IDS informatif ...

[Nemric]

Bonjour,
Je souhaiterais en savoir plus sur la detection d'intrusion et son fonctionnement.
En effet, j'ai ce genre de log dans les journaux IDS

Nom: WEB-MISC robots.txt access
Type: access to a potentially vulnerable web application

essayez cette adresse : http://nemsite.no-ip.com/robots.txt et vous verrez que l'erreur n'est pas celle de ipcop mais de secure IIS sur mon serveur http ... donc la requete "suspecte" passe a travers ipcop, elle n'est pas bloqué.
alors je me demende ce qu'il en est pour cette alerte:

Nom: MS-SQL Worm propagation attempt
Type: Misc Attack

Alors bien sur, j'ai un site chez moi et redirige le port 80 et pas le 1434 (sql server) mais si c'etait le cas ?

Ma question porte donc sur l'IDS, est ce que ce qui est presenter dans le journal est bloqué ou non ? question de confiance ...

je m'inquiete que la regle soit : "IDS bloque tout sauf si le port est redirigé"

Merci de vos lumieres en la matiere ...

Nemric

Ipcopement votre

[Gesp]

l'IDS ne bloque rien. Cela permet de savoir se qu'il se passe. Le D veut dire détection.

Il y a des possibilités de réaction avec d'autres mises en oeuvre de snort mais il y a des inconvénients à cela.
Si celui qui attaque sait que tu as un système réactif, il est très facile pour lui de déclencher les protections sur tous les ports et donc de faire que la machine qui protège ton réseau coupe tout trafic.
A ce moment, c'est toi qui te crée ton propre déni de service, donc c'est loin d'être idéal.

[erreipnaej]

Bonsoir,

Je rebondis sur la réponse de Gesp.
L'IDS nous informe sur les tentatives d'intrusion que subit IpCop.
Si je comprends bien, sauf si le port est ouvert pour un accés externe ou accés à la DMZ, Iptable droppe les paquets (selon la politique de base d'Ipcop).
Merci de bien vouloir me corriger si je me trompes.
Commentpeut on aussi distinguer ce qui est une tentative d'intrusion et ce qui est une réelle intrusion?
@+

[Nemric]

Salut et merci
Je trouve que c'est une histoire de fou.
en effet je ne comprend pas bien l'utilité d'un tel systeme ...

c'est un journal des attaques subies ?

c'est curieu comme facon de protéger ...

je suis encore relativement newbie en securité, et decouvre l'IDS duquel j'attendais beaucoup plus !

Quel interet de savoir qu'un paquet a destination d'un port fermé etait une attaque, sachant qu'il passera pas ...
et de savoir qu'un paquet a destination d'un port ouvert etait une attaque et qu'il est passé tranquille ?

Au moin maintenant je sais comment interpreter mes log ... c'est tout ce que mon pc a subi ...

Il y a des possibilités de réaction avec d'autres mises en oeuvre de snort

Comment svp configurer "snort" pour rendre ipcop reactif ?

quel est l'interet de provoqué un deni de service ? pour le pirate ...
quel est l'interet de l'IDS sans blocage ?
est ce pire de laisser faire ? ou de provoquer un pirate capricieu pour faire un DoS s'il n'arrive pas a entrer le systeme ?


PS : ca me fais pense a un sketch de Bigard, ou il laisse son appart ouvert avec tout son pognon sur la table et cri dans l'escalier qu'il va partir loin en vacances, dans le but d'attraper celui qui cambriole son appart', et pour être sur de bien pieger le voleur il part vraiment en laissant son appart' ouvert, bien sur le voleur est tombé dans la piege, il a trouver l'argent et est parti, bigard n'avait plus qu'a regarder les "Logs" ou " journaux" ou "traces" du passage du voleur ...

[popoch]

Si tu veux un firewall dynamique qui se modifie en fonction des attaques, tu peux rajouter le module guardian. C est un script perl qui bloque l ip de l attaquant detecte ds snort pour une duree determine.

guardian pour ipcop :
http://guiguid.free.fr/ipcop/ipcop.html

En fait qd les attaques sont detectees par snort cela ne veut pas dire pour autant qu elles ont passe le firewall. Si tes regles sont strictes tu n as pas grd chose a craindre surtout si tu n as pas de ports ouvert.

IDS : Systeme de detection d intrusions.... C est tout, c est a coupler avec un firewall, ce n est pas un firewall...

[Nemric]

En fait qd les attaques sont detectees par snort cela ne veut pas dire pour autant qu elles ont passe le firewall. Si tes regles sont strictes tu n as pas grd chose a craindre surtout si tu n as pas de ports ouvert.

Biensur, mais j'ai un port ouvert (http), parfois plusieurs occasionnelement (ftp, emule,)

merci pour guardian, je l'essaye, par contre, etant nouvel utilisateur linux, je sais juste decompresser le tar.gz alors je te dirais si j'en suis content dans longtemps, sauf si' ququ'un m'aide a l'installer ... mais je trouverais sur un forum ...

je dois aussi prendre PSAD ? qu'est ce que ca fait ?

[guiguid]

Salut,

Souvent, mieux vaut avoir juste une detection qui va t'envoyer un SMS pour te dire que ton serveur subit une attaque, plutot que de reagir en temps reel.

CAS simple :

un pirate voir que tu repond en temps reel, et qu'il est bloque pendant 1 heure ,

il n'a qua lancer une attaque toutes les 55 minutes en prenant l'adresse IP de ton DNS, et ton reseau est inacessible, de l'exterieur, et de l'interieur tu n'a plus acces au net ....

CQFD.

Donc avant d'installer Guardian + PSAD, il vaut mieux reflechir a ce que tu fais.

info sur GUARDIAN : http://www.chaotic.org/guardian/
info sur PSAD : http://www.cipherdyne.com/psad/


mon site : http://guiguid.free.fr/ipcop/ipcop.html

A+

[erreipnaej]

Bonsoir,

J'ai installé Guardian un temps.
Ca marche, ca marche trés bien, ca marche trop bien!!!
Sur un retour de ping, tu te retrouves avec le site bloqué.
Pour les jeux en ligne, pas top!
A cette époque je jouais avec le VPN, un petit ping pour voir si la deuxiéme machine était online ou down donnait ceci:
1er ping, temps de réponse, donc Ok
2éme ping et suivant host unreachable! Guardian avait frappé.
Il faut donc faire trés attention et régler Guardian peut prendre du temps, beaucoup de temps.
J'ai provisoirement abandonné, mais j'y reviendrais. Il faudra que je prenne le temps.
Actuellement, j'ai quelques ports ouverts et je surveille mes logs réguliérement.
Le serveur est en DMZ et ne comporte aucune donnée sensible.
Jusqu'a aujourd'hui aucun dégat.
C'est fou de voir cela.........
@+

[Nemric]

Salut,
Comme prevu j'ai pas reussi a installer Guardian, et j'ai tout viré pour installer la version 1.4.4 a neuf.(en ftp, ma petite fierté )

Il y a qd même quque chose que je comprend pas.

Pourquoi la regle n'est pas simple ?

si on compare snort a iptable (et seulement si ) a titre d'exemple ...

il pourrait être sympa d'ajouter devant une regle snort a la place de "log" ou "alert" un "drop" ? comme pour iptable ! Ainsi lors d'un acces detecté en tant qu'intrusion, celui ci est "droppé" de la même facon qu'un ping ou autre regle iptable, plutôt que de bloqué l'ip (qui ne sert a rien en cas de changement de proxy de l'attaquant ou autre facon d'utiliser un pc zombie)
peut être pourrait on evité le DoS ou la regle abusive erreipnaej

je le voyait ainsi moi le detecteur d'intrusions

En même temps je suis pas un pro du firewall mais cela semble si simple

En resumé, pour mon port 80 ouvert, je voudrais pouvoir bloqué ce paquet :
Nom: WEB-MISC robots.txt access
Type: access to a potentially vulnerable web application

mais pas les autre requetes vers mon http pour pas enervé le pirate frustré ... alors que guardian bloquerait l'ip de l'attaquant qui dans ce cas est un moteur de recherche en plus ...

je pense pas être le seul a avoir pensé a un tel systeme mais pourquoi n'existe t 'il pas ou n'est t 'il pas realisable ?

PS : juste avant de poster j'ai chercher un peut plus de renseignements, et je suis pas le seul a y avoir pensé.

In the future, IDS vendors should adopt more sane measures such as dropping the packets with inline filters or integrating the IDS with firewall to only filter specific attack. http://www.securityfocus.com/infocus/1540

wait & see