Introduction à Snort

• # question stupide

  Posté par Anonyme le 25 juin 2001 à 19:39. Évalué à 0.

  

  Ca ne serait pas mieux d'empecher de rentrer plutot que de detecter les entrées?

  • [^] # Re: question stupide

    Posté par François Désarménien le 25 juin 2001 à 19:48. Évalué à 1.

    

    Bien sûr ! Et c'est le rôle des pare-feu !
    
    Mais :
    
    - qu'est-ce qui te garanti que tu arrête
    bien le traffic malicieux ?
    - Analyser des alertes est plus facile que
    les rejets des filtres
    - Les attaque peuvent (et souvent) viennent
    de l'interieur ou les règle sont souvent
    plus souples pour assurer le << confort >>
    des utilisateurs
    - ...

  • [^] # Re: réponse stupide

    Posté par un nain_connu le 25 juin 2001 à 19:52. Évalué à 1.

    

    On détecte surtout les *tentatives* d'intrusion (enfin j'espère parce que sinon on est *mal*). Ca peut pas faire de mal de regarder les scripts kiddies se casser les dents sur notre OpenBSD 2.9 tout neuf :-)
    
    La sécurité est un tout, et un IDS fait partie de ce tout. Ca ne remplace pas un firewall, mais apporte un plus à la sécurité de ton système d'information.

  • [^] # Re: question stupide

    Posté par Amaury le 25 juin 2001 à 19:56. Évalué à 1.

    

    Non à cause des "false positives" : Snort n'est pas infaillible et quelqu'un connaissant bien Snort pourrait tirer parti de ce logiciel pour faire refuser l'accès à une personne 'honnète', voire à tout le monde (DoS). C'est à l'admin de bosser les logs (des progs style swatch peuvent très bien faire 90% du boulot à ta place en isolant les logs suspects de la forêt de lignes innofensives) et de prendre les mesures adéquates.
    
    Ceci dit il existe un plugin pour automatiser les réponses (ajout de règles ipchains, par exemple), mais cette politique est déconseillée pour tout ce qui n'est pas machine personnelle : si chez toi le fait de ne pouvoir accéder à un service ne fait que te géner 5 minutes, une entreprise subissant un DoS peut perdre beaucoup d'argent. Si tu veux prendre le risque de faire 'DoSer' ta machine, essaie PortSentry qui est pas mal mais bien bourrin (il se connecte sur chaque port non préalablement affecté, et insère des règles de filtrage et/ou des entrées dans /etc/hosts.deny).
    
    L'administrateur avisé utilisera plutot Snort+SnortSnarf et/ou swatch, avec une base de signatures réduits pour ne pas trop charger la machine. Car Snort sur un 10mbps bien chargé bouffe beaucoup de CPU et commence à dropper des paquets assez rapidement.
    
    Une initiative assez intéressante est Prélude ( http://prelude.sourceforge.net(...) ), qui demande beaucoup moins de CPU que Snort, mais reste moins abouti que Snort.

    • [^] # Re: question stupide

      Posté par Anonyme le 25 juin 2001 à 20:21. Évalué à 0.

      

      Une autre tentative _interessante_ :)
      http://devsecure.sourceforge.net(...)

    • [^] # Re: question stupide

      Posté par Benoît Sibaud (site web personnel) le 25 juin 2001 à 23:13. Évalué à 1.

      

      Il y a 3 modes pour portsentry et tous n'obligent pas à être bien bourrin. Il peut très bien (sous Linux) se contenter d'écouter les entrées sur la raw socket. De plus il peut aussi se contenter de logger en cas de port probe/scan.
      
      J'ai déjà vu un collègue (qui traîne par ici des fois) se faire un joli DoS tout seul en bloquant les serveurs NFS, les serveurs DNS et le serveur NIS :)

      • [^] # Re: question stupide

        Posté par shbrol le 26 juin 2001 à 13:18. Évalué à 1.

        

        C'est absolument scandaleux de dire des choses pareilles. Il ne m'est jamais arrive rien de tel, et ce n'etait pas sur le serveur de l'equipe, pas du tout ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.