action en cas d'alerte snort

[max]

Bonjour, <BR> <BR>Arretez moi si je me trompe, mais snort ne fait que logger les attaques. Pourtant snort permettrait de faire plus (alerte mail, blocage ip, etc ...). Ce qui n'est a priori pas prévu dans l'interface graphique d'ipcop. <BR>D'où mes deux questions (peut-être déconcertantes pour des pro du rézo <IMG SRC="images/smiles/icon_rolleyes.gif"> , mais, je suis un peu limite sur les hackers et leurs méfaits potentiels sur mon réseau) : <BR>- y a t il intérêt à me faire réveiller en pleine nuit, ou pire me déranger pendant mes vacanaces <IMG SRC="images/smiles/icon_cussing.gif"> pour une alerte de type 1 ? <BR>- y a t il moyen autre que de saisir les lignes de commandes pour créer une alerte type mail, sms ou winpopup ? <BR> <BR>Merci des infos.

[grosbedos]

je voi pas ou t'as vu jouer que snort gerer des regles iptables en dynamique.. <BR>il faut installer guardian ou autre pour que ce soit possible!

[grosbedos]

et tu l'as dit c'est une interface graphique..toutes les options n'existes pas..comme toujours <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>mais pour ton prob je peux pas t'aider..euh des attaques de type 1 ca arrive assez souvent quand meme..mais ce ne sont que des attaques, des tentavives d'intrusions..

[grosbedos]

non y'aura pas d'autre moyen que la ligne de commandes , <BR>et il te faudra plus que snort pour faire ca.

[max]

Suis je sur la voie de la compréhension ? <BR>Sans zone orange, snort me sert à rien si je n'ai pas le temps d'éplucher très fréquament les logs car un bon pirate aura effacé ses traces et un mauvais ne passera pas ipcop. <BR>C'est une explication un peu tranchée au couteau mais c'est a peu pré ça ?

[grosbedos]

c'est un peu simpliste..il y a plein de cas de figure possible, <BR>et ca peu etre le contraire de ce que tu pense... <BR>genre ton serveur web se fait attaquer, il tombe, ipcop aura encore les logs..alors que sur ton serveur c'est pas forcé..

[Rbill]

D'accord avec GrosBedos! <BR>Ton serveur Web se fera attaqué par une redirection de ports de IPcop! <BR>Don comme c'est transparent, IPCOP conservera les traces d'acces!

[goa]

Il est possible de faire en sorte que snort réponde aux alertes, soit en utilisant l'option flexresp (a spécifier lors de la compilation), auquel cas l'interruption de la connection se fait par l'envoi de paquets tcp rst aux sources et destination. Il est aussi possible d'utiliser la version patchée snort-inline du honeypot project qui permet de modifier les paquets a la volée et en mode bridge (donc pas de décrémentation du ttl)....

[malkan]

il existe un moyen de faire en sorte que snort puisse bannir les adresses ip dans iptables <BR> <BR>il s'agit de snortsam, <!-- BBCode auto-link start --><a href="http://www.snortsam.net/" target="_blank">http://www.snortsam.net/</a><!-- BBCode auto-link end --> <BR>qui est en fait un patch permettant de controler tout type de firewall. <BR> <BR> <BR>a+