IDS et SME

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

IDS et SME

Messagepar jaysee » 17 Mai 2006 21:12

Salut,

Je gère actuellement 5 serveurs dédiés chez divers hébergeurs et je posséde une SME7rc2 aux bureaux.

Je desire installer un systeme de monitoring + un IDS, et j'ai pas reussi a bien saisir tout ce qu'on peut faire avec, c'est assez le bazar les infos qu'ils filent sur les sites...

Bref je m'oriente sur Nagios et Snort (mais si vous avez d'autre softs a proposer... je suis preneur...)

J'ai installé Nagios sans trop de problemes, mais il me reste a le configurer, ce qui est pas evident vu les docs qu'ils filent... (si vous avez utilisé un bon howto je suis preneur aussi...)

Je voulais surtout des infos sur snort :
Je voudrai que sur ma SME j'ai en quelque sorte la visualisation de tout les serveurs externes, et la j'arrive pas à etre sur que snort fait ca, et comment (installer snort sur chaque machines, et les configurer en "slave" et master pour le SME??...).

Ceux qui utilisent ces outils peuvent ils me donner plus de details svp?

EDIT:
Je rajoute les liens ca peut toujours servir: Snort - Nagios

Merci bien
Dernière édition par jaysee le 18 Mai 2006 10:08, édité 1 fois au total.
"Une fois, en auto, j'ai eu un accent grave" - Johnny Halliday
Avatar de l’utilisateur
jaysee
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 07 Nov 2003 01:00

Messagepar Muzo » 18 Mai 2006 09:10

As-tu bien compris le fonctionnement de SNORT?
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar jaysee » 18 Mai 2006 10:06

Justement c'est pour ca que je demandais plus de details,

J'ai compris que c'est un NIDS: network intrusion and detection systeme.
J'ai plus besion d'un HIDS (host intrusion and detection systeme), par exemple OSSEC qui s'interface avec Snort (c'est pour cela que je pense utiliser snort sur mon sme).

jusque la j'ai bon?

merci
"Une fois, en auto, j'ai eu un accent grave" - Johnny Halliday
Avatar de l’utilisateur
jaysee
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 07 Nov 2003 01:00

Messagepar Muzo » 18 Mai 2006 10:38

Euh .. je crois que c'est moi qui n'est pas bien compris les fonctionnalités de SNORT :oops:
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar MasterSleepy » 18 Mai 2006 11:18

Salut,

OSSEC n'a pas l'aire de s'interfacer avec snort.
Je dirais que c'est un outil supplèmentaire.
Ossec n'intervient pas sur les interfaces réseaux, il effectue plus un boulot de font sur la machine, vérification des logs, détection de rootkit ...
Snort quand à lui vas analiser le traffic réseau sur les interfaces demandés et vas envoyer le tout vers les logs, logs qui peuvent être paramétrer vers mysql.

Pour ton problème de centralisation des messages, tu peux essayer centraliser les logs sur une seule machine. Mais sur ce point je ne pourrais pas t'aider mais cela m'interresse beaucoup ;-)

[ mode peut-être ]
Pour snort, tu pourrais activer le logs vers mysql et de lui renseigner le serveur de centralisation qui aura un mysql écoutant à l'exterieur. Mais bonjour le traffic réseau.
[/ mode peut-être ]

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar jaysee » 20 Mai 2006 01:45

MasterSleepy a écrit:OSSEC n'a pas l'aire de s'interfacer avec snort.


En effet je me suis trompé avec prelude (http://www.prelude-ids.org), mais j'ai commenc a l'installer et ca merdouillait, et plus ca allait moins je comprenais... ;), j'ai laissé tombé...

MasterSleepy a écrit:Je dirais que c'est un outil supplèmentaire.
Ossec n'intervient pas sur les interfaces réseaux, il effectue plus un boulot de font sur la machine, vérification des logs, détection de rootkit ...


Oui, justement j'ai besoin de ca (monitorer l'integrité du systeme)

MasterSleepy a écrit:Pour ton problème de centralisation des messages, tu peux essayer centraliser les logs sur une seule machine. Mais sur ce point je ne pourrais pas t'aider mais cela m'interresse beaucoup ;-)

[ mode peut-être ]
Pour snort, tu pourrais activer le logs vers mysql et de lui renseigner le serveur de centralisation qui aura un mysql écoutant à l'exterieur. Mais bonjour le traffic réseau.
[/ mode peut-être ]

A+

En effet, mais j'aime pas ouvrir mysql (meme en filtrant les IP)...

Menfin, il faudra que je met plus de temps la dessus...

Merci pour les infos
"Une fois, en auto, j'ai eu un accent grave" - Johnny Halliday
Avatar de l’utilisateur
jaysee
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 07 Nov 2003 01:00


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron