Ce document fournit un excellent point de départ pour toute personne intéressée par la détection d'intrusion. La détection d'intrusion est l'art de détecter les activités anormales, inappropriées et inexactes (...).
Voilà, avec tout ça les Script Kiddies boutonneux devraient avoir quelques difficultés à mettre à mal vos serveurs (vu que la plupart ne comprennent même pas ce qu'ils font) - A vous de jouer :)
Aller plus loin
- L'article de SecurityFocus (3 clics)
- La FAQ de SANS (2 clics)
- La FAQ de PacketNexus (2 clics)
- Procédure en cas d'intrusion (4 clics)
# Cadeau de noel
Posté par Jean-Pierre Schwickerath (site web personnel) . Évalué à 10.
A coté d'une restriction maximum des ouvertures, une détection faite aussi tôt que possible d'une éventuelle attaque est le meilleur outil de l'admin...
[^] # Voici venu le temps... [banalités]
Posté par feth . Évalué à -2.
Je sus pas un N4X0R, mais on m'a dit qu'au pays du minitel il était bien plus facile et rentable de H4X0R ce dernier.
Pour la news : les Script Kiddies boutonneux devraient avoir quelques difficultés à mettre à mal vos serveurs (vu que la plupart ne comprennent même pas ce qu'ils font) - A vous de jouer :)
Comme si l'admin boutonneux de base comprenait ce qu'il fait.
apt-get install portsentry ne sera jamais une protection efficace et beaucoup de gens le savent, mais combien dorment en paix tandis que leurs machines sont infestées par des vilains NH4X0RZ ?
-1 pour la banalité
[^] # Vous croyez au Père Noël ?
Posté par VACHOR (site web personnel) . Évalué à 10.
Il faut employer les bon moyens aux bons endroits. De plus, ce n'est pas parce-que vous avez un IDS que cet IDS n'est pas hacké. Je ne vois pas pourquoi ce type de soft aurais moins de trous de sécurité que d'autre. Un IDS = un soft en plus à gérer, administrer, upgrader, ... et un trou de sécurité potentiel en plus ! Ne pas oublier de faire toutes les mises à jour de sécurité.
Bref, un IDS, c'est bien mais ça se gère finement.
[^] # Re: Vous croyez au Père Noël ?
Posté par hideo . Évalué à 5.
De plus tu parle de volonté et de moyens, tu as peut être encore du temps après une journée de 19h pas moi, et perso j'estime que les outils sont un bon complément... voire une nécessité.Quand aux moyens la réponse est simple : la sécurité n'est pas franchement la tasse de thé de beaucoup des sociétés présentent sur le net (ça coûte cher et ça ne rapporte pas grand chose).
<!--
quand les mouettes sont dans le mazout, elles y restent.
-->
[^] # Re: Vous croyez au Père Noël ?
Posté par Jean-Pierre Schwickerath (site web personnel) . Évalué à 9.
Le problème de bcp de sociétés commence là où l'on décide de renforcer la politique de sécurité actuelle. Dans moultes, l'unique décision valable c'est de recommancer à zero... On vire tout... Tous les utilisateurs et leurs mots de passes et, et, et...
Et puis on remet tout en place doucement... On recréé les utilisateurs, on force la prise d'un mot de passe de plus de 8 charactères, on vérifie avec un dictionnaire d'au moins 32Mo.
Ensuite on bloque tous les accès de l'interieur, comme de l'extérieur. Et service après service, on réouvre, en tenant bien compte de toutes les possibilités....
Sûr c'est
1. du boulot
2. ca prend du temps
3. il faut un bon planning
4. ca énerve les utilisateurs
Mais après un est relativement tranquille pour un bout de temps et on peut se consacrer à la lecture des bugtracks et autres security news pour toujours bien être à jour.
Et le responsable de sécurité ne devrait pas être "allo, j'ai un problème avec on outlook". Pour ça, il y a d'autres personnes...
[^] # Ne pas oublier...
Posté par Loup Ysengrin . Évalué à 5.
N'oublions pas que, d'une part, les boutons sur le visage ne se voient pas au téléphone, et que d'autre part, on ne reconnait pas nécessairement un script kiddy à ses boutons.
# Honeypots
Posté par Loic Jaquemet . Évalué à 10.
C'est un projet qui essaye de viser plutot les 'Uberhackers' , decouvrir les nouvelles techniques etc...
http://project.honeynet.org/(...)
ca se base la plupart du temps sur l'utilisation de NIDS .
# Les NIDS et HIDS :)
Posté par Eric Romang . Évalué à 10.
* Tripwire : Un HIDS qui permet de vérifier l'authenticité de ses fichiers, à partir d'une base de donnée inscriptible sur CD-Rom.
* LogSurfer : Un HIDS qui parcours les logs, et qui réagit (email, fermeture de compte, etc.) suivant les règles que vous lui avez fournis.
* ScanLogd : Un HIDS qui permet de détecter le scanning de port. Fonctionne en bonne combinaison avec logsurfer.
* SWATCH : Père de logsurfer au même possibilitée mais plus limitée.
* Snort : UN HIDS et NIDS, tout dépend de l'utilisation à faire. L'output Snort peut être visible au travers d'une interface Web (php+mysql) ou encore au travers de SnortSnarf. Par contre, SnortSnarf ne permet pas d'avoir une bonne vue journalière des évènements de la journée et vous pouvez vite vous laissez débordé par Nimda ;)
Et encore bien d'autres, la liste est bien longue, mais une chose est sûre, combiné les IDS, vous serez plus efficace.
Cordialement.
[^] # Re: Les NIDS et HIDS :)
Posté par Mathieu Dessus (site web personnel) . Évalué à 9.
[^] # Et Prelude !
Posté par Babou . Évalué à 8.
Ok, le projet est encore jeune, mais très prometteur.
Donc tout le monde sur prelude.sourceforge.net ! Go go go ! :)
# MARRE DE VOS ATTAQUES !
Posté par Arnold Schwartzeneger . Évalué à -10.
de ses concurrents ? On attaque la libre entreprise ! On veux une
société communiste, avec des kolkhozes de programmeurs payé au
SMIC. Personne, pas même ceux des concurrents ratés qui attaque
aujourd'hui MST, personne n'a jamais accusé MST d'avoir imposé
Windows 95 en utilisant des moyens illégaux. Car les looser
braillard défaits par bill Gâte n'ont jamais proposé le
moindre produit équivalent. En 95, existait-il un seul OS 32 bit
pour Intel, simple d'emploie, pouvant faire fonctionner de
multiple Softs, à part Windows ? Même en 2001, on l'attend
toujours !
Accuser MST de pratiques douteuses, quand on en pratique soi-même,
c'est plutôt normal. Ainsi de l'histoire des licences. N'est-il
pas juste qu'un assembleur, client fidèle, bénéficie de la par
de MST de réduction ? N'importe quel magasin fait la même chose
avec vous. Vous sentez-vous pour autant agressés ?
La demande de Windows par les clients est énorme. Et les
assembleurs suivent. Les clients veulent du Windows. Alors bien sûr les assembleurs peuvent vouloir fourguer autre chose. Mais qui cela va-t-il intéresser ?
Ensuite, pourquoi MST devrait elle divulguer les technologies qu'elles à élaboré, après des années et des années de recherches ? Est-ce que les constructeurs de voitures distribuent
leurs découverte à leurs concurrents ?
Est-ce que les maisons de disque distribuent à leurs concurrents
les chansons qu'elles ont financés ? Ou un journaliste les résultats
de ses investigations ? Non, ils s'en réserve l'exclusivité bien sur.
Même chose pour les API.
Pourquoi les API devraient-elles être publics ? Pourquoi exiger que d'autre softs parasitent ceux de MST ? Est-ce que les fabricant de DVD ne font pas payer des licences au disquaires
pour qu'ils puissent accéder au API de leurs lecteurs ? N'est-ce pas justice de payer quand on veux pénétrer ?
