Ipcop, Snort et scan de ports.

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Ipcop, Snort et scan de ports.

Messagepar rhapsody01 » 03 Jan 2008 18:14

Bonjour à tous,


Ca fait maintenant quelques années que j'utilise IPCOP à mon domicile, derrière ma box (free).
Ayant un peu de temps, je viens de me pencher pour la première fois sur Snort et sa configuration.
Ca fait un momment que ça me "titillait", j'avais remarqué y'a déja pas mal de temps, que lors d'un Scan de ports sur l'IP public, Snort loggue bien l'attaque, mais ne blackliste pas l'IP source, si bien que, le scan poursuit sont bonhomme de chemin sans coupure.

Bon, petite prescision, je suis un newbie dans ce domaine, et appréhender la configuration de Snort n'est pas aisé pour moi.

Première chose, ce que je voudrais : Lors de la détection d'un scan, au bout de n ports scannés par la même IP, que Snort Block cette IP pendant un temps t. Ainsi, les ports restants lui apparaiteront comme Stealth.

Deuxième chose, je suis convaincue (à tord ?) que Snort peut faire ça.

Enfin, j'ai épluché /etc/snort/snort.conf, et d'après mes tests, sfportscan n'est pas utilisé, malgré son activation dans le fichier.

Je prescise que, le service Snort fonctionne bien, les règles sont à jour, et que mon IPCOP l'est également ( 1.4.18 ). Ma freebox est en mode routeur, mais, l'interface rouge d'IPCOP est déclarée comme DMZ dans la console de gestion Free, c'est à dire que tout le traffic est redirigé vers IPCOP.

Donc je cherche une bonne Âme qui pourrait m'éclairer sur ce sujet :)

Merci, et bonne année ;)
rhapsody01
Matelot
Matelot
 
Messages: 5
Inscrit le: 20 Août 2004 19:41
Localisation: 95

Messagepar ccnet » 03 Jan 2008 20:54

Je n'ai jamais testé Snort sur IPCOP. Cette configuration me m'enchante pas. Mais c'est une autre histoire.

Deuxième chose, je suis convaincue (à tord ?) que Snort peut faire ça.


D'une façon générale la réponse est que Snort seul, dans sa version de base ne le fait pas. On ne le rediras jamais assez : Snort alerte. Et c'est tout ce qu'il fait.

Mais on peut lui adjoindre un greffon de sortie pour réaliser l'opération. En dehors de la beauté du geste je ne vois pas bien la pertinence de ce dispositif derrière votre Freebox chez vous. A moins que vous n'abritiez des informations classifiées Secret Défense. Je plaisante.

Utiliser Snort c'est avoir du personnel disponible et compétent pour réagir aux alertes en prenant des mesures appropriées. Lire les logs de Snort plusieurs heures après l'alerte c'est en général trop tard.

Enfin je ne peux que vous conseiller ce livre pour mettre au clair vos idées sur Snort :
http://www.oreilly.com/catalog/snortids/?CMP=OTC-KW7501011010&ATT=snortids

En pratique mettez votre Freebox en pont. IPCOP n'écoutant que sur les ports pour lesquels vous avez un transfert de port défini, il n'y aura plus grand chose à scanner sur votre ip publique. Plus simple que Snort. Et un nat de moins.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar rhapsody01 » 03 Jan 2008 22:05

Bonsoir,

Effectivement Snort ne fais qu'alerter, ce qui en soit, ne m'interesse que peut, car je ne lis pas les logs en temps réel ^^.

Apparement Guardian, un addon pour snort, utilise les alertes pour réagir en conséquence, sur le papier, c'est éxactement ce que je recherche, reste à voir les tests en production.


Merci pour ces prescisions ;)
rhapsody01
Matelot
Matelot
 
Messages: 5
Inscrit le: 20 Août 2004 19:41
Localisation: 95

Messagepar ccnet » 03 Jan 2008 22:12

ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Vieille grenouille » 08 Jan 2008 21:35

Salut,

Pour Guardian 2.4.9.8 pour IpCop 1.4.16, il faut aller voir là:

http://mh-lantech.css-hamburg.de/ipcop/ ... p?view.195

accessoirement, un oeil (germanophone) dans le forum t'indiquera l'adresse du patch qui va bien pour pouvoir installer le machin sur un IpCop 1.4.18

http://mh-lantech.css-hamburg.de/ipcop/ ... upd_18.tgz

J'ai installé tout ça il y a environ 3 semaines et je suis ravi car cela fonctionne à merveille: dès que Snort détecte quelque chose de suspect, la connection est soit droppée soit rejetée, à ta convenance.

J'en ai profité pour 'bannir' également les éventuels bogons qui pourraient pointer leur nez dans mon parage...
Avatar de l’utilisateur
Vieille grenouille
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 16 Déc 2007 16:44

Messagepar Fahrenheit » 04 Août 2008 20:07

Très bon sujet,

(R)appel, y a aussi p.ex. http://www.snortsam.net/ ... qui est même proposé "nativement" dans ClarkConnect :lol:

http://www.clarkconnect.com/docs/Securi ... Prevention

De mémoire y en a qui ont/l'avaient utilisé avec IPCop, mais c'est clair ça demande surement une tite recompil et toute cette sorte de choses...


Ayez-du-fun !
Avatar de l’utilisateur
Fahrenheit
Premier-Maître
Premier-Maître
 
Messages: 61
Inscrit le: 27 Sep 2003 00:00
Localisation: GE + 74


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron