portsentry snort acid

[patrick101]

bonjour,

Toujours aussi newbie mais j'essaye de me soigner

j'ai cherché un peut partout (mais peut etre pas au bon endroit) et je n'arrive pas a me faire une idee s'il vaut mieux portsentry que snort.
Si j'ai bien compris, portsentry peut bloquer des ip mais pas snort? je me trompe? mais sur le forum ou site de (quelquun actif ici) j'ai lu il faut preferr snort. POurquoi?

De plus j'ai lu que pour snort il faut une ip fixe ou bien relancer snort a cahque cha,gement d'ip (on peut faire ca comment?) mais sur le site de mastersleepy il n'en parle pas alors est ce vrai ou pas, ou bien j'ai lu ca sur un site qui n'est plus a jour ou bien pas pour sme...
je précise je suis sur sme5.6

Je sais qu'il y a eu plusieur posts sur ces sujets mais ou je n'ai pas trouvé le bon ou alors.. mais je n'arrive pas a me faire une idée..
Surtout que je pensais que la secu par defaut d'iptable etait suffisante mais a priori rajouter snort ou portsentry (ou les 2?) peut accroitre la secu.

Merci pour votre aide ou bien les liens vers un site qui fasse le point .
Sinon en depis d'éclairage, je me retourenari vers le site de master sleepy avec son how to (j'en profite pour le remercier)

[MasterSleepy]

Salut,

Dans la contribs snort que j'ai faite pour la SME, le service snort est relancé automatiquement à chaque renouvellement d'ip. Donc pour snort c'est pareil il n'y voit que du feux.

Maintenant pour bloquer les adresses ip il faut rajouter à snort une petit contrib "guardian" qui vas ajouter les régles à iptables pour toutes les alertes d'intrussion.

Je peux pas te dire grand chose de portsentry, vu que je ne le connais pas du tout.

A+

[bernie50]

bonjour,


http://cyrille.balland.free.fr/site-esmith/securite/portsenty.htm

le site de cyrille balland est une bonne référence pour faire connaissance avec "portsentry"
Une recherche sur google donne d'autres adresses, a voir pour avoir une info compléte



Portsentry est un système qui permet de détecter les attaques de type scan de façon active, c'est à dire qu'en plus de la détection, il va pouvoir entreprendre certaines actions :

- Les attaques seront notées dans les fichiers /var/log/message* et pourront être récupérés par l'administrateur par courier elctronique avec logcheck par exemple:

- l'hôte "attaqueur" est automatiquement rajouté dans /etc/hosts.deny
- Grace à ipchains, tout ce qui vient de l'hôte "attaqueur" sera rejeté
- L'interface de communication peut être coupée en cas d'attaque.

[Sebastien65]

Salut,

Ba moi avec Portsentry je n'ai pas réussi a le faire marcher pour les scans...
Donc j'ai laissé tomber Portsentry...
Regarde sur le Forum tu y verra mes déboires avec

Donc la j'utilise Guardian... Qui me donne quand même de bon résultat

[Landry]

Salut,
Dans la contribs snort que j'ai faite pour la SME, le service snort est relancé automatiquement à chaque renouvellement d'ip. Donc pour snort c'est pareil il n'y voit que du feux.

J'utilise la contrib snort+acid installé avec ce howto (tres bien par ailleurs..)
Alors tout d'abord une remarque : Si on est en ip fixe, snort n'est pas relancé...
Donc j'ai essayé de mettre le S90SnortRestart dans ip-up
Et la je tombe sur un autre problème :
Quand j'ai une deconnexion puis reconnexion pppoe dans mes logs j'ai :

Code: Tout sélectionner

Jun 15 18:57:46 sas e-smith[15810]: Running event handler: /etc/e-smith/events/ip-up/S90snort-restart
jun 15 18:57:47 sas snortd: Arrêt de snort failed
Jun 15 18:57:48 sas e-smith[15810]: Stopping snort: [ ECHOUE ]^M
Jun 15 18:57:48 sas kernel: device ppp0 entered promiscuous mode
Jun 15 18:57:48 sas snort: Initializing daemon mode
jun 15 18:57:48 sas snortd: Démarrage de snort  succeeded
Jun 15 18:57:48 sas e-smith[15810]: Starting snort: [   OK   ]^M
Jun 15 18:57:48 sas e-smith[15810]: S90snort-restart=action|Event|ip-up|Action|S90snort-restart|Start|1087318666 195649|End|1087318668 525193|Elapsed|2.329544

Suivi de snort qui balance sa configuration etc... puis :

Code: Tout sélectionner

Jun 15 18:57:51 sas snort: Snort initialization completed successfully
Jun 15 18:57:54 sas pppd[15752]: Script /etc/ppp/ip-up finished (pid 15805), status = 0x0
Jun 15 19:03:56 sas kernel: denylog:IN=ppp0 OUT= MAC= SRC=213.39.192.170 DST=213.41.134.153 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=29930 DF PROTO=TCP SPT=3912 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0
Jun 15 19:03:59 sas kernel: denylog:IN=ppp0 OUT= MAC= SRC=213.39.192.170 DST=213.41.134.153 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=30078 DF PROTO=TCP SPT=3912 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0
Jun 15 19:06:13 sas kernel: device ppp0 left promiscuous mode


Donc apres un temps aléatoire , ppp0 sort du mode promiscuous (en général, a chaque fois, et juste apres la reconnexion)
Quand je fais un : service snortd status
J'ai : snort est mort mais subsys est verrouillé

Donc je fais un : service snortd start
Et la il démarre normalment, et tourne très bien jusqu'a la prochaine deconnexion pppoe

Donc ma question est : Comment fait on pour que snort soit relancé correctement a chaque reconnexion ?
Qui vient assassiner snort dans son dos ?
Dois-je reinstaller snort ?
Qqn a t'il eu le meme probleme ? avec une ip fixe ?

Merci de m'eclairer de vos lumieres .....

[Landry]

Re-bonjour.
Je précise que snort a ete configuré normalement, cad external_net = ppp0 (via eth1) et home_net = eth0
Acid fonctionne bien, il loggue et permet de manipuler les remontees de snort, mais bon vu que celui-ci se casse la $%#&! a chaque reconnexion, ce n'est pas tres pratique.

[MasterSleepy]

Salut,

Désolé pour la réponse tardive.
A mon avis avec les deux commandes si dessous ça devrait arranger ton problème :

Code: Tout sélectionner

ln -s /etc/e-smith/events/actions/snort-restart /etc/e-smith/events/ip-up/S90snort-restart
ln -s /etc/e-smith/events/actions/snort-update /etc/e-smith/events/ip-up/S55snort-update 


A+

[Landry]

Re-salut !
J'ai esperé, mais malheureusement :

Code: Tout sélectionner

Jun 17 15:44:36 sas snort: Snort initialization completed successfully
Jun 17 15:44:39 sas pppd[686]: Script /etc/ppp/ip-up finished (pid 744), status = 0x0
Jun 17 15:45:32 sas kernel: device ppp0 left promiscuous mode


puis :

Code: Tout sélectionner

[root@sas html]# service snortd status
snort est mort mais subsys est verrouillé


D'ou cela peut venir ?
modem (ethernet eci standard ft...) ?
Conflit d'accés a ppp0 ?
Config de snort defaillante ?

Dois-je me resoudre a reinstaller snort ??

En tout cas, merci de l'aide et du suivi

[Landry]

Re-bonjour.
Apres reinstallation de snort & acid complete, le probleme persiste.
Cela peut il venir d'un conflit avec un autre programme qui prend la main sur ppp0 ?

Heelp !

[MasterSleepy]

Salut,

Je pense pas que cela joue.
Maintenant comme solution je n'en ai pas beaucoup à te proposer.
Juste une, un peu bourinne mais qui fonctionne je l'ai fait sur mon serveur.
J'ai un tâche cron qui vérifie si le service snort c'est planté ou pas, si il s'est planté il le relance.
Si tu veux je te file tous les scripts courant de week-end.

A+

[Landry]

Merci de ta reponse aussi rapide !
Effectivement, c'est un peu bourrin.
Je me demande si toutes les personnes qui ont installé snort & acid rencontrent ce probleme, ou ce n'est que des cas isolés.
Une autre piste/idée :
A la deconnexion ppp j'ai :

Code: Tout sélectionner

Jun 18 16:38:37 sas kernel: device ppp0 left promiscuous mode
jun 18 16:38:38 sas snortd: Arrêt de snort succeeded
Jun 18 16:38:38 sas kernel: device ppp0 entered promiscuous mode
Jun 18 16:38:38 sas snort: Initializing daemon mode
jun 18 16:38:38 sas snortd: Démarrage de snort  succeeded


et ensuite, quand j'ai de nouveau "device ppp0 left promiscuous mode" ,j'en deduis que snort vient de tomber.
Je me demande alors si c'est snort qui switch le mode en se fermant, ou si c'est le changment de mode qui tue snort .. Existe t'il une commande pour faire switcher une interface (p.ex une option d'ifconfig ?)
Cependant, meme en lancant snort avec des -v, (verbose & cie), il ne donne pas plus de diagnostics...
faut il essayer tcpdump pour voir si c'est un paquet spécial (ex : fin de connexion ppp) qui le tue ?

Vu que c'est la meme procedure (service snortd restart), que ce soit automatique(avec l'ip-up) ou pas (en ligne de commande), comment se fait t'il qu'il n'y ait pas le meme comportement ?
Qui utilise snort ici et chez qui ca fonctionne correctement ?

Merci !
(je sais, ca fait beaucoup de questions sans reponses, mais ca fait longtemps que je retourne le probleme et je reste perplexe...)

[MasterSleepy]

Salut,

En faite snort écoute sur l'interface définie dans le fichier /etc/init.d/snortd, dans ton cas ppp0.
Le problème est que toi tu as une IP fixe sur ton interface ppp0 dans en gros c'est que l'evènement ip-change n'est jamais appelé, dans un sens c'est plutôt normal.
Par contre maintenant que j'y pense, comment provoque tu la reconnexion de ton interface ppp0, est-ce que cela ce fait automatiquement? Je ne pense pas que la SME fasse se genre de chose sur une interface ppp0. Si tu as du faire un script de reconnexion, tu pourrais rajouter à la fin de ce script, le relancement de snort?

A+

[Landry]

Salut.

Donc pour ce qui est de l'interface d'ecoute, c'est ok, snort ecoute bien sur ppp0. Je suis en ip fixe chez nerim,
et il y a une deconnexion auto toutes les 24h.
ip-change n'est jamais appelé (normal), donc j'avais bien essayé (comme tu me l'avais conseillé, meme si j'y avait deja pensé) d'appeler snort-restart & snort-update dans l'ip-up (qui lui est appelé a chaque reconnexion(volontaire (service pppoe restart), ou automatique du coté du FAI)

Mais ca ne change rien, snort-restart & snort-update sont appelés, snort redemarre & se vautre lamentablement...

Merci de chercher avec moi en attendant !