Et dire que le butineur ne fait pas parti de l'os est une plaisanterie. Si on commence là, on peut tout aussi bien enlever le gestionnaire de fichier, le menu Démarrer, le bureau et la
barre de tâche. C'est bien, on aura un système inutilisable,nuisible aux intérêts du client. Pour preuve Netscape vendait Navigator 300FF avant que MST n'incorpore gratuitement dans
Windows un brosweur, de meilleurs qualités qui plus est..
Qui est encore prêt à payer son broswer ? Personne ! Car on estime
avec raison que le broswer fait parti de l'os.
Les ratés, ceux qui aimeraient avoir pu travaillé pour MST braillent. Mais quelle mauvaise fois !
Ceux qui ont raté le coche leurs font échos.
Mais tous sont intellectuellement malhonnêtes
--My name is G, pBpG
[^] # D'ailleurs, Vive Microsoft, et vous êtes tous des cons !
Posté par Arnold Schwartzeneger . Évalué à -10.
Et Linux SU><EE à mort, vive NT !
open Source = Cancer !
--My name is G, pBpG
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par pasBill pasGates . Évalué à 2.
Maintenant tu peux retourner a ton bac a sable et laisser les grands continuer leur discussion.
Ah la frustration, ca incite a faire des choses stupides parfois...
Le VRAI pbpg(#3372)
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par bmc . Évalué à -8.
De toute façon je l'ai toujours su que les #3xxx c'était les vrais ! ;-)
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par Annah C. Hue (site web personnel) . Évalué à 4.
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par gosseyn . Évalué à -3.
Sans intéret...
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par Amand Tihon (site web personnel) . Évalué à -3.
-1 car sans aucun intéret
[^] # Au vu des fautes
Posté par Da Scritch (site web personnel, Mastodon) . Évalué à -1.
Après avoir pollué nos forums, il se lance dans l'usurpation d'identité. Autant ses précédentes conneries étaient drôles, autant celle-ci, je la trouve strictement inadmissible. On ne s'amuse pas à salir les gens comme ça.
Écrire des conneries sans fondement, cela n'a rien de répréhensible, on est dans un pays de liberté d'expression (*fr*).
Faire dire une infâmie par une personne en détournant pour soi son identité, c'est répréhensible devant la loi. Car cela s'appelle du piratage.
Bon exemple.
Ce gars est à bannir.
[^] # détournant pour soi son identité, c'est répréhensible devant la loi ?
Posté par adolphos . Évalué à -1.
Je ne suis pas certain que le détournement de nicknames soit une violation de la loi.
Est-ce que la loi reconnai les nickname ?
Ca pourrai être condamné s'il y a eu pénétration du serveur. Mais sinon ? J'ai un doute.
Y a-t-il un juriste sur Linuxfr ?
[^] # Re: détournant pour soi son identité, c'est répréhensible devant la loi ?
Posté par adolphos . Évalué à -1.
(Faut que j'aille voire mon psy d'urgence, moi !)
[^] # Pénétration et usurpation
Posté par Da Scritch (site web personnel, Mastodon) . Évalué à 4.
Quant au problème du pseudonyme, je pense que l'on peut en parler juridiquement à partir d'un usage professionnel ou commercial (type: artiste). Donc, sans objet ici, mais il s'agit quand même d'un détournement d'identité.
Je pense que notre soft-ha><or "politique" veut tout simplement nous amener à censurer un post... Il a presque réussi avec son post raciste, mais là, les modéros avaient une obligation légale.
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par cyril bosselut (site web personnel) . Évalué à -5.
-1 car je n'apporte rien au débat.
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par Prosper . Évalué à -3.
pour Intel, simple d'emploie, pouvant faire fonctionner de
multiple Softs, à part Windows
oui OS/2 , et au moins on pouvait formatter
une disquette tout en faisant autre chose
et en plus ca lancait aussi les applis win3.11
Quand a un OS 32bits , laisse moi rire
win95 n est pas nativement 32 bits
[^] # Re: MARRE DE VOS ATTAQUES !
Posté par Miod in the middle . Évalué à 3.
Cette couche de compatibilité a été abandonnée à partir de la version 5 d'OS/2 («Aurora»), qui est sorti bien après.
# Faut pas non plus croire au père Noël....
Posté par Aza . Évalué à 10.
- Y'a trois ans c'etait les firewalls : t'avait pas ton firewall t'etais le dernier des cons.
- Y'a deux ans c'etait les IDS : t'avais pas ton IDS t'etais le dernier des cons.
- Y'a un an c'etait les VPN : t'avait pas ton VPN t'etais le dernier des cons.
- Cette année c'etait les PKI : t'avait pas ta PKI t'etais le dernier des cons.
Qu'est-ce qu'ils vont encore nous inventer l'année prochaine ? est-ce qu'on va revenir aux IDS ou au firewall et refaire un tour ?
Soyons clair : un IDS est de par sa conception un truc branlant. Quand on met un IDS pour écouter le vaste monde (Internet) soit il passe son temps a couiner au moindre paquet IP qui ne lui plait pas (et l'admin finit par en avoir marre et ne même plus prendre garde aux couinements) soit il laisse passer les trois quarts des trucs.
Comme me disait un collègue : les systèmes de detection d'intrusions qui marchent vraiment c'est les champs de mines.
En fait une facon d'utiliser un IDS serait de le mettre dans son propre réseau plutot que sur le net : ce qui interresse vraiment c'est les intrusions dans le reseau et pas les 300 tentatives de code red qui de toutes facons ne sont pas passés. Ceci dit l'IDS risque de ne pas servir souvent dans ce cas la.
Bref l'IDS je n'y crois pas trop. C'est mieux que rien mais ca ne suffit pas. Loin de la.
[^] # Re: Faut pas non plus croire au père Noël....
Posté par Jean . Évalué à -2.
-1 Hors sujet ;-)
[^] # Re: Faut pas non plus croire au père Noël....
Posté par saad . Évalué à 10.
Comme le prêche le SANS/GIAC depuis très longtemps, le boulot d'analyste d'intrusion est un métier à part entière et demande des connaissances poussées et surtout beaucoup de patience. Je recommande à celles/ceux qui s'intéressent à ce sujet de lire les excellents ouvrages chez New riders:
Network Intrusion Detection, 2E et Intrusion Signatures and Analysis
[^] # Re: Faut pas non plus croire au père Noël....
Posté par Aza . Évalué à 10.
Oui mais justement encore faut t'il savoir régler son IDS correctement et savoir interpreter les données. Combien de gens savent faire ca ? très peu comme tu semble le dire. Donc au final tu as un truc qui nécessite beaucoup de compétences pour tourner correctement et qui n'est qu'un "complément". C'est beaucoup je trouve et cette complexité joue contre l'IDS. C'est le même problème avec une PKI : c'est très bien sur le papier mais en pratique ca pose plus de problème que ca n'en résoud.
En fait le principal c'est justement de savoir monter son "architecture de sécurité" comme tu dis en fonction de ses besoins et pas en piochant dans les outils a la mode parcequ'ils peuvent toujours etre utile.
>Network Intrusion Detection, 2E et Intrusion >Signatures and Analysis
Tiens histoire de continuer a pousser ma gueulante (de bon matin ca fait du bien) contre les IDS voici quelques articles symathiques :
http://pulhas.org/phrack/54/P54-10.html(...)
http://www.all.net/journal/netsec/9712.html(...)
http://www.all.net/journal/ntb/index.html(...)
[^] # Re: Faut pas non plus croire au père Noël....
Posté par hideo . Évalué à 7.
ben si aujourd'hui t'as pas un firewall, un IDS (plusieurs ;), un honeypot, un scanner, un sniffer, un VPN, des tunnels, etc) tu peux te considérer comme le dernier des imbéciles...:))
C clair que l'IDS seul ne suffit pas, mais peut être est-ce le premier pas vers la responsabilisation des admins... (et plus encore de leur patron qui sont les 1er à leur fouttre des bâtons dans les roues...)
<!--
Que le source soit avec toi, luke !
-->
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.