vos IDS

par **Promethe** » 01 Avr 2005 08:44

Bonjour

je suis actuellement en recherche de bon produits pour faire de la détection d'intrusions sous Unix, et j'aimerais avoir un retour d'expériences sur les produits que vous utilisez.

je pense utiliser snort mais j'avoue ne pas connaitre beaucoup de chose sur les IDS pour le moment :oops:

à vos plumes, dites moi ce qui vaut le coup :wink:

par **soissnarf** » 04 Avr 2005 10:21

moi je pense que snort reste la meilleure solution.
mais bon, je ne suis pas non plus spécialiste en IDS... :wink:

par **vanvan** » 04 Avr 2005 10:34

j'utilise snort mais en fait le problème majeur des IDS est la remontée de faux positifs et le traitement important qu'il engendre.
Essayes aussi tripwire.

la revue misc avait traité du sujet il y a plusieurs mois.

par **Promethe** » 04 Avr 2005 13:08

ok mc vanvan,
je cherche surtout en fait a pouvoir me faire une etude comparative sur les IDS, encore faut il savoir lesquels tester pour ne pas faire n'imoprte quoi :wink:

par **Promethe** » 04 Avr 2005 14:17

hmm je viens de regarder un peu tripwire, ca ressemble à une sonde de detection d'intrusion sasn en etre une au sens que je recherche :cry:

tripwire ce "contente" de faire état des changements du poste sur lequel il est installé, mais ne réalise pas une fonction de surveillance du réseau comme je le souheterais :wink:

néanmoins merci de me proposer des voies de recherche

par **vanvan** » 04 Avr 2005 14:45

essayes :

http://www.sentryfirewall.com/

http://www.tcom.ch/Tcom/Projets/SIMS/Sl ... teregg.pdf

par **vanvan** » 04 Avr 2005 14:49

en fait tripwire c du passif et snort c de l'actif.

Avantage du passif : pas trop de log par contre ( inconvénient ) moyen de le gruger avec un rootkit selon ce qui est surveillé.

dans le cas de l'actif : trop de log

si je retrouve la revue je te filerai les références.

par **cyrille** » 04 Avr 2005 16:01

Bonjour,
et portscan ?

par **Promethe** » 04 Avr 2005 16:19

vanvan a écrit:essayes :

http://www.sentryfirewall.com/

http://www.tcom.ch/Tcom/Projets/SIMS/Sl ... teregg.pdf

Les deux parlents de snort, ca me feras plus de doc dessus :lol:

je cherche toujours des solutions logicielles pour la detection d'intrusion sous BSD autre que snort :twisted:

par **Promethe** » 04 Avr 2005 16:21

cyrille a écrit:Bonjour,
et portscan ?

Il me semble que portscan ne se pratique qu'en local non ?

par **vanvan** » 04 Avr 2005 17:30

http://www.debian.org/doc/manuals/secur ... ox.fr.html

http://lehmann.free.fr/RapportMain/node69.html

et dans le suivant je crois que ça devrait se tenter :

http://www.ids.belbone.be/

et

http://www.tldp.org/linuxfocus/Francais ... 1-0274.pdf

par **Promethe** » 05 Avr 2005 07:34

vanvan a écrit:http://www.ids.belbone.be/

Ca à l'air pas mal faut que je me fasse toute la doc

vanvan a écrit:http://www.tldp.org/linuxfocus/Francais ... 1-0274.pdf

hmm je pense pas que ca me fera changer de BSD à Debian, ca reste quand même intéressant pour info

par **HaM** » 05 Avr 2005 07:50

Pour ma part je connais surtout Snort et Prelude

vos IDS

vos IDS

Qui est en ligne ?