Comment verifier les tentatives d'intrusions?

[pamplemousse]

Bonjour, <BR>je viens d'installer la version 6.0b3. J'aime bien, surtout le serveur FTP presintalle. J'avais essaye pendant 2 semaine Smoothwall, qui est tres bien aussi, mais qui ne fait que firewall et passerelle. Dans Smoothwall, je pouvais lire les logs et je m'apercevais que j'avais des dizaines de tentatives d'intrusions dans mon serveur. J'etais donc rassure avec Smoothwall. <BR> <BR>Avec SME, je n'arrive pas a voir qui a essaye de s'introduire dans mon petit reseau (un serveur et un client...). Il y a bien des logs, mais je n'arrivepas a voir lequel regarder pour m'assurer que les tentatives d'intrusions ont ete faites, et par qui (generalement scan de ports). <BR> <BR>J'ai aussi utilise le test de firewall de Ixus.net. Il m'affiche ceci: <BR> <BR>Voici la listes des ports ouverts sur votre machine : <BR> <BR>21/tcp ouvert ftp <BR>22/tcp ouvert ssh <BR>25/tcp ouvert smtp <BR>80/tcp ouvert http <BR>113/tcp ouvert auth <BR>443/tcp ouvert https <BR> <BR>Que dois-je en conclure? Que c'est bon, je suis "protege"? Ou que je suis surexpose? En fait, j'aimerai savoir si les services de protection de SME sont actives. <BR> <BR>Merci/

[Muzo]

Pour les sondes anti intrusions, tu as acid et snort. Il existe des contribs et des how to et des discussions dans ce forum. <BR> <BR>Ensuite tes ports ouverts c'est normal : <BR>21 : c'est ton port FTP, pour que tes potes poussent viendre dedans. <BR>22 : connexion SSH. euh .... moi je l'ai pas celle là, t'as du l'activé. <BR>25 : ca c'est le smtp, utiles si tu veux envoyer des mails avec ton serveur SME <BR>113 : euh ... je sais plus, mais ca sert dans les mails aussi. <BR>443 : ca c'est les accès ssl à ton serveur ouèb. <BR> <BR>Tout il est actif. Tu es bien protégé. <BR> <BR>Maintenant les systèmes inviolables, ca n'existe pas.

[jpmrn]

Bonjour, <BR> <BR>je suis en train de télécharger une version de sme afin de la tester sur un portable avec une carte pcmcia ; je ne m'étenfrait donc pas encore sur ce fw (bon ou mauvais je n'en sais encore rien car j'utilise pour le moment IPCOP). <BR>Bref tout ça pour répondre uniquement au sujet des ports ouverts depuis l'extérieur/ <BR>A mon avis : <BR>-le port 21 est inutile sauf si tu souhaites que des clients extérieurs viennent se connecter chez toi en ftp) <BR>-le port 25 sert uniquement en cas d'hébergement de serveur mail ( c'est donc toi le serveur et les autres viennent sur ton serveur !) <BR>-le port 22 a (toujours à mon avis) rien à faire sur une patte externe ; par contre il doit l'être sur le réseau interne. <BR>-idem pour le port 80 ; sauf si tu héberge un serveur www ; dans ce cas il serait plus judicieux de mettre en place une translation de port. <BR>-pareil pour les autres. <BR> <BR>Normalement rien ne doit être visible de l'extérieur,sauf si on héberge . Par exmple, IPCOP est en aveugle de l'extérieur et ça c'est parfait. <BR> <BR>A+ <BR>

[Pabze]

Oui mais les règles de pamplemousse sont celles par défaut de SME ! <BR>Dc, il n'y a rien de trop grave ! <BR> <BR>Sinon : SNORT +ACID ! <BR> <BR>(Si tu y arrives car le how to n'est pas très clair : explique-moi, car moi toujours 0 alert depuis hier ! <IMG SRC="images/smiles/icon_lol.gif"> ) <BR> <BR>Alors que sur mon IP-Cop (bien sûr, sur un autre site que là où se situe mon sme : je ne l'ai compte plus !! <IMG SRC="images/smiles/icon_lol.gif"> )

[tikal]

Add on, permettant une gestion graphique de la partie firewall / iptables
installation rpm très facile et how to impeccable
Au boulot

http://contribs.org/modules/phpwiki/ind ... sq-manager