Journaux du pare-feu

par **grenouilles** » 16 Mai 2006 18:56

Bonjour,

j'ai enormément de ligne avec les ports 137,138,139 et 445 en "GREEN-DROP" ou "INPUT" ce qui me rend la lecture du journal tres difficile... es-ce normal ??
est-il possible d'avoir un journal plus convivial, avec une zone de recherche choix du protocole du port ... etc

Merci d'avance pour votre aide

par **ccnet** » 27 Mai 2006 12:39

Les alertes sur les ports 137,138,139 et 445 sont normales. Il y a une pléthore d'utilisateurs d'internet qui n'ont rien de mieux à faire que de rechercher des ports ouverts à commencer par les plus classiques. Souvent de façon automatisée avec des utilitaires comme nmap par exemple.

Effectivement je suis aussi à la recherche d'un outils permettant une exploitation plus efficace, plus rationnelle des logs d'ipcop. A défaut je vais finir par utiliser syslog. C'est un des points faibles du produit, il manque des possibilités de tri, de filtrage sur les ports et adresses sources comme destinations, interface, proto etc ....

Voila des améliorations possibles pour la version suivante.

par **S0l0** » 27 Mai 2006 13:41

vous n'avez pas l'air de connaitre la commande grep

par **ccnet** » 27 Mai 2006 18:37

Il est surtout hors de question, pour moi du moins, de mettre le nez dans la moindre ligne de commande dans ce contexte précis. Je dis bien dans ce contexte précis. La console BASE pour Snort fait tout cela assez bien. IPCOP faisant de même ce serait parfait. Il n'est pas envisageable dans un contexte professionel d'expliquer à l'exploitant de base que la commande Grep etc etc ... Il a beaucoup trop à faire chaque jour. Sinon en effet grep ... Voila pourquoi pas Grep dans un contexte de productivité.

par **Gandalf** » 28 Mai 2006 10:41

Je comprend qu'avec la réponse ô combien explicite de S0I0 tu réagisses ainsi

!
Ceci dit, il faut bien noter qu'IPCOP ( et d'autres ersatz ) sont bien loin de produits commerciaux comme Cisco ou Checkpoint ! Donc quand tu dis que tu ne veux pas mettre le nez dans le code dans un cadre de productivité, alors prends des produits professionnels ! Sinon, mets-y le nez !
Installer des IPCOP dans un cadre pro est tout à fait possible, mais il faut être prêt à faire ce genre de choses ! Si l'exploitant a trop a faire et que la sécurité prime sur tout, alors moi j'installerai des Firewall One !

Et pour les alertes sur les ports de notre ami grenouilles, le mieux est de ne pas les loguer par snort, càd de commenter les lignes se rapportant à ces ports dans les fichiers de conf dans /etc/snort/rules !

par **Franck78** » 28 Mai 2006 11:19

Gandalf a écrit:Si l'exploitant a trop a faire et que la sécurité prime sur tout, alors moi j'installerai des Firewall One !

s/sécurité/facilité/

:lol:

par **bmail** » 09 Juin 2006 00:23

Bonsoir,

Avec l'add-on BOT, cela devient très simple.

Bertrand

Journaux du pare-feu

Journaux du pare-feu

Qui est en ligne ?