Principe de fonctionnement de l'IDS

[paradox]

Hello, <BR> <BR>je regarde les logs de l'IDS, et j'ai un : <BR> <BR>---------------- <BR>Date: 02/12 08:45:20 Nom: SMTP RCPT TO overflow <BR>Priorité: 1 Type: Attempted Administrator Privilege Gain <BR>Informations sur l'adresse IP: 111.111.111.111:3515 -> 222.222.222.222:25 <BR>Références: aucune entrée trouvée SID: 654 <BR>----------- <BR> <BR>Heu.., port 25 = SMTP. Je route les flux SMTP vers une machine sur la DMZ (222.222.222.222). 111.111.111.111 est le relai SMTP de mon prestataire. <BR>Le routage est créé, l'ouverture du port l'est également. <BR> <BR> <BR>Prq l'IDS m'indique ce message ? <BR> <BR> <BR>Et autre question, que fais l'IDS quand il detecte une intrusion ? Il le log simplement ? Il bloque certaines choses ? Quoi ? L'IP distante ? <BR> <BR> <BR>merci

[nemesis]

pour ce ke fais l'ids voilà la réponse de la fac ipcop... <BR> <BR>An IDS does not block any traffic, it merely alerts system administrators when potential hostile traffic is detected. <BR> <BR>bye <BR> <BR>pour le reste je sais pas moi j'aimerai bien arriver a le lancer snort !!!! <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_mad.gif">

[paradox]

Ok, merci. <BR>C'est pas ce que j'avais lu y'a un môment. Je pensais que le principe était de détecter des style d'attaques connues (base de l'IDS à mettre à jour régulièrement pour un meilleur recencement) puis de rajouter dynamiquement des règles dans le firewall pour bloquer temporairement les flux provenant des sources ciblées. <BR> <BR>Ca doit être en fonction de la config. IpCop ne doit pas être configuré pour.

[nemesis]

possible ... <BR> <BR>bien qu'une modif dynamique du firewall me semble pouvoir constituer une faille.. <BR>en plus faut rebooter le firewall pour k'il prenne en compte les nouvelles regles et ça pose aussi un pb ça si c'est fait a chaque detection d'intrusion bonjour le blocage de ton réseau... <BR> <BR> <BR>par contre comment on demare snort sur ipcop 1.2 (j'ai essaye depuis l'interface web mais ça marche po !!!!)

[paradox]

Aucune idée. Ca devrait marcher en cochant la case.

[nemesis]

arggg y a une $%#&! alors!! <BR> <BR>koi ke j'ai pas encore tt configuré la dedan j'ai juste installé mon interface green... <BR> <BR>par contre le truc ki me gonfle c'est ke kand je fais ps -A | grep snort bha il trouve rien (donc je supose que snort est po lancé!!!) <BR> <BR>et pi ausi kd je fais <!-- BBCode auto-link start --><a href="https://kerberus:445" target="_blank">https://kerberus:445</a><!-- BBCode auto-link end --> ds mon browser je trouve po mon ipcop <BR>mais kd je met l'ip il est trouvé et m'annonce que l'host est ... kerberus grrr comprends po!

[paradox]

Kerberus. Il ne suffit pas que ton IpCop porte son nom de machine. Il faut qu'elle soit reliée à ton DNS, ou, si tu ne veux/peux pas, que sur ton serveur DNS tu rajoutes un HOST KERBERUS/IP pour faire la résolution, ou si tu n'as pas de serveur DNS interne, que tu te débrouilles pour que lorsqu'une machine de ton LAN appelle KERBERUS, elle sache résoudre l'IP. Donc tu rajoutes dans le fichier HOST placé dans ton rep Windows (si OS MS ..) la ligne <BR> <BR>10.10.10.1 KERBERUS <BR> <BR>(si 10.10.10.1 est l'IP Green de ton IpCop). <BR>

[nemesis]

arf je l'ai placé ds le fichier lmhost!!!! c pour ça ki le trouve po! <BR>j'suis bête! (ça c pour etre poli....) <BR>merci faudra ke je tente ça ce soir (j'ai pas la becane au boulot...) <BR> <BR>tiens sinon si t'as des infos sur ip cop ttu peux regarder mon poste ([debutant]ipcop stp t'as peut etre des reponse a mes questions ki sait...)

[paradox]

Les réponses t'ont déjà été données. Et je t'aurai donné les mêmes infos.

[nemesis]

ok <BR>merci!

[grosbedos]

salu! <BR> <BR>sui pa un pro de snort... <BR>si tu veu vraimen savoir pkoi ta u ce message li la doc de snort!(si ta le nivo pour comprendre lol) <BR> <BR>autremen les regles de snort se trouve dans /etc/snort <BR>si tu veux voir la regle en question c celle de smtp, logique quoi..sid654 <BR> <BR>si tu veu generer des regle dynamique y a guardian qui existe, il est pa tro compliqué et fonctionne bien. <BR>(ce prog est genial tan qu'il est pas detecter lol) <BR> <BR>voila by <BR>

[paradox]

ok, merci <BR> <BR>désolé pour cette question très basique, mais je viens de MS .. <BR>Sous IpCop, quels sont les différents éditeurs de texte ? Vi je suppose (que je n'aime pas car pas dans ma "logique"/connaissances), et d'autre ? (+ simple tel qu'EDIT sous DOS).