Sécurité : La suite Sentry de retour sous licence GPL/CPL
Posté par Alain Degreffe (). Modéré le 06 octobre 2003.
Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.
Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:
- GPL pour logcheck
- CPL pour portsentry
Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.
![[en]](../images/en.png)
Le projet sur Sourceforge (1260 hits)-
Le rachat de Cisco (423 hits)
-
La licence CPL (669 hits)
> Lire la dépêche (20 commentaires, moyenne: 3,8).
Vous avez demandé le commentaire #279773.
Run by 
Cette page a été générée par Templeet en 0.0654s (dont 0.0064 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Re: La suite Sentry de retour sous licence GPL/CPL
nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux
Le début de l'insécurité sur TF^W^W LinuxFr ?
Plus sérieusement, a-t-on des chiffres/études/preuves/trolls sur cette affirmation ?
[^]Re: La suite Sentry de retour sous licence GPL/CPL
Tu met une règle LOG sur ton iptables pour toutes les demandes de connexions extérieures, sur une machine de bureau avec l'ADSL.
J'ai un paquet droppé toutes les 10 secondes en moyenne, avec des IP source différentes. J'ai pas d'IDS pour savoir si c'est grave, mais je ne vois pas très bien ce que les gens pourraient vouloir faire sur ma machine à part l'attaquer ...
Il y a quelques années, je crois que c'était plutôt 10 par jour.
[^]Re: La suite Sentry de retour sous licence GPL/CPL
C'est sur que 10 par secondes c'est inquietant...
Perso chez moi c'est plutot de l'ordre de 10 par heure, enfin bon (pour ma machine perso @ home)
Note : la regle LOG c'est pas mal, mais essayez ULOG c'est vraiment bien, et mon logcheck, justement, ne remonte pas les paquets droppés, c'est FWlogwatch qui s'en charge.
Les fans de Ubuntu et leurs CD, c'est comme les Mormons avec leur évangile, ils en ont toujours sur eux à donner, au cas où.
Zorro.
[^]Re: La suite Sentry de retour sous licence GPL/CPL
Je crois que le monsieur a dit "une fois toute les 10 secondes" et pas 10 par secondes... (y'a juste un facteur 100, quand meme).
[+] [^]Re: La suite Sentry de retour sous licence GPL/CPL
Ah oui ... Un facteur 100...
Ca me paraissait un peu exagéré aussi...
;-)
Les fans de Ubuntu et leurs CD, c'est comme les Mormons avec leur évangile, ils en ont toujours sur eux à donner, au cas où.
Zorro.
[^]Re: La suite Sentry de retour sous licence GPL/CPL
C'est la conséquence logique d'une massification de l'accès à Internet.
pis de toute façon, les attaques sont à 99% lancées par des gamins donc le risque d'attaque réussie (si on suit les mises à jour) est faible...
--
[^]Re: La suite Sentry de retour sous licence GPL/CPL
remplace gamins par virus 8)
[^]Re: La suite Sentry de retour sous licence GPL/CPL
note que l'on voit aussi, pour les machines en ip non fixe, les
'résidus' de p2p. eg: ta nouvelle ip appartenait à une machine faisant
du p2p, donc tous les clients p2p qui se souviennent de cette adresse
viennent tenter de se connecter à ton poste.
ceci dit, effectivement, le nombre de scan sur des ports non p2p est
effectivement lui aussi non négligeable...
[^]Re: La suite Sentry de retour sous licence GPL/CPL
ceci dit, effectivement, le nombre de scan sur des ports non p2p est
effectivement lui aussi non négligeable...
sauf que sur certain reseau les ports ne sont pas fixé, ainsi sur edonkey par exemple tu peut choisir le port de ton choix...
[^]Re: La suite Sentry de retour sous licence GPL/CPL
Il ne faut pas non plus tomber dans la parano aigüe.
Quand je regarde les logs de mon firewall, la grande majorité des tentatives de connexion, elles concernent les ports utilisés par kazaa et autre machins de p2p.
Il suffit de se récupérer l'adresse IP de quelqu'un utilisant un de ces softs, et tous les gens qui étaient connectés précédemment à sa machine vont essayer d'y revenir pendant des heures !
[^]Re: La suite Sentry de retour sous licence GPL/CPL
Plus sérieusement, a-t-on des chiffres/études/preuves/trolls sur cette affirmation ?
http://www.dshield.org/(...)
http://isc.incidents.org/(...)
http://www.cert.org/stats/(...)
+ ya de fou, + ça rigole
http://www.nua.com/surveys/how_many_online/(...)
http://www.intergov.org/public_information/general_information/late(...)