[Clos non résolu] IPS

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Clos non résolu] IPS

Messagepar codercrack » 04 Nov 2008 23:56

Bonjour a tous !!!!

Voila quelqu'un connaitrais t-il un IPS pour IPCOP

Merci pour vos réponses :D
Dernière édition par codercrack le 06 Nov 2008 17:54, édité 1 fois au total.
Avatar de l’utilisateur
codercrack
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 16 Oct 2003 00:00

Messagepar Franck78 » 05 Nov 2008 00:53

codercrack peut-être.
searcher-crac, non :lol:
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar codercrack » 05 Nov 2008 01:00

joli jeux de mot !!! :wink: mais avant j'ai fait des recherches sur ce site et sur le fameux "ami" google mais je n'ai rien trouvé pour ipcop !!!

Mais merci quand d'avoir fait avancé la chose !!!
Avatar de l’utilisateur
codercrack
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 16 Oct 2003 00:00

Messagepar codercrack » 06 Nov 2008 09:15

Un petit up !!!!

sur 47 personnes qui ont vu le post il n'y en a pas un qui a une reponse ?????

:?
Avatar de l’utilisateur
codercrack
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 16 Oct 2003 00:00

Messagepar Franck78 » 06 Nov 2008 09:53

IPS= ?
ces trois lettres ne m'évoquent rien.
Approchant IDS (http://fr.wikipedia.org/wiki/IDS) ?
si oui, il y a ici de nombreuses discussions sur l'inutilité d'un tel système sans les ressources humaines adéquates.

Google t'a forcément renvoyé sur deux ou trois sites allemand regroupant quasiment tout les addons pour ipcop. Je vois pas ce qu'on peut faire de mieux.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar codercrack » 06 Nov 2008 10:25

:) sacré blagueur Franck78 :lol:

Les IPS
IPS = Intrusion Prevention System
– Mieux vaut prévenir que guérir
Constat :
– On suppose pourvoir détecter une intrusion
– Pourquoi alors, ne pas la bloquer, l’éliminer ?
IDS vers IPS
– Terme à la base plutôt marketing
– Techniquement :
• Un IPS est un IDS qui ajoute des fonctionnalités de blocage
pour une anomalie trouvée
• IDS devient actif => IPS

pour plus de renseignement : http://cosy.univ-reims.fr/~fnolot/Downl ... ds-ips.pdf

(tu vois je sais me servir de google)

ce que je recherche c'est dans la même optique que l'addon guardian car ce dernier ne fonctionne plus sous la version 1.4.21

voila bonne lecture pour le PDF
Avatar de l’utilisateur
codercrack
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 16 Oct 2003 00:00

Messagepar jdh » 06 Nov 2008 11:56

Je confirme le point de vue de Franck78 (qui est quand même développeur d'un addon d'IPCOP ...).


Avant de mettre en place un IDS/IPS, il faut en avoir compris non "le but" mais le "comment gérer".

Et là, les inconscients pensent qu'ils peuvent gérer en sus de leur travail.

Si je veux résumer, j'écrirais : un IDS/IPS c'est un métier ...


Il y a un outil open source très connu qui est souvent cité sur le sujet avec IPCOP. Si tu n'as pas encore trouvé, je ne suis pas sur que tu ais les moyens de le mettre en oeuvre ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 06 Nov 2008 12:09

codercrack a écrit:Un petit up !!!!

sur 47 personnes qui ont vu le post il n'y en a pas un qui a une reponse ?????

:?


La raison est celle donnée par Franck. De nombreuses discussions existe sur la capacité à exploiter un tel outil. Elle est étroitement dépendante des ressources humaines et de leur qualification. Répéter tous les mois la même chose sur ce sujet devient lassant car visiblement il n'y a pas eu de recherche effectuée et si les 5 lettres d'un certain logiciel de référence en la matière vous sont inconnues, je doute aussi que vous soyez mûr pour son déploiement. Mais on peut toujours apprendre.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar codercrack » 06 Nov 2008 15:57

Merci de vos réponses
Je vois que vous serez les coudes sur ce forum !!!
concernant l'addons de Franck78 je l'utilise depuis longtemps !!!! eh je savais bien a qui j'avais a faire !!!

Mais au faite une petite question vous faite quoi sur le forum ????

car de mémoire c'est pas un endroit pour aider les gens ???? car vous avez la fâcheuse manie de de tourner au tour du pot mais sans jamais donner de réponse productive, pour preuve les réponses faites a mon post et voir pleins d'autres !!!!! (eh oui je suis inscrite depuis longtemps eh je viens souvent sur ce site)

je trouve ça navrant !!! mais bon j'ai pas l'intention de refaire le monde !!!

au faite ccnet concernant le déploiement, c'est pas le but du forum d'aider les personnes qui on je genre de problème ????
concernant ton "Mais on peut toujours apprendre", visible c'est pas toi qui va donner les
leçons !!!!

@+
Avatar de l’utilisateur
codercrack
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 16 Oct 2003 00:00

Messagepar jdh » 06 Nov 2008 16:32

Je crois pouvoir écrire qu'effectivement, Franck78, ccnet et moi, sommes sur la même ligne concernant les IDS/IPS.

Y aurait-il une raison ? une bonne raison ?

Tu ne sembles pas comprendre que nous pouvons nous aussi avoir un avis sérieux sur la question !


Je vais donc rappeler les raisons pour lesquelles nous déconseillons de mettre en route un IDS/IPS sur IPCOP :

- exige une compétence TRES pointue : savoir distinguer les fausses alertes !
- exige un recul sur l'exploitation : p.e. si on décide de bloquer après une alerte, on fournit DIRECTEMENT le moyen de faire un DOS ! (ce qui est très stupide),
- exige une compréhension du positionnement d'un IDS/IPS : le placer sur le firewall n'est surement pas la bonne place,
- exige du temps chaque jour pour interpreter les logs : cela est TRES exigeant !
- ...


Néanmoins, je pense que, comme il le semble, si tu n'as pas encore trouvé l'addon naturel d'IPCOP sur le sujet, tu ne dois guère avoir la compétence ...


(A titre perso, je ne me lancerais pas sur ce sujet : je n'en ai PAS LE TEMPS ! Je classe, en ce qui me concerne, l'IDS/IPS comme une bonne idée ... pour ceux dont c'est le métier et qui ont le temps; pour les autres, c'est une très fausse bonne idée !)
Dernière édition par jdh le 06 Nov 2008 16:49, édité 1 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 06 Nov 2008 16:49

Mais au faite une petite question vous faite quoi sur le forum ????

Dans la mesure du possible, comme ces jours ci, nous donnons des réponses précises à des questions parfois précises:
http://forums.ixus.fr/viewtopic.php?t=41462
http://forums.ixus.fr/viewtopic.php?t=41472
ou encore
http://forums.ixus.fr/viewtopic.php?t=40385 parce que je l'ai en signet tant ce sujet revient.
http://forums.ixus.fr/viewtopic.php?t=3 ... ipcop+smtp

Et parfois moins, mais nous prenons la peine de nous renseigner.
http://forums.ixus.fr/viewtopic.php?t=41473

car vous avez la fâcheuse manie de de tourner au tour du pot mais sans jamais donner de réponse productive, pour preuve les réponses faites a mon post et voir pleins d'autres !!!!!

Comme indiqué plus haut les questions précises et claires reçoivent en général des réponses qui le sont. Cela ne vous plaira sans doute pas, mais lorsque l'on me parle IPS alors que l'on semble ne pas savoir ce qu'est Snort et ne pas savoir qu'il présent sur Ipcop ... je trouve cela navrant aussi.
Lorsque je prend près d'une heure pour expliquer en quoi un ids est intéressant mais en quoi son exploitation est contraignante, astreignante et complexe pour en tirer un bénéfice en rapport avec les enjeux j'estime que je ne tourne pas autour du pot et que je fourni une réponse, la plus précise possible, sur la réalité de ce type de logiciel en production. Je ne sais si vous avez déjà vu les cellules prod d'une grande multinationales, d'un gros hébergeur. Vous y verrez des postes de travail occupés en 3x8 et 24/7 par des personnes devant les consoles Nagios ou autre à regarder ce qui passe au rouge éventuellement. C'est à peu près le prix à payer pour exploiter ce genre d'outils efficacement. Constater le lundi matin que votre serveur SQL a sauté dans la nuit du vendredi au samedi et retrouver la trace d'une injection de code dans les logs de Snort deux jours après, cela vous fait une belle jambe !!

concernant ton "Mais on peut toujours apprendre", visible c'est pas toi qui va donner les
leçons !!!!

Sur ce point précis (déployer in IDS) en effet non, car :
- d'habitude on me paye pour cela. Et c'est pourquoi je peux passer parfois pas mal de temps bénévolement sur certains problèmes.
- et par ailleurs sur ce sujet j'ai déjà posté de nombreuses sources d'information relative à ce problème.
Apprendre est aussi une méthode que je m'applique à moi même . La quasi totalité de l'information est à portée de main, encore faut il se mettre au travail.
Dernière édition par ccnet le 06 Nov 2008 17:37, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Gesp » 06 Nov 2008 17:24

Je vais donc rappeler les raisons pour lesquelles nous déconseillons de mettre en route un IDS/IPS sur IPCOP :

- exige une compétence TRES pointue : savoir distinguer les fausses alertes !


J'abonde dans ce sens.

- exige un recul sur l'exploitation : p.e. si on décide de bloquer après une alerte, on fournit DIRECTEMENT le moyen de faire un DOS ! (ce qui est très stupide),

Tout dépend de ce que l'on bloque, si c'est temporaire.
Il y a des moyens possibles de prévenir (par exemple mettre les adresses DNS dans la liste des IP jamais bloquées sinon le DOS est trop facile à faire).

- exige une compréhension du positionnement d'un IDS/IPS : le placer sur le firewall n'est surement pas la bonne place,


Pas d'idée de ce coté.

- exige du temps chaque jour pour interpreter les logs : cela est TRES exigeant !


Tout à fait. Cependant cela dépend du service que l'on attend.
Le paradoxe, c'est que si l'on a un système très simple, on peut se passer d'inspecter chaque ligne d'alerte (comme par exemple les attaques SQL s'il n'y a pas de serveur utilisant une interface SQL).

Mais quand le système protégé est plus complexe (et donc que l'on attend plus de protection du système, c'est là ou il faut faire le plus attention que l'IPS ne coupe pas des trafics légitimes.

La première raison de ne pas faire tourner un IDS, c'est que plus le nombre de services fonctionnant sur une machine est élevé, plus il est certain qu'une partie du code contient des bugs quelquepart. Concernant un système comme un IDS/IPS, étant donné que le système décode l'ensemble du trafic à partir des données brutes du réseau, le risque est relativement élevé. L'historique des vulnérabilités publiées de Snort démontre que la réalité rejoint la théorie, quelque soit la qualité d'écriture du code.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar jdh » 06 Nov 2008 19:03

Q: Un IDS/IPS ne devrait pas être placé sur un firewall. Pourquoi ?


R: Si un IDS/IPS est situé sur le firewall, il prend la totalité du trafic à analyser !
Il vaut mieux le laisser derrière le firewall ... au cas où le firewall laisserait trainer quelque chose !
De toute façon, un IDS s'entend ... quand le firewall est parfaitement bien configuré.

Q: Un IDS/IPS doit-il bloquer automatiquement une ip ou un trafic si l'adresse génère de la m.. ?

R: Non, pas automatiquement ! Car on risque de faire un DOS, d'autant plus si on surveille "mollement".
Cela n'empêche pas de créer une règle firewall vite fait au besoin.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 06 Nov 2008 19:41

Où mettre son IDS ? Ou plus précisément où mettre la ou les sondes car un ids c'est des sondes, un moteur d'analyse avec des règles de détection et une console d'affichage des alarmes et événements venant de la base de données de stockage. On va tourner autour du pot : il n' a aucune recette. Juste des besoins à analyser, à comprendre pour en déduire quoi surveiller et où, puis déterminer le nombre de sondes à placer et à quels endroits. Un peu de doc sur le sujet : http://www.snort.org/docs/iss-placement.pdf
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 06 Nov 2008 23:34

codercrack a écrit::) sacré blagueur Franck78 :lol:
/quote]
:lol: faut bien dans ce monde de brute!

concernant l'addons de Franck78 je l'utilise depuis longtemps !!!! eh je savais bien a qui j'avais a faire !!!

:?:

ce que je recherche c'est dans la même optique que l'addon guardian car ce dernier ne fonctionne plus sous la version 1.4.21

ah, plus de support assuré sur l'addon? Etonnant. D'autres confirmation de ce fait?

Pour info , le forum fournit un support 'réaliste'. C'est ni un organisme de formation, ni une SSII ici.
Tu veux un IPS? Soit, pourquoi pas après tout. C'est l'occasion d'apprendre IPCop 'inside'. Parceque si tu arrives avec une grosse partie de ton projet plus ou moins ficelé, surement que le reste viendra.
Tu parles de mon addon. Comment j'ai procédé? Pas en demandant 'euh, je veux squidguard sur ipcop, quelqu'un à vu?'.
J'ai pris l'existant, je suis rentré dans une petite partie d'IPCop pour commencer, j'ai publié ici et le reste à suivi.

Bon, je reconnais qu'il faut s'accrocher car le PERL c'est pas le top du top à déchiffrer. Mais c'est possible !


Franck
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité