IDS, IPS, Firewall ?

par **frost** » 17 Nov 2004 23:59

Bonjour bonjour tt le monde, étant étudiant en licence pro sécurité informatique, j'ai ouï dire que certains ids pouvaient reprogrammer les régles de certains firewall pour qu'ils soient plus à même de filtrer en fonction des besoins des admins... Est ce que l'ids d'ipcop est capable de faire une telle chose, sinon que pensez vous des ips ?

Amicalement Frost

par **Franck78** » 18 Nov 2004 00:14

Hi,

Rien entre snort et ipcop. Snort logue, c'est tout.

D'ailleurs les automatismes de ce style, plutôt contre.
Pourquoi ?
C'est un genre de déni de service facilité. Un pirate chatouille correctement le serveur et hop plus de service... !

Salut

par **erreipnaej** » 18 Nov 2004 07:38

Il y a un addon, Guardian , qui bloque les IP loguées par Snort.
Je l'ai testé et c'est viloent.
Une réponse de ping mal calibrée et vlan le site est bloqué.
Donc comme dit Franck78, à utiliser en connaissance de cause!
@+

par **frost** » 18 Nov 2004 15:11

Je me doute bien, que pour un lan particulier il n'y a aucun intéret, mais imaginons le cas d'une société qui verrait des scan d'ip ou de ports, des tentatives d'intrusion, ne voudrait-il pas mieux que l'ips prenne la décision de bloquer cette adresse ip pdt un temps donné (on approche là de l'intelligence artificielle bon je sais c'est pas le sujet) !!!

mais bon merci d'avoir répondu, ça me permait d'avoir des points de vus

une derniére question, y a t-il des professionnels sur ce forum qui ont mis ou qui vont mettre des ips, et si oui quels avantages par rapport à un ids+firewall ???

Amicalement Frost

par **Franck78** » 19 Nov 2004 00:15

Bon on aime bien les sigles d'accord mais de temps en temps le nom entier ne fait pas de mal.

c'est quoi ips ?

par **frost** » 19 Nov 2004 00:41

desolé autant pour moi :
ids : systéme de detection d'intrusion
ips: systéme de prévention d'intrusion

C'est aussi lors d'une conférence on m'a bassiné sur la véritable puissance des ips, alors je voulais avoir l'avis de pro !!

par **erreipnaej** » 19 Nov 2004 07:35

Salut Frost,
Va voir ce lien. Section Gardian-PSAD
http://guiguid.free.fr/ipcop/ipcop.html
Je pense que ça te plaira.
@+

par **Franck78** » 19 Nov 2004 10:05

IPS: prévention d'intrusion !
Oui. AMA, c'est plus un ensemble de comportements et de règles à instaurer sur un système. Une politique sécuritée adaptée. Acccompagnée d'utilitaires bien sur. Mais pas un outil particulier qui ferait 'tout'.
-nessus
-checksum des fichiers
-liste de diffusion comme http://www.sans.org/index.php
...

bye

par **Breizh-Tux** » 19 Nov 2004 10:34

SAlut :)

Dans le style ips dont parle Frost il y a portsentry qui peux appliquer dynamiquement des regles de firewalling en fonction des scans qu'il détecte. Le seul soucis c'est de trouver portsentry qui n'est plus maintenu (si je ne dis pas de bêtise). Je sais qu'il existe dans les packages OpenBSD (avec une protection contre les attaques de type DoS ) pour les autres distros linux il faudra chercher ... Et pour finir un tour chez Debian , dans la saveur Sarge, on trouve le paquet :

Code: Tout sélectionner: portsentry - Portscan detection daemon

Amicalement,

Bzh-TuX :)

IDS, IPS, Firewall ?

IDS, IPS, Firewall ?

Qui est en ligne ?