log ipcop bizarre !

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

log ipcop bizarre !

Messagepar alexaz » 07 Jan 2008 12:51

bonjour !

et bonne année !

j'ai trouvé des log bizarre dans le journal de la détection d'intrusion d'ipcop
la détection d'intrusion n'est activée que sur la zone red

en voici un :

Date: 01/07 11:28:14 Nom: (http_inspect) IIS UNICODE CODEPOINT ENCODING
Priorité: n/a Type: n/a
Informations sur l'adresse IP: (adresse ip fixe que j'ai sur internet):34569 -> (site internet quelconque):80
Références: aucune entrée trouvée SID: n/a



j'ai pas mal de log comme celui ci dans le journal
si j'ai bien compris j'ai une machine sur mon réseau qui est infecté et qui sert de relais a un pirate ?
ou je me fais des idées ?


autre log qui revient pas mal :

Date: 01/07 11:13:06 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: (adresse ip fixe que j'ai sur internet):33266 -> (site internet quelconque):80
Références: aucune entrée trouvée SID: n/a


d'après vous est ce que je dois me faire du soucis ou c'est ipcop qui s'affole pour rien ( faux positif ? )

j'avoue que les log de snort me font devenir un peu parano
alexaz
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 29 Nov 2006 17:32

Messagepar ccnet » 07 Jan 2008 13:38

Rapprocher les adresses ip (une résolution inverse) des sites visités depuis votre réseau vous donne la réponse.
Ensuite ce post montre à quel point installer Snort est une chose et s'en servir en est une autre.
Votre premier problème c'est très probablement le paramétrage de snort. A mon avis le plus pertinent serai de consulter le forum Snort.

j'ai pas mal de log comme celui ci dans le journal
si j'ai bien compris j'ai une machine sur mon réseau qui est infecté et qui sert de relais a un pirate ?
ou je me fais des idées ?

Connaissant votre réseau vous devriez pouvoir le vérifier ? si tel n'est pas le cas Snort ne vous sert à rien puisque vous ne pouvez pas interpréter ses résultats correctement.
Si il y a un grand nombre de machines sur votre réseau et que vous souhaitiez controler les url accédées, un proxy vous rendra plus de service que Snort.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Vieille grenouille » 09 Jan 2008 14:57

Salut,

Pourquoi ne pas commencer par appliquer le vieil adage qui dit 'Google est ton ami' ???? :roll:
Deux petites recherches ('(http_inspect) IIS UNICODE CODEPOINT ENCODING' et '(http_inspect) DOUBLE DECODING ATTACK') te donneront largement de quoi éclairer ta lanterne.
Avatar de l’utilisateur
Vieille grenouille
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 16 Déc 2007 16:44


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité