IPCop et IDS

[VoLCoM]

Bonjour,

J'ai IPCop qui est installé avec IDS fonctionnel. J'aimerais savoir s'il est possible de tester complètement le IDS. C'est à dire d'installer IPCop sans IDS et faire des opérations pour tester les intrusions et d'installer par la suite IDS et faire les même opérations et voir que c'est bloqué.

Quelqu'un à une solution?

Merci
Bye

[ccnet]

Vous pouvez parfaitement ne pas activer l'IDS (Snort au cas précis) en utilisant IPCOP. Il n'y a pas d'installation avec ou sans IDS. Il y a une installation d'IPCOP et in IDS que vous activez ou non.

et voir que c'est bloqué

L'IDS détecte les tentatives d'intrusions (réussies ou non, encore que si elle est magistralement réussie l'IDS ne verra peut être rien ... suivant les règles activées et ce qu'il y a à protéger) et les signale. Mais de façon standard l'iDS ne fait rien d'autre que signaler.

Avec Snort installé de façon autonome, et en utilisant Guardian, il est posible de modifier dynamiquement les règles pour répondre à ce qu'on identifie comme une attaque. C'est peut être à cela que vous pensez ?

http://www.chaotic.org/guardian/index.html

Je n'ai jamais utilisé Snort sur l'Pcop, considérant que ce n'est pas son rôle et pas tout à fait sa place, et je ne sait pas ce qu'il permet dans ce contexte, à part alerter bien sur.

[VoLCoM]

Merci pour les informations, je vais me renseigner du coté de Guardian.

[Gesp]

Il y a un add-on avec guardian pour Ipcop.
http://mh-lantech.css-hamburg.de/ipcop/news.php