Forum général.cherche-logiciel Quelle solution IDS choisir ?

Posté par .
Tags : aucun
3
13
jan.
2011
Bonjour à tous!

Voilà ma problématique je souhaiterai pouvoir être informé par mail + interface des tentatives d'intrusions sur mes serveurs en DMZ. (2)

Je dispose également d'un firewall PIX pour lequel j'ai mis en place une interface super sympat pour consulter les logs de DROP/DENY (ca s'appel PLA Pix Log Architecture) le problème c'est que si je ne vais rien voir ... rien ne remonte :(
- Ainsi que sur mes 2 serveurs en DMZ de règles IPTABLES que j'aimerai aussi pouvoir analyser

Donc voilà je ne sais pas trop comment m'y prendre ...

Il semble qu'il y ait plusieurs solutions:

- Connecter une machine sur le switch en promesceous mode pour analyser les données qui transitent ... (Cette solution me semble assez périlleuse à mettre en place.../rsique de lenteurs et c'est pas dit que tout soit analysé notamment les attaques sur le flux SSL)

- Installer des IDS sur mes 2 serveurs en DMZ (là ca me parait plus simple... ou pas :)

- Faire de l'analyse sur les fichiers de logs en les centralisant -- je ne sais pas si un IDS fait ca ou non ...

- Je ne sais pas si cela se fait mais je dispose d une VM pour les taches d'administration qui a accès a tous mes serveurs (dont ceux en DMZ) et sur laquelle je centralise deja pas mal de logs... (via syslog-ng) l'idée serait alors de mettre un serveurs IDS central sur cette machinne avec des sondes sur la DMZ mais peut être que là je dis n'importe quoi ...

Qu'en pensez vous et quelle solution serait la plus aisé à mettre en place ??? avec mes prérequis remonté d'info sur interface web + mail pour les trucs vraiment critiques

Merci à tous pour vos idées!!!
  • # HIDS : OSSEC

    Posté par . Évalué à 3.

    J'utilise depuis plusieurs mois déjà un HIDS opensource qui s'appelle ossec

    http://www.ossec.net

    Il est assez simple à installer et à utiliser au quotidien. Je pense qu'il pourrait t'interesser.
    • [^] # Re: HIDS : OSSEC

      Posté par . Évalué à 1.

      Bonjour,

      Merci pour ce retour!

      En effet ça a l'air simple à mettre en place je viens de lire un peu la doc.

      Mais je n'ai pas vu d'interface web pour le visionnage des alertes tu peux confirmer ?

      Merci d'avance!
      • [^] # Re: HIDS : OSSEC

        Posté par . Évalué à 2.

        Ossec propose une interface web à installer à part mais elle est très basique et je ne l'utilise que très rarement.
        Je me base principalement sur les alertes envoyées par email (Pas ou peu de règles à modifier à la base).
        Ensuite, s'il faut chercher plus loin, je consulte directement les logs du serveur.
        • [^] # Re: HIDS : OSSEC

          Posté par . Évalué à 1.

          que pensez vous également de prelude ids et alienvault ?
        • [^] # Re: HIDS : OSSEC

          Posté par . Évalué à -1.

          que pensez vous également de prelude ids et alienvault ?
  • # log du pix

    Posté par (page perso) . Évalué à 1.

    tu peux configurer ton PIX pour envoyer ses log sur un serveur syslog distant

    ensuite, il existe des logiciels d'analyse des log CISCO, comme par exemple fwanalog

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.