Forum général.cherche-logiciel Quelle solution IDS choisir ?

Posté par ratw3 le 13 janvier 2011 à 12:49.

Étiquettes : aucune

jan.

2011

Bonjour à tous!

Voilà ma problématique je souhaiterai pouvoir être informé par mail + interface des tentatives d'intrusions sur mes serveurs en DMZ. (2)

Je dispose également d'un firewall PIX pour lequel j'ai mis en place une interface super sympat pour consulter les logs de DROP/DENY (ca s'appel PLA Pix Log Architecture) le problème c'est que si je ne vais rien voir ... rien ne remonte :(
- Ainsi que sur mes 2 serveurs en DMZ de règles IPTABLES que j'aimerai aussi pouvoir analyser

Donc voilà je ne sais pas trop comment m'y prendre ...

Il semble qu'il y ait plusieurs solutions:

- Connecter une machine sur le switch en promesceous mode pour analyser les données qui transitent ... (Cette solution me semble assez périlleuse à mettre en place.../rsique de lenteurs et c'est pas dit que tout soit analysé notamment les attaques sur le flux SSL)

- Installer des IDS sur mes 2 serveurs en DMZ (là ca me parait plus simple... ou pas :)

- Faire de l'analyse sur les fichiers de logs en les centralisant -- je ne sais pas si un IDS fait ca ou non ...

- Je ne sais pas si cela se fait mais je dispose d une VM pour les taches d'administration qui a accès a tous mes serveurs (dont ceux en DMZ) et sur laquelle je centralise deja pas mal de logs... (via syslog-ng) l'idée serait alors de mettre un serveurs IDS central sur cette machinne avec des sondes sur la DMZ mais peut être que là je dis n'importe quoi ...

Qu'en pensez vous et quelle solution serait la plus aisé à mettre en place ??? avec mes prérequis remonté d'info sur interface web + mail pour les trucs vraiment critiques

Merci à tous pour vos idées!!!

# HIDS : OSSEC

Posté par tuxsmouf le 13 janvier 2011 à 12:56. Évalué à 3.

J'utilise depuis plusieurs mois déjà un HIDS opensource qui s'appelle ossec

http://www.ossec.net

Il est assez simple à installer et à utiliser au quotidien. Je pense qu'il pourrait t'interesser.
- [^] # Re: HIDS : OSSEC
  
  Posté par ratw3 le 13 janvier 2011 à 13:17. Évalué à 1.
  
  Bonjour,
  
  Merci pour ce retour!
  
  En effet ça a l'air simple à mettre en place je viens de lire un peu la doc.
  
  Mais je n'ai pas vu d'interface web pour le visionnage des alertes tu peux confirmer ?
  
  Merci d'avance!
  - [^] # Re: HIDS : OSSEC
    
    Posté par tuxsmouf le 13 janvier 2011 à 15:06. Évalué à 2.
    
    Ossec propose une interface web à installer à part mais elle est très basique et je ne l'utilise que très rarement.
    Je me base principalement sur les alertes envoyées par email (Pas ou peu de règles à modifier à la base).
    Ensuite, s'il faut chercher plus loin, je consulte directement les logs du serveur.
    - [^] # Re: HIDS : OSSEC
      
      Posté par ratw3 le 13 janvier 2011 à 16:53. Évalué à 1.
      
      que pensez vous également de prelude ids et alienvault ?
    - [^] # Re: HIDS : OSSEC
      
      Posté par ratw3 le 13 janvier 2011 à 17:07. Évalué à -1.
      
      que pensez vous également de prelude ids et alienvault ?
# log du pix

Posté par eric gerbier (site web personnel) le 14 janvier 2011 à 10:42. Évalué à 1.

tu peux configurer ton PIX pour envoyer ses log sur un serveur syslog distant

ensuite, il existe des logiciels d'analyse des log CISCO, comme par exemple fwanalog

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.