IDS et SME

[jaysee]

Salut,

Je gère actuellement 5 serveurs dédiés chez divers hébergeurs et je posséde une SME7rc2 aux bureaux.

Je desire installer un systeme de monitoring + un IDS, et j'ai pas reussi a bien saisir tout ce qu'on peut faire avec, c'est assez le bazar les infos qu'ils filent sur les sites...

Bref je m'oriente sur Nagios et Snort (mais si vous avez d'autre softs a proposer... je suis preneur...)

J'ai installé Nagios sans trop de problemes, mais il me reste a le configurer, ce qui est pas evident vu les docs qu'ils filent... (si vous avez utilisé un bon howto je suis preneur aussi...)

Je voulais surtout des infos sur snort :
Je voudrai que sur ma SME j'ai en quelque sorte la visualisation de tout les serveurs externes, et la j'arrive pas à etre sur que snort fait ca, et comment (installer snort sur chaque machines, et les configurer en "slave" et master pour le SME??...).

Ceux qui utilisent ces outils peuvent ils me donner plus de details svp?

EDIT:
Je rajoute les liens ca peut toujours servir: Snort - Nagios

Merci bien

[Muzo]

As-tu bien compris le fonctionnement de SNORT?

[jaysee]

Justement c'est pour ca que je demandais plus de details,

J'ai compris que c'est un NIDS: network intrusion and detection systeme.
J'ai plus besion d'un HIDS (host intrusion and detection systeme), par exemple OSSEC qui s'interface avec Snort (c'est pour cela que je pense utiliser snort sur mon sme).

jusque la j'ai bon?

merci

[Muzo]

Euh .. je crois que c'est moi qui n'est pas bien compris les fonctionnalités de SNORT

[MasterSleepy]

Salut,

OSSEC n'a pas l'aire de s'interfacer avec snort.
Je dirais que c'est un outil supplèmentaire.
Ossec n'intervient pas sur les interfaces réseaux, il effectue plus un boulot de font sur la machine, vérification des logs, détection de rootkit ...
Snort quand à lui vas analiser le traffic réseau sur les interfaces demandés et vas envoyer le tout vers les logs, logs qui peuvent être paramétrer vers mysql.

Pour ton problème de centralisation des messages, tu peux essayer centraliser les logs sur une seule machine. Mais sur ce point je ne pourrais pas t'aider mais cela m'interresse beaucoup

[ mode peut-être ]
Pour snort, tu pourrais activer le logs vers mysql et de lui renseigner le serveur de centralisation qui aura un mysql écoutant à l'exterieur. Mais bonjour le traffic réseau.
[/ mode peut-être ]

A+

[jaysee]

OSSEC n'a pas l'aire de s'interfacer avec snort.

En effet je me suis trompé avec prelude (http://www.prelude-ids.org), mais j'ai commenc a l'installer et ca merdouillait, et plus ca allait moins je comprenais... , j'ai laissé tombé...

Je dirais que c'est un outil supplèmentaire.
Ossec n'intervient pas sur les interfaces réseaux, il effectue plus un boulot de font sur la machine, vérification des logs, détection de rootkit ...

Oui, justement j'ai besoin de ca (monitorer l'integrité du systeme)

Pour ton problème de centralisation des messages, tu peux essayer centraliser les logs sur une seule machine. Mais sur ce point je ne pourrais pas t'aider mais cela m'interresse beaucoup

[ mode peut-être ]
Pour snort, tu pourrais activer le logs vers mysql et de lui renseigner le serveur de centralisation qui aura un mysql écoutant à l'exterieur. Mais bonjour le traffic réseau.
[/ mode peut-être ]

A+

En effet, mais j'aime pas ouvrir mysql (meme en filtrant les IP)...

Menfin, il faudra que je met plus de temps la dessus...

Merci pour les infos