Détection Intrusion Snort mise à jour erreur md5

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Détection Intrusion Snort mise à jour erreur md5

Messagepar info@harfleur.fr » 27 Oct 2009 13:08

Bonjour

j'ai installé IPCop 1.4.21

je souhaite mettre en place la détection d'intrusion.

J'ai donc indiqué le OinkCode obtenu sur Snort en tant qu'utilisateur enregistré.

Quand je demande d'actualiser la liste des mises à jour ou bien de télécharger de nouvelles règles, j'obtiens un message du type :

"L'auxiliaire d'aide a donné un code d'erreur: HTTP::Response=HASH(0x8614d54)->code registered md5"

Quelqu'un peut il m'indiquer une piste pour résoudre ce problème ?
Merci de vos réponses
info@harfleur.fr
Matelot
Matelot
 
Messages: 2
Inscrit le: 27 Oct 2009 12:49

Messagepar ccnet » 27 Oct 2009 14:47

Aucune recherche à l'évidence. Sur un tel sujet le premier endroit où chercher c'est le forum Snort.
Et que trouve t-on sur le forum Snort ? Ceci :

IPCop 1.4.21 uses Snort 2.6.1.5. The VRT ceased support for 2.6.x back in November of 2008. End of Life for rules updates for 2.6 was announced on Snort.org and snort-users mailing lists in March of 2008. The solution is for IPCop to upgrade to Snort 2.8.4.1.


Comme vous arrivez, je rappelle que Snort n'a rien à faire sur ipcop. Les raisons ont été exposées ici maintes fois. La difficulté d'exploiter efficacement un ids a aussi été évoqué.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 27 Oct 2009 15:00

Ccnet, tu aurais pu ajouter que Snort est typique d'une fausse bonne idée :

sur le papier, c'est super intéressant,
mais les ressources, l'expertise, la disponibilité nécessaire ne sont pas là !

En fait, c'est "je vais pouvoir bloquer ceci ou cela" et ça devient "j'ai tel message pour tel paquet ... mais je ne sais pas ce que c'est que ce paquet".

Bref à éviter ...

Un petit lien sur les "10 choses pour la sécurité de son réseau à faire AVANT de mettre en place un IDS" ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar info@harfleur.fr » 27 Oct 2009 15:51

jdh a écrit:Ccnet, tu aurais pu ajouter que Snort est typique d'une fausse bonne idée :

sur le papier, c'est super intéressant,
mais les ressources, l'expertise, la disponibilité nécessaire ne sont pas là !

En fait, c'est "je vais pouvoir bloquer ceci ou cela" et ça devient "j'ai tel message pour tel paquet ... mais je ne sais pas ce que c'est que ce paquet".

Bref à éviter ...

Un petit lien sur les "10 choses pour la sécurité de son réseau à faire AVANT de mettre en place un IDS" ?


Le petit lien m'intéresse...

Merci pour votre temps et vos réponses
Merci de vos réponses
info@harfleur.fr
Matelot
Matelot
 
Messages: 2
Inscrit le: 27 Oct 2009 12:49

Messagepar ccnet » 27 Oct 2009 16:49

Je me cite (et je corrige quelques coquilles)

Des exemples non limitatifs :

Les comptes inactifs.
Les mots de passe vides, faibles ou par défaut (pas seulement sur les serveurs, penser aux imprimantes, switchs, routeurs, ...).
Renommer, pour les systèmes Windows les comptes Administrateur, Administrator.
Patchs Linux, windows, .... et applications.
Retirer les compilateurs et outils de développement sur linux si ils ne sont pas nécessaires.
Pas de ssh sous root.
Révisez les fichiers de configuration par défaut (Apache, Php, ...).
Supprimer la route par défaut si elle n'est pas indispensable.
Pas de système Windows en dmz intégré au domaine AD du lan.
Empêcher, sous Windows, le stockage des mots de passe au format LanMan.
Supprimer tous les fichiers exemples et de tests des applications.
Supprimer les fichiers sources.
Supprimer, désactiver les services et logiciel inutiles ou inactifs.
Empêcher les rebonds possibles entre machines d'une même zone réseau, surtout en dmz.
Dans les dmz utiliser des tables arp statiques.
S'assurer du routage correct des postes clients connectés en vpn à l'entreprise.
Pour les serveurs web, utiliser un firewall applicatif (Reverse proxy, Vulture par exemple).
Diminuer autant que possible les privilèges d'exécution des applications sur les serveurs.

Sans parler des méthodes et procédures de travail.


Lorsque vous aurez fait le tour de tout cela, peut être pourrez vous commencer à vous poser la question d'un ids ou du moins des moyens nécessaires à son exploitation.
Je ne parle même pas de réviser le code douteux d'applications php mal écrites (du point de vue sécurité) si il en existe.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron