Sortie de Snort 2.0

Posté par  . Modéré par Amaury.
Étiquettes :
0
15
avr.
2003
Sécurité
La version 2.0 de l'excellent IDS (Système de Détection d'Intrusions) Snort vient de voir le jour.

Parmis les nouveautés on remarquera en particulier :
- amélioration des performances ;
- audit du code par une société externe au projet ;
- amélioration du chroot(). L'annonce (en anglais) :

Snort 2.0 is the result of many months of effort on the part of dozens
of people and has a slew of new features:

* Enhanced high-performance detection engine
* Stateful Pattern Matching
* New detection keywords: byte_test & byte_jump
* The Snort code base has undergone an external third party
professional security audit funded by Sourcefire
(http://www.sourcefire.com)
* Many new and updated rules
* snort.conf has been updated
* Enhancements to self preservation mechanisms in stream4 and frag2
* State tracking fixes in stream4
* New HTTP flow analyzer
* Enhanced protocol decoding (TCP options, 802.1q, etc)
* Enhanced protocol anomaly detection (IP, TCP, UDP, ICMP, RPC, HTTP,
etc)
* Enhanced flexresp mode for real-time TCP session sniping
* Better chroot()'ing
* Tagging system updated
* Several million bugs addressed....
* Updated FAQ (thanks to Erek Adams and Dragos Ruiu)

Aller plus loin

  • # Re: Sortie de Snort 2.0

    Posté par  . Évalué à 10.

    Est-ce qu'il est prévu une version spéciale de DEMARC pour snort 2.0, ou bien les outils marcheront-ils dans 2 mois, une fois les modules codés ?

    • [^] # Re: Sortie de Snort 2.0

      Posté par  . Évalué à 6.

      Euh c quoi DEMARC ?

      • [^] # Re: Sortie de Snort 2.0

        Posté par  . Évalué à 10.

        Un front-end web qui utilise entre autres snort, pour superviser un réseau. Vois la doc d'install : http://mccammon.org/snort/psic.pdf

        • [^] # Re: Sortie de Snort 2.0

          Posté par  . Évalué à 5.

          heuuu c'est CPL ou pas ? pask'ils disent "gratuit pour un usage non-commercial" mais ca veut rien dire ça.....

          • [^] # Re: Sortie de Snort 2.0

            Posté par  . Évalué à 8.

            Ah tiens, c'est nouveau cet aspect commercial... je ne l'avais pas remarqué... :/ Il y a un ou deux ans, il me semble qu'il n'y avait pas de problème de license (sinon je l'aurais pas installé :)) mais la en cherchant un peu, pas moyen de trouver le texte de license. Dommage, c'est un super soft, ce serait bien qu'il continue à être développé de manière *libre*.

            • [^] # Re: Sortie de Snort 2.0

              Posté par  . Évalué à 2.

              J'ai pas téléchargé le soft à cause des restricitons de mon taf mais il serait interessant de voir s'ils livrent les sources ou des binaires.....cela pourrait répondre à nos questions....

              • [^] # Re: Sortie de Snort 2.0

                Posté par  . Évalué à 4.

                C'est principalement une interface web en php, donc il y a des sources. J'avais téléchargé un tarball, dans lequel ilfallait trifouiller, les sources étaient dispo à l'époque... Je sais pas ce que ca donne vraiment maintenant.

                • [^] # Re: Sortie de Snort 2.0

                  Posté par  . Évalué à 0.

                  - tu l'as encore cette archive ? histoire de voir s'il y a pas un fichier contenant la licence dans l'archive ? - je téléchargerai ce soir le tarball chez moi, dois bien y avoir un fichier contenant la licence tout de-même !

                  • [^] # Re: Sortie de Snort 2.0

                    Posté par  . Évalué à 8.

                    PHP ... non non ... Du gros CGI blindé et fermé maintenant ...

                    Demarc, joli certes, mais à éviter.

                    Voir plutôt Snortcenter / Acid si vraiment vous aimez le coté visuel des choses.

                    Mike

  • # Quelques url utiles

    Posté par  . Évalué à 10.

    Voici quelques urls utiles lorsque l'on veut déployer ou tester la tenue en charge de snort, ou tout simplement en savoir un peu plus sur le fonctionnement d'un IDS : - snop : http://www.stolenshoes.net/sniph/index.html Un utilitaire prenant en entrée une base de signatures snort permettant de rejouer ces attaques. Pratique pour la tenue en charge et la validation du moteur de snort - la mailing list focus-ids et la faq associée : http://www.packetnexus.com/idsfaq/ Une excellente mailing list avec des bons gourous (dug song, etc). - arachnids : http://www.whitehats.com/ids/ Un ensemble de signatures compatible snort. - la documentation sur les techniques utilisées par whisker pour échapper aux ids : http://www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html Pratique pour tester rapidement le comportement de snort face aux technique communes d'évasion d'ids : unicode, rejeu, fragmentation, etc. - une base documentaire impressionnante sur les ids : http://www.sans.org/rr/intrusion/ - un "concurrent" : http://www.prelude-ids.org/ Prelude, un ids orienté serveur et réseau, capable d'utiliser les signatures de snort Puis les classiques : fragrouter, nessus, etc.

  • # Several million bugs addressed....

    Posté par  . Évalué à 10.

    Quel travail ;o) Plus sérieusement Snort est un outil très efficace qui prend chez nous de plus en plus d'importance par rapport à d'autres IDS commerciaux. Un article en deux parties était paru sur securityfocus il y a quelques temps pour le déploiement de Snort ... voilà les liens : Complete Snort-based IDS Architecture http://www.securityfocus.com/infocus/1640 http://www.securityfocus.com/infocus/1643 D'autres articles un peu plus anciens : Running Snort http://www.securityfocus.com/infocus/1315 http://www.securityfocus.com/infocus/1316 Snort Installation and Basic Usage http://www.securityfocus.com/infocus/1421 http://www.securityfocus.com/infocus/1422

  • # IDS sur un poste perso

    Posté par  . Évalué à 8.

    Tiens, une ch'tite question. Est-ce d'une quelconque utilité d'installer un ids sur une machine perso ? Bon, le firewall est utile quand on possède un accès haut débit, mais je me demandais si l'ids avait la même utilité (donc, une réelle utilité, pas juste pour découvrir un soft, passez de longue soirée à comprendre le fonctionnement du truc, etc) ?

    • [^] # Re: IDS sur un poste perso

      Posté par  . Évalué à 10.

      AMHA non. Un truc comme Snort regarde passer le traffic et ne sert pas à grand chose chez un particulier sauf si celui-ci aime voir qui essaie de faire quoi sur sa machine. Un bon iptables est à mon avis plus utile. Maintenant, snort permet d'apprendre plein de choses. Mais il ne _fait_ rien (sauf couplé à un plugin ou autre, mais là attention aux DoS et false positives) Un IDS est à mon avis plus utile à un sysadmin dans une oganisation (entreprise, université...) qui ne peut pas se permettre de couper tout le trafic et qui a suffisamment de temps pour jeter un oeil aux logs de Snort afin de voir quel type de trafic malicieux transite sur son réseau, pour éventuellement prendre les mesures appropriées. Maintenant tu fais ce que tu veux, hein...

      • [^] # Re: IDS sur un poste perso

        Posté par  . Évalué à -3.

        Un grand merci pour les réponses. Je potasserai snort quand j'aurai plus de temps, et pour apprendre les ficelles !

    • [^] # Re: IDS sur un poste perso

      Posté par  . Évalué à 8.

      Quand tu t'occupes de sécurité, tu peux toujours installer Snort (ou n'importe quel IDS) sur une machine (avec un serveur web, ftp, ...) que tu relies sur Internet (ADSL par exemple) et tu peux ainsi tester dans un environnement peu sensible le genre de traffic que tu vas recevoir sur un serveur de production. Ce genre de machine ne veut pas dire de le mettre sur ton ordinateur personnel ;o) Ca te permet de gagner du temps quand tu utiliseras un IDS en entreprise car les méchanismes de l'IDS et les attaques les plus fréquentes ne changeront pas vraiment.

    • [^] # Re: IDS sur un poste perso

      Posté par  (site web personnel) . Évalué à 8.

      Je l'ai mis sur ma passerelle perso, essentiellement pour le fun. Il y a énormement d'alertes à traiter, mais la console ACID aide beaucoup. Beaucoup d'alertes sont déclenchées à tort, mais j'ai réussi à repérer plusieurs choses intéressantes : - un exim mal configuré sur la machine d'un pote, qui m'envoyait des centaines de mails en attente - un mot de passe ftp trop facile à deviner (test/test) - j'ai bien fait de ne pas installer IIS :-) Pour ceux qui ont le temps, ça peut-être instructif, mais je pense qu'il faut ensuite désactiver les règles "inutiles" comme par exemple tout ce qui concerne frontpage/IIS quand on a un simple apache.

  • # Une fonctionnalité qui manque

    Posté par  (site web personnel) . Évalué à 6.

    Je sais pas si je dit une connerie, mais, il faut recompiler snort pour avoir le support d'une base de données ? Ce qui oblige les distributions, sauf erreur de ma part, a faire plusieurs paquets, pour ne pas avoir un snort bloatware qui est capable de se connecter à toutes les bases. Donc, ce que j'aimerais bien, et je sais pas ce que vous en pensez, ce serait d'avoir un systéme de chargement dynamique ( pas à la compilation ), comme pour postfix 2.0. Trou de sécurité ? Inutilité ? Watt dou iou sink auphe tisse ?

    • [^] # Re: Une fonctionnalité qui manque

      Posté par  . Évalué à -10.

      Code !

    • [^] # Re: Une fonctionnalité qui manque

      Posté par  . Évalué à 10.

      Oui enfin d'un autre côté, tu ne vas pas changer ton mode de stockage des données tous les 4 matins. Donc l'intérêt des modules est très limité.

      De plus, je ne vois pas où est le problème pour une distro de générer 3 paquets différents avec chacun une option.

      Voici le découpage sur la Debian qui ne me semble ni farfelu ni lourd:
      snort - Flexible Network Intrusion Detection System
      snort-common - Flexible Network Intrusion Detection System
      snort-doc - Documentation for the Snort IDS.
      snort-mysql - Flexible Network Intrusion Detection System
      snort-pgsql - Flexible Network Intrusion Detection System
      snort-rules-default - Flexible Network Intrusion Detection System

      • [^] # Re: Une fonctionnalité qui manque

        Posté par  (site web personnel) . Évalué à 7.

        C'est pas une question de lourdeur, c'est plus une question d'élégance.

        Snort utilise déja des plugins, sauf erreur de ma part. Il ne me semble pas possible de pouvoir les charger dynamiquement.
        C'est juste une question d'élégance, c'est le même probléme pour mplayer, qui a tout, mais réglable uniquement au moment du configure.

        Mais, je suis d'accord, ç'est pas si important.

        • [^] # Re: Une fonctionnalité qui manque

          Posté par  . Évalué à 0.

          C'est pas franchement inélégant, plusieurs paquets.

          Si les paquets debian ont un sens, ça signifie que le support des différentes base de donnée est modulaire. A moins qu'il y ait un différent binaire dans chaque paquet, ce qui est possible mais, pour le coup, inélégant.

  • # Re: Sortie de Snort 2.0

    Posté par  . Évalué à 2.

    "...audit du code par une société externe au projet..."

    Je tiens simplement à préciser que la s"ociété externe" s'appelle SourceFire et qu'elle a été créée par Marty Roesch, qui n'est autre que le concepteur d'origine de...Snort !

    Il s'agit en quelque sorte d'un IDS qui a été audité de l'extérieur par son concepteur ;-)

    ---thierry---

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.