IDS en Open Source

• # Re: IDS en Open Source

  Posté par Brice Favre (site web personnel) le 11 avril 2003 à 10:44. Évalué à 10.

  

  Il faudrait peut-être se rapprocher d'un projet comme prelude :
  http://www.prelude-ids.org/(...)

  • [^] # Re: IDS en Open Source

    Posté par Cédric Foll le 11 avril 2003 à 11:37. Évalué à 10.

    

    Oui ce projet est en effet très prometteur. Qui plus est il est dvl par une équipe française.
    
    Je l'ai testé sur ma DMZ il marche très bien et sa spécif modulaire est très bien pensée.
    
    Le seul problème pour l'instant est l'absence d' outil pour visualiser les alertes aussi performant qu'acidlab. Deux projets d'interace web sont en cours de développement.

    • [^] # Re: IDS en Open Source

      Posté par Misc (site web personnel) le 11 avril 2003 à 18:15. Évalué à 1.

      

      Quelqu'un peut me dire pourquoi il n'y a pas de paquet debian, et des paquets mandrake trés agés ?

      • [^] # Re: IDS en Open Source

        Posté par Benoît Sibaud (site web personnel) le 11 avril 2003 à 21:40. Évalué à 5.

        

        Y a un Intend To Package chez Debian, mais ça a l'air un peu mort http://bugs.debian.org/cgi-bin/bugreport.cgi?archive=no&bug=111462

        • [^] # Re: IDS en Open Source

          Posté par Babou le 11 avril 2003 à 23:03. Évalué à 6.

          

          Bonsoir, Je poste pour Yoann Vandoorselaere, créateur et principal développeur de Prelude, qui manque d'XP pour le faire. Il y avait un probleme pour créer des packages Debian vu que l'édition des liens est faite avec Open SSL et qu'il fallait inclure un texte : LICENSE ISSUES ============== The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit. See below for the actual license texts. Actually both licenses are BSD-style Open Source licenses. In case of any license issues related to OpenSSL please contact openssl-core@openssl.org. Lien complémentaire: http://listes.tuxfamily.org/?A=READ&L=prelude-devel_prelude-ids.org/2003/3/12/0 Voilou

          • [^] # Re: IDS en Open Source

            Posté par Babou le 11 avril 2003 à 23:05. Évalué à 2.

            

            Et zut, j'ai oublié: des packages seront disponibles dès la prochaine release. Bon ce coup-ci c'est je crois.

    • [^] # Re: IDS en Open Source

      Posté par snihf (site web personnel) le 11 avril 2003 à 20:08. Évalué à 5.

      

      > Oui ce projet est en effet très prometteur. Qui plus est il est dvl par une équipe française. J'aime beaucoup la philosophie de ce projet personnellement. Et puis Yoann Vandoorselaere a l'air d'etre quelqu'un de tres competent. Quelqu'un sait s'il est toujours chef de projet chez Mandrake ? PS : ils cherchent qqn pour le frontend php, si vous etes interesses :)

      • [^] # Re: IDS en Open Source

        Posté par Babou le 11 avril 2003 à 23:11. Évalué à 5.

        

        Yoann ne travaille plus chez MandrakeSoft depuis décembre dernier. Le projet a besoin de sponsor : http://listes.tuxfamily.org/?A=READ&L=prelude-devel_prelude-ids.org/2003/3/12/0

• # Mon exp de snort

  Posté par Cédric Foll le 11 avril 2003 à 11:46. Évalué à 10.

  

  Je suis admin d'un parc assez important (une 30 de machines en DMZ), g un serveur avec MySQL dessus, g installé acidlab sur mon poste.
  
  Plusieurs machines ont snort d'installés et elle envoient leur alertes sur le serveur MySQL et je visualise/efface les alertes à partir de mon poste grace à ACIDLAB.
  
  Cela fonctionne vraiement super bien. Le pb est par contre le grand nb d'alertes et la difficulter à correler tout ça. Ce qui fait que je regarde juste les trucs graves et passe à coté de pas mals de choses faute de temps.
  
  Qq'un a des experiences avec SnortSnarf, SnortCenter, SnortCon ?

  • [^] # Re: Mon exp de snort

    Posté par cozon (site web personnel) le 11 avril 2003 à 22:15. Évalué à 3.

    

    J'utilise aussi acid, j'en suis plutôt content malgré le suivi qu'il demande. Je suis aussi intéressé par des retours sur d'autres outils.

  • [^] # Re: Mon exp de snort

    Posté par Babou le 11 avril 2003 à 23:15. Évalué à -2.

    

    30 machines c un tout petit parc :) Annonce-moi 500 machines, là on pourra commencer à parler de parc important. <troll potentiel> Bon ensuite, passe voir Prelude, il fait tout ce que fait Snort, mieux, et bien plus ! :) </troll potentiel>

• # Re: IDS en Open Source

  Posté par snihf (site web personnel) le 11 avril 2003 à 12:07. Évalué à 5.

  

  En fait je comprends pas bien l'interet..
  Le but c'est de faire une distribution IDS ? mais c'est sense apporter quoi par rapport a une installation "normale" sur laquelle on installe apres un IDS comme Prelude ou Snort ? de la simplicite ? en meme temps je vois pas bien comment on peut faire ca, la configuration d'un IDS dependant completement de l'architecture du reseau, ya pas vraiment de configuration par defaut, ca revient a tout configurer en fait..

  • [^] # Simplicité

    Posté par Olivier le 11 avril 2003 à 12:15. Évalué à 5.

    

    Une des idées de départ du projet était d'avoir une installation la plus simplifiée possible pour des machines dont le rôles était de faire de l'IDS.
    
    Dans les menus d'installations, au lieu d'avoir serveur, station de travail etc .. tu peux aussi choisir : IDS manager ou
    senseur par exemple.
    
    Les DBs pour le reporting, monitoring, auditing sont alors déja installées, initialisées et tu peux te retrouver avec un front web qui gère l'ensemble sans devoir passer par des heures de configuration.
    
    C'est pas faux de dire que ce projet vise principalement des réseaux importants à la base ... chez nous il faut compter plusieurs dizaines de DMZ et plus de 10 firewalls (pour la seule partie dont je m'occupe).
    
    Olivier

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.