Détection Intrusion Snort mise à jour erreur md5

[info@harfleur.fr]

Bonjour

j'ai installé IPCop 1.4.21

je souhaite mettre en place la détection d'intrusion.

J'ai donc indiqué le OinkCode obtenu sur Snort en tant qu'utilisateur enregistré.

Quand je demande d'actualiser la liste des mises à jour ou bien de télécharger de nouvelles règles, j'obtiens un message du type :

"L'auxiliaire d'aide a donné un code d'erreur: HTTP::Response=HASH(0x8614d54)->code registered md5"

Quelqu'un peut il m'indiquer une piste pour résoudre ce problème ?

[ccnet]

Aucune recherche à l'évidence. Sur un tel sujet le premier endroit où chercher c'est le forum Snort.
Et que trouve t-on sur le forum Snort ? Ceci :

IPCop 1.4.21 uses Snort 2.6.1.5. The VRT ceased support for 2.6.x back in November of 2008. End of Life for rules updates for 2.6 was announced on Snort.org and snort-users mailing lists in March of 2008. The solution is for IPCop to upgrade to Snort 2.8.4.1.

Comme vous arrivez, je rappelle que Snort n'a rien à faire sur ipcop. Les raisons ont été exposées ici maintes fois. La difficulté d'exploiter efficacement un ids a aussi été évoqué.

[jdh]

Ccnet, tu aurais pu ajouter que Snort est typique d'une fausse bonne idée :

sur le papier, c'est super intéressant,
mais les ressources, l'expertise, la disponibilité nécessaire ne sont pas là !

En fait, c'est "je vais pouvoir bloquer ceci ou cela" et ça devient "j'ai tel message pour tel paquet ... mais je ne sais pas ce que c'est que ce paquet".

Bref à éviter ...

Un petit lien sur les "10 choses pour la sécurité de son réseau à faire AVANT de mettre en place un IDS" ?

[info@harfleur.fr]

Ccnet, tu aurais pu ajouter que Snort est typique d'une fausse bonne idée :

sur le papier, c'est super intéressant,
mais les ressources, l'expertise, la disponibilité nécessaire ne sont pas là !

En fait, c'est "je vais pouvoir bloquer ceci ou cela" et ça devient "j'ai tel message pour tel paquet ... mais je ne sais pas ce que c'est que ce paquet".

Bref à éviter ...

Un petit lien sur les "10 choses pour la sécurité de son réseau à faire AVANT de mettre en place un IDS" ?

Le petit lien m'intéresse...

Merci pour votre temps et vos réponses

[ccnet]

Je me cite (et je corrige quelques coquilles)

Des exemples non limitatifs :

Les comptes inactifs.
Les mots de passe vides, faibles ou par défaut (pas seulement sur les serveurs, penser aux imprimantes, switchs, routeurs, ...).
Renommer, pour les systèmes Windows les comptes Administrateur, Administrator.
Patchs Linux, windows, .... et applications.
Retirer les compilateurs et outils de développement sur linux si ils ne sont pas nécessaires.
Pas de ssh sous root.
Révisez les fichiers de configuration par défaut (Apache, Php, ...).
Supprimer la route par défaut si elle n'est pas indispensable.
Pas de système Windows en dmz intégré au domaine AD du lan.
Empêcher, sous Windows, le stockage des mots de passe au format LanMan.
Supprimer tous les fichiers exemples et de tests des applications.
Supprimer les fichiers sources.
Supprimer, désactiver les services et logiciel inutiles ou inactifs.
Empêcher les rebonds possibles entre machines d'une même zone réseau, surtout en dmz.
Dans les dmz utiliser des tables arp statiques.
S'assurer du routage correct des postes clients connectés en vpn à l'entreprise.
Pour les serveurs web, utiliser un firewall applicatif (Reverse proxy, Vulture par exemple).
Diminuer autant que possible les privilèges d'exécution des applications sur les serveurs.

Sans parler des méthodes et procédures de travail.

Lorsque vous aurez fait le tour de tout cela, peut être pourrez vous commencer à vous poser la question d'un ids ou du moins des moyens nécessaires à son exploitation.
Je ne parle même pas de réviser le code douteux d'applications php mal écrites (du point de vue sécurité) si il en existe.