Journal IDS étrange?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Journal IDS étrange?

Messagepar LinuxInside » 31 Mars 2008 21:08

Bonjour,

Je viens d'installer IpCop v.1.4.18 sur un pII 450 / 256Mb ram, avec add-on : ad-proxy, copfilter, urlfilter, webalyser, calamaris et j'obtiens d'étrange log sur journaux IDS:

Détection d'intrusion sur Red qui donne:


Date: 03/31 20:56:15 Nom: BAD-TRAFFIC IP Proto 103 PIM
Priorité: 2 Type: Detection of a non-standard protocol or event
Informations sur l'adresse IP: 195.186.252.130:n/a -> 224.0.0.13:n/a
Références: aucune entrée trouvée SID: 2189

Date: 03/31 20:56:44 Nom: BAD-TRAFFIC IP Proto 103 PIM
Priorité: 2 Type: Detection of a non-standard protocol or event
Informations sur l'adresse IP: 195.186.252.130:n/a -> 224.0.0.13:n/a
Références: aucune entrée trouvée SID: 2189

un message de ce style tout les 30 sec.

L'IP 195.186.252.130 est mon fournisseur par contre 224.0.0.13 provient de :

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

quel rapport avec moi? est-ce du hack?...

Je suis Newbies de chez Newbies.

Merci d'avance.

Patrice
Avatar de l’utilisateur
LinuxInside
Matelot
Matelot
 
Messages: 3
Inscrit le: 31 Mars 2008 20:50

Messagepar ccnet » 31 Mars 2008 22:46

Sur votre problème précis il y a sans doute en face de votre interface RED un routeur de marque Cisco. Ce type de paquets est en principe spécifique d'un protocole de routage multicast (d'où l'adresse de diffusion 224.0.0.13) utilisé par les Cisco.

A vrai dire compte tenu de la question que vous posez, il y a fort à parier que SNORT ne vous sert à rien.
Si vous ne savez pas interpréter les alertes, modifier les règles pour éviter les fausses alertes vous vous préparez des nuits blanches devant vos logs à guettez les alertes. Stoppez Snort et aller dormir !
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar LinuxInside » 01 Avr 2008 08:57

Merci ccnet de répondre aussi vite, vous avez raison, je suis allé dormir! je viens d'installer IpCop sur mon petit réseau domestique et évidement je suis tout nouveau ici. L'installation m'a pris tout l'après-midi et a mon grand étonnement tout fonctionne, y compris le serveur web... Donc newbies ou pas je suis la pour apprendre les choses a fond.

Le router n'est pas un Cisco mais un simple D-Link en mode bridge (ipcop gère l'identifiant et le mdp) connecté a RED. Je pense que snort peux m'être utile donc je vais le laisser travailler, mais comment lui dire de ne pas loggué ce genre de paquet qui a priori n'est pas dangereux et qu'il s'agit de fausse alerte ?

Un grand merci a tous!
Avatar de l’utilisateur
LinuxInside
Matelot
Matelot
 
Messages: 3
Inscrit le: 31 Mars 2008 20:50

Messagepar ccnet » 01 Avr 2008 09:50

Donc le Dlink, dans votre cas, d'un point de vue technique n'est pas le routeur que voit RED. Ici le Dlink, même si c'est marqué sur la boite, n'est pas un routeur. Un pont, puisque c'est ainsi qu'il est configuré, n'émet pas d'information de routage. Donc pas de routeur chez vous, mais en face très probablement.

Pour apprendre ls choses à fond plutot que de faire tourner inutilement Snort aller faire un tour ici : http://christian.caleca.free.fr

comment lui dire de ne pas loggué ce genre de paquet qui a priori n'est pas dangereux et qu'il s'agit de fausse alerte ?

Il vous faut apprendre à gérer vos règles Snort. Vous trouverez tout cela sur le site snort et dans les forums du site.
Votre expression paquet dangereux est déjà très révélatrice de l'idée, fausse, que vous vous faites très probablement de la raison d'être de Snort. Quelques liens qui suivent vous permettrons de corriger cela.

Je pense que snort peux m'être utile

Bien sur vous pouvez continuer à le penser. J'ai déjà dit en quoi cela n'était pas facile pour des raisons techniques (dans l'état votre sonde est peu utilisable). Je ne suis pas favorable à l'usage de Snort sur l'interface RED. Le placement d'une sonde Snort n'est pas aussi évident qu'on peut le penser.
Lire : http://snort.org/docs/snort-win2k.htm
http://snort.org/docs/iss-placement.pdf

Comme je l'ai déjà écris, si vous ne configurez pas votre IDS avec les règles adaptées à vos systèmes (inutile de détecter les attaques visant IIS ou SQL server si vous n'avez aucun de ses produits sur votre réseau), vous aurez beaucoup d'alertes inutiles.
Si vous ne regardez pas les logs et alertes très régulièrement, ce n'est pas la peine d'installer Snort. Si ce n'est à titre de formation ou d'exercice. (Très interessant d'ailleur + MySQl + Base : la console indispensable).
Enfin Snort nécessite certaines dispositions potentiellement très spécifiques du point de vue du matériel réseau, ceci selon ce que vous voulez surveiller. http://snort.org/docs/100Mb_tapping1.pdf

Mais la principale difficulté est organisationelle. Pour exploiter Snort il faut du monde derrière la console pour réagir. Encore faut il savoir reconnaitre une véritable attaque d'une fausse alerte.
Le travail de Snort consiste à détecter principalement les tentatives d'intrusions. A condition que vos signatures et règles soient à jour et bien configurées. Ensuite il faut réagir. Et pas 5 heures après. Sinon le plus souvent ce sera un constat post-mortem.

Tout cela prend du temps. Beaucoup. Vous n'allez plus dormir beaucoup ou alors devant une console Snort. Tout dépend de l'enjeu et Snort sur un réseau domestique ce n'est pas vraiment sérieux. Les infos données plus haut montrent que de toutes façons vous n'avez pas les moyens de le mettre en place sérieusement.

Enfin je ne peux que vous conseiller ce livre pour mettre au clair vos idées sur Snort :
http://www.oreilly.com/catalog/snortids ... T=snortids
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar LinuxInside » 02 Avr 2008 20:51

Vos réponses pertinentes ne me conviennent qu'a moitié ! Vos liens sont extra, mais ma question principale est juste "comment dire a snort de ne pas loggué certaine adresse ip?"
notament les paquets multicast 224.0.0.13 envoyé de mon fournisseur (c'est surement eux qui ont du CISCO) sur mon adresse ip fixe. Je vois le truc arriver :

Bla...Bla...Bla... accès SSh, Iptable, Bla...Bla...Bla... Snort... Si j'ai pu installer IpCop complet avec ad-On mis a jour, c'est bien que j'ai quand-même lu une certaine quantité de doc..

ma config : Ip fixe --> routeur dlink en mode bridge --> RED --> IpCop --> Green --> réseau local.

Pour eviter de regarder les logs IDS toute la nuit, il y a Guardian.

Pour apprendre comment fonctionne certain systeme, il vaut mieux le faire a la maison avec des trous de sécurité, qu'au boulot en prod...

Merci quand-même ccnet
IpCop v.1.4.18
pII 450Mhz / 256Mo ram
4 carte réseau
routeur mode modem (bridge)
add-on : copfilter, advproxy, urlfilter, calamaris, webalyser.
Avatar de l’utilisateur
LinuxInside
Matelot
Matelot
 
Messages: 3
Inscrit le: 31 Mars 2008 20:50

Messagepar ccnet » 02 Avr 2008 22:15

mais ma question principale est juste "comment dire a snort de ne pas loggué certaine adresse ip?"

Je crois justement que vous vous trompez de question et que ce n'est pas du tout la principale.
Vous parler d'apprendre. C'est bien. Une des bases minimum de la gestion de Snort c'est de choisir les ensemble de règles actives. Le but étant justement d'éviter les alertes inutiles donc les logs bavards.
Placer une ligne en commentaire dans un fichier que l'on vous indique ne vous fera rien apprendre.
Comprendre comment sont géreés les ensembles de règles vous permettra de choisir ceux qui sont pertinents et donc d'éviter les logs superflus. Comme vous le voyez SSH, Iptable n'ont rien à faire dans l'histoire. Si vous pensez qu'on gère Snort en modifiant des règles iptables, il y a urgence à comprendre ce qu'est Snort.
Pour apprendre comment fonctionnent certains systèmes il faut en comprendre les concepts de base. Dans Snort la gestion des ensembles de règles en est un. Sinon le reste n'est que bricolage. Vous le dites vous mêms, vous n'êtes en production donc votre problème de logs bavards n'en est pas un. Ce qui compte c'est comprendre.
Sinon vous trouverez sans mal dans les forums Snort comment éviter cette alerte dans vos logs.
Maintenant, c'est vous qui voyez !
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité