Log summary + IDS

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Log summary + IDS

Messagepar DaftTitan » 21 Avr 2005 20:45

Salut,

dans mon log summary j'ai sa :

Warnings:
Host 192.168.1.2 (fix0) has static and dynamic mappings, remove other.: 48 Time(s)
Host 192.168.1.3 (fix1) has static and dynamic mappings, remove other.: 34 Time(s)
Host 192.168.1.4 (fix2) has static and dynamic mappings, remove other.: 35 Time(s)
Host 192.168.1.5 (fix3) has static and dynamic mappings, remove other.: 10 Time(s)
Host 192.168.2.3 (fix4) has static and dynamic mappings, remove other.: 46 Time(s)
Host 192.168.2.4 (fix5) has static and dynamic mappings, remove other.: 47 Time(s)


tout mes clients sont config en DHCP
sur mon ipcop j ai enable le serveur DHCP + les regles de fixed lease par MAC adress

kkn sais m eclairsir sur ces warnings ?


temps ke j y suis vous comptez +- combien d IDS dans les log par jour ?
j'en ai +-60 on me veut du mal :| ??
DaftTitan
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 07 Avr 2005 10:35
Localisation: BE
Haut

Messagepar Nemric » 22 Avr 2005 16:00

Salut,
je pense que tu donne des @ip fixe et dynamique en même temps ...
le mieu est de parametrer le dhcp pour donner les @ip de 192.168.1.1 à 192.168.1.150 par exemple et les adresse fixes tu les donnent au dela de 192.168.1.150 pour être sur qu'ipcop ne donne pas d'adresse dynamique deja distribuées en fixe ...

Pour l'ids, je ne sais pas quoi te repondre car depuis que j'ai demandé des renseignements sur ce forum, j'ai cru comprendre que ca servait a rien ! dans le sens ou snort est totalement passif et se contente de signaler du traffic (au niveau applicatif) peut être dangereu. Par exemple, l'acces au fichier "robot.txt" d'un serveur web, c'est normal pour un moteur de recherche qui veut la liste des repertoire a referencer, mais dangereu si c'est un pirate qui veut la liste des repertoires à haker. l'ids ne fait rien d'autre que te prevenir qu'il y a eu une demande pour ce fichier, il en est de même, toujours pour un serveur web, lorsqu'il y a une erreur et que le site retourne un message d'erreur (genre acces refusé), snort previent qu'il y a eu un message d'erreur, car un message d'erreur peut contenir des informations utiles pour un pirate ... ainsi de suite ...

Il existe un moyen pour rendre snort actif et lui fair bloquer les "intrusions" voulus ! http://forums.fr.ixus.net/viewtopic.php?t=26761&start=0&postdays=0&postorder=asc&highlight=parametrer+snort

mais pour cela il faut installer la derniere version de snort et recompiler ipcop sur une autre machine, l'enfer quoi ! alors fait comme moi : je fais comme les autres, je dis que snort n'est qu'informatif et je regarde passer les logs ...

A plus

Nemric
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon
Haut

Messagepar neodragon » 22 Avr 2005 17:05

En sachant aussi que si tu veux rendre snort actif, cela peut aider les personnes à bloquer ton parefeu. Si le parefeu répond systématiquement à une certaine alerte, alors une personne peut faire exprès d'envoyer beaucoup de ces alertes pour faire crever le parefeu. Donc attention aux IDS actifs !
Mais Gesp t'expiquera cela beaucoup mieux que moi si il passe dans le coin :wink:
Ipcop (Green+Orange+Blue (avec AP) ) + Block Out Traffic + ADVProxy + URLFilter + OpenVPN
Avatar de l’utilisateur
neodragon
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 182
Inscrit le: 14 Fév 2004 01:00
Localisation: Aisne
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz