 15 avril 2003.
0
La version 2.0 de l'excellent IDS (Système de Détection d'Intrusions) Snort vient de voir le jour.

Parmis les nouveautés on remarquera en particulier :
- amélioration des performances ;
- audit du code par une société externe au projet ;
- amélioration du chroot().

> Lire la suite (24 commentaires, moyenne: 9).   [dépêche : 936 caractères]

L'annonce (en anglais) :

Snort 2.0 is the result of many months of effort on the part of dozens
of people and has a slew of new features:

* Enhanced high-performance detection engine
* Stateful Pattern Matching
* New detection keywords: byte_test & byte_jump
* The Snort code base has undergone an external third party
professional security audit funded by Sourcefire
(http://www.sourcefire.com)
* Many new and updated rules
* snort.conf has been updated
* Enhancements to self preservation mechanisms in stream4 and frag2
* State tracking fixes in stream4
* New HTTP flow analyzer
* Enhanced protocol decoding (TCP options, 802.1q, etc)
* Enhanced protocol anomaly detection (IP, TCP, UDP, ICMP, RPC, HTTP,
etc)
* Enhanced flexresp mode for real-time TCP session sniping
* Better chroot()'ing
* Tagging system updated
* Several million bugs addressed....
* Updated FAQ (thanks to Erek Adams and Dragos Ruiu)

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Re: Sortie de Snort 2.0

Posté par olivp () le 15/04/2003 à 09:25. (lien). Évalué à 12.

Est-ce qu'il est prévu une version spéciale de DEMARC pour snort 2.0, ou bien les outils marcheront-ils dans 2 mois, une fois les modules codés ?

Quelques url utiles

Posté par AlphA () le 15/04/2003 à 09:42. (lien). Évalué à 44.

Voici quelques urls utiles lorsque l'on veut déployer ou tester la tenue en charge de snort, ou tout simplement en savoir un peu plus sur le fonctionnement d'un IDS : - snop : http://www.stolenshoes.net/sniph/index.html Un utilitaire prenant en entrée une base de signatures snort permettant de rejouer ces attaques. Pratique pour la tenue en charge et la validation du moteur de snort - la mailing list focus-ids et la faq associée : http://www.packetnexus.com/idsfaq/ Une excellente mailing list avec des bons gourous (dug song, etc). - arachnids : http://www.whitehats.com/ids/ Un ensemble de signatures compatible snort. - la documentation sur les techniques utilisées par whisker pour échapper aux ids : http://www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html Pratique pour tester rapidement le comportement de snort face aux technique communes d'évasion d'ids : unicode, rejeu, fragmentation, etc. - une base documentaire impressionnante sur les ids : http://www.sans.org/rr/intrusion/ - un "concurrent" : http://www.prelude-ids.org/ Prelude, un ids orienté serveur et réseau, capable d'utiliser les signatures de snort Puis les classiques : fragrouter, nessus, etc.

Several million bugs addressed....

Posté par Olivier () le 15/04/2003 à 09:45. (lien). Évalué à 34.

Quel travail ;o) Plus sérieusement Snort est un outil très efficace qui prend chez nous de plus en plus d'importance par rapport à d'autres IDS commerciaux. Un article en deux parties était paru sur securityfocus il y a quelques temps pour le déploiement de Snort ... voilà les liens : Complete Snort-based IDS Architecture http://www.securityfocus.com/infocus/1640 http://www.securityfocus.com/infocus/1643 D'autres articles un peu plus anciens : Running Snort http://www.securityfocus.com/infocus/1315 http://www.securityfocus.com/infocus/1316 Snort Installation and Basic Usage http://www.securityfocus.com/infocus/1421 http://www.securityfocus.com/infocus/1422

IDS sur un poste perso

Posté par saorge () le 15/04/2003 à 10:14. (lien). Évalué à 8.

Tiens, une ch'tite question. Est-ce d'une quelconque utilité d'installer un ids sur une machine perso ? Bon, le firewall est utile quand on possède un accès haut débit, mais je me demandais si l'ids avait la même utilité (donc, une réelle utilité, pas juste pour découvrir un soft, passez de longue soirée à comprendre le fonctionnement du truc, etc) ?

Une fonctionnalité qui manque

Posté par Misc (page perso, ) le 15/04/2003 à 12:33. (lien). Évalué à 6.

Je sais pas si je dit une connerie, mais, il faut recompiler snort pour avoir le support d'une base de données ? Ce qui oblige les distributions, sauf erreur de ma part, a faire plusieurs paquets, pour ne pas avoir un snort bloatware qui est capable de se connecter à toutes les bases. Donc, ce que j'aimerais bien, et je sais pas ce que vous en pensez, ce serait d'avoir un systéme de chargement dynamique ( pas à la compilation ), comme pour postfix 2.0. Trou de sécurité ? Inutilité ? Watt dou iou sink auphe tisse ?

Re: Sortie de Snort 2.0

Posté par g_gosseyn () le 17/04/2003 à 23:37. (lien). Évalué à 2.

"...audit du code par une société externe au projet..."

Je tiens simplement à préciser que la s"ociété externe" s'appelle SourceFire et qu'elle a été créée par Marty Roesch, qui n'est autre que le concepteur d'origine de...Snort !

Il s'agit en quelque sorte d'un IDS qui a été audité de l'extérieur par son concepteur ;-)

---thierry---

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1456s (dont 0.0508 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !