Outils ids/ips lequels choisir?

[diegoal]

Bonjour à tous,

Ca fait plusieurs jour que je fais des recherches sur les IDS/IPS (intrusion detection/prevention system) et voici les logiciels qui pour moi sorte du lot :

-SNORT
-PRELUDE
-BRO
-OSSEC
-OSSIM

Voici ma question :

Quel est pour vous l'outils le plus complet afin de detecter une intrusion et par la suite agir en fonction de l'attaque ?

Avez vous déja une expérience avec ces différents outils ou y en a t'il d'autres plus interessant?

Je vous remercie d'avance pour votre réponse

[jdh]

Bonjour.

Peut-il y avoir une réponse toute faite ? Non, assurément.

Et puis un tel outil (ou un ensemble d'outils) ne s'installe pas comme "cela" = en claquant des doigts.

Mettre en oeuvre un IDS suppose une réflexion importante sur le pourquoi, le comment au niveau de la mise en oeuvre, le comment au niveau du suivi, ... Je ne vois pas dans la question le quart de la moitié du début de cette réflexion.

Il me semble qu'il s'agit d'outils peu simple à mettre en oeuvre pour obtenir quelque chose d'utile.

[ccnet]

Je confirme complètement le point de vue de jdh et, par expérience, j'insiste sur le comment du suivi.
En effet un ids basiquement ne fait rien. Détecter une intrusion, oui, bien, lesquelles ? Encore qu'il soit préférable de détecter une tentative. Cela dit une tentative sur une serveur MS IIS ne vous géne pas si vous n'avez pas ce type de serveurs. Quoi détecter ?
Cela signifie qu'il y des personnes compétentes pour suivre, exploiter et éventuellement réagir aux alertes.
Si tel n'est pas le cas, l'utilisation d'un ids s'apparente à une autopsie. C'est à dire post mortem.