vos IDS

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

vos IDS

Messagepar Promethe » 01 Avr 2005 08:44

Bonjour

je suis actuellement en recherche de bon produits pour faire de la détection d'intrusions sous Unix, et j'aimerais avoir un retour d'expériences sur les produits que vous utilisez.

je pense utiliser snort mais j'avoue ne pas connaitre beaucoup de chose sur les IDS pour le moment :oops:

à vos plumes, dites moi ce qui vaut le coup :wink:
Avatar de l’utilisateur
Promethe
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 29 Mars 2005 13:52
Localisation: Toulon

Messagepar soissnarf » 04 Avr 2005 10:21

moi je pense que snort reste la meilleure solution.
mais bon, je ne suis pas non plus spécialiste en IDS... :wink:
****
PoLu
soissnarf
Matelot
Matelot
 
Messages: 6
Inscrit le: 08 Mars 2005 16:12

Messagepar vanvan » 04 Avr 2005 10:34

j'utilise snort mais en fait le problème majeur des IDS est la remontée de faux positifs et le traitement important qu'il engendre.
Essayes aussi tripwire.

la revue misc avait traité du sujet il y a plusieurs mois.
Dernière édition par vanvan le 04 Avr 2005 14:49, édité 1 fois au total.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Promethe » 04 Avr 2005 13:08

ok mc vanvan,
je cherche surtout en fait a pouvoir me faire une etude comparative sur les IDS, encore faut il savoir lesquels tester pour ne pas faire n'imoprte quoi :wink:
Avatar de l’utilisateur
Promethe
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 29 Mars 2005 13:52
Localisation: Toulon

Messagepar Promethe » 04 Avr 2005 14:17

hmm je viens de regarder un peu tripwire, ca ressemble à une sonde de detection d'intrusion sasn en etre une au sens que je recherche :cry:

tripwire ce "contente" de faire état des changements du poste sur lequel il est installé, mais ne réalise pas une fonction de surveillance du réseau comme je le souheterais :wink:

néanmoins merci de me proposer des voies de recherche :D
Avatar de l’utilisateur
Promethe
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 29 Mars 2005 13:52
Localisation: Toulon

Messagepar vanvan » 04 Avr 2005 14:45

"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar vanvan » 04 Avr 2005 14:49

en fait tripwire c du passif et snort c de l'actif.

Avantage du passif : pas trop de log par contre ( inconvénient ) moyen de le gruger avec un rootkit selon ce qui est surveillé.

dans le cas de l'actif : trop de log

si je retrouve la revue je te filerai les références.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar cyrille » 04 Avr 2005 16:01

Bonjour,
et portscan ?
"La vitesse de la lumière étant supérieure à celle du son, il n'est donc pas anormal que beaucoup de gens paraissent brillants jusqu'à ce qu'ils ouvrent leur $%#&! "
Avatar de l’utilisateur
cyrille
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 15 Fév 2002 01:00
Localisation: mezt

Messagepar Promethe » 04 Avr 2005 16:19




Les deux parlents de snort, ca me feras plus de doc dessus :lol:

je cherche toujours des solutions logicielles pour la detection d'intrusion sous BSD autre que snort :twisted:
Avatar de l’utilisateur
Promethe
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 29 Mars 2005 13:52
Localisation: Toulon

Messagepar Promethe » 04 Avr 2005 16:21

cyrille a écrit:Bonjour,
et portscan ?


Il me semble que portscan ne se pratique qu'en local non ?
Avatar de l’utilisateur
Promethe
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 29 Mars 2005 13:52
Localisation: Toulon

Messagepar vanvan » 04 Avr 2005 17:30

"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Promethe » 05 Avr 2005 07:34



Ca à l'air pas mal faut que je me fasse toute la doc :P



hmm je pense pas que ca me fera changer de BSD à Debian, ca reste quand même intéressant pour info
Avatar de l’utilisateur
Promethe
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 29 Mars 2005 13:52
Localisation: Toulon

Messagepar HaM » 05 Avr 2005 07:50

Pour ma part je connais surtout Snort et Prelude
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron