Analyse des logs de Snort(résolu)

[julesboucan]

Bonjour je viens sur ce forum afin que vous m'aidiez à interprèter les logs de Guardian:
Voici ce que j'ai dans mon journal :
Dans la zone Blocks

Code: Tout sélectionner

Mon Sep  1 09:17:37 2008: 202.99.11.99   [1:2003:8] MS-SQL Worm propagation attempt
Blocking 202.99.11.99 on eth1
--
Mon Sep  1 10:34:42 2008: 218.75.199.50   [1:2003:8] MS-SQL Worm propagation attempt
Blocking 218.75.199.50 on eth1

Dans la zone Guardian Unblocks, j'ai ceci

Code: Tout sélectionner

Mon Sep  1 10:17:46 2008: expiring block of 202.99.11.99
Unblocking 202.99.11.99 on eth1
--
Mon Sep  1 11:35:00 2008: expiring block of 218.75.199.50
Unblocking 218.75.199.50 on eth1
--
Mon Sep  1 16:54:24 2008: expiring block of 219.150.147.6
Unblocking 219.150.147.6 on eth1

Je voulais que vous m'aidiez à analyser les logs de Snort je ne suis pas expert avec les IDS.Est ce qu' à dire lorsqu'une adresse Ipest listée dans la zone Guardian Unblocks, elle est enfin autorisée.Je prend le cas de mon cas où l'adresse IP 202.99.11.91 est lsitée dans la zone Guardian Blocks et est ensuite apparue dans la zone Guardian Unblocks.

Voilà une question que je me pose parmi tant d'autres.
Merci pour suite d 'avance SVP

[S0l0]

Le premier c'est tout simplement un vers qui essaie d'exploiter une faille sql qui date de ......2003 ( il y en a eu plus d'une centaine de virus qui exploitent cette faille donc je vais affabuler sur un des noms

et le deuxieme c'est le "timeout" d'une ip bloquer qui se debloque et sa s'inscrit dans tes logs <-- c'est comprehensible

[julesboucan]

Le premier c'est tout simplement un vers qui essaie d'exploiter une faille sql qui date de ......2003 ( il y en a eu plus d'une centaine de virus qui exploitent cette faille donc je vais affabuler sur un des noms

et le deuxieme c'est le "timeout" d'une ip bloquer qui se debloque et sa s'inscrit dans tes logs <-- c'est comprehensible

Bonjour,
Merci bien pour l'explication.

[jdh]

Je n'ai pas voulu répondre à ce fil. Mais, maintenant que la réponse a été donnée, ma réflexion personnelle.


Snort est un IDS. C'est un addon d'IPCOP, activable à volonté. Cela a-t-il de l'intérêt ?


AMHA, la réponse est généralement NON.

Les objections à l'utilisation d'un IDS sont les suivantes :
- la puissance CPU nécessaire est assez importante;
- un IDS fournit des logs qu'il FAUT analyser : il serait stupide de mettre en route un système sans ANALYSER au quotidien les logs !
- l'expertise nécessaire N'EST PAS présente généralement : c'est l'erreur la plus fréquente !
- le temps nécessaire n'est pas disponible;
- n'apporte pas de sécurité supplémentaire !
- un IDS devrait être placé en aval d'un firewall mais pas au niveau du firewall lui-même.


Pour toutes ces raisons, et elles sont fortes, et elles sont le fruit de l'expérience, il n'y a certainement pas lieu, dans la plupart des cas, de mettre en route un IDS.

Il me parait bien plus essentiel dans une petite entreprise de doter chaque PC de son propre petit firewall (mieux que le parefeu de Windows efficace seulement en entrée). Surtout avec les portables qui rentrent et sortent du réseau interne à volonté ...

Ce n'est pas parce que cela parait intéressant (et ça l'est) qu'il faut mettre en oeuvre un IDS.

[S0l0]

Snort est un IDS. C'est un addon d'IPCOP, activable à volonté. Cela a-t-il de l'intérêt ?
AMHA, la réponse est généralement NON.

Je nuancerais quand meme en disant que ca depend de la taille de l'entreprise , et de la valeur du bien informationnel.
Jusqu'a il y a quelques temps je travailler our une entreprise public avec plusieurs centre de recherche (ouais une universite quoi ) , on subissait pas loin du million de scan par mois et faire de la correlation la dedans etait quasi impossible ( j'ai dit public donc pas de fric a investir ) .

- un IDS fournit des logs qu'il FAUT analyser : il serait stupide de mettre en route un système sans ANALYSER au quotidien les logs !
- l'expertise nécessaire N'EST PAS présente généralement : c'est l'erreur la plus fréquente !

Toujours dans cette meme entreprise lorsqu'une attaque avait lieu , personne ne pensait a cerifier certains logs et quand il le verifier il finissait quasi a chaque fois a modifier les datas ( personne ne voulat se taper les logs ils les refiler au stagiaire et debutant de service ).

- n'apporte pas de sécurité supplémentaire !

Ca n'apporte meme AUCUNE securite supplementaire , et comme le sous-entend jdh , si un systeme d'intrusion doit etre mis en place c'est pour optimiser les regles de firewall et aussi surveiller le traffic entrant/sortant potentiellement malveillant

Ce n'est pas parce que cela parait intéressant (et ça l'est) qu'il faut mettre en oeuvre un IDS.

Vous donner pas du travail en plus , pensez a votre ferme dans WoW , faut bien s'en occuper .

[julesboucan]

Bonjour j'ai lu les posts, merci bien jdh pour tes apports, ca fait toujours plaisir de lire d'un expérimenté. Et comme vous aviez dit Snort est inutil lorsqu'on n'a pas le temps pour analyser les logs, c'est clair vous avez raison, mais quand on peut c'est toujours bon.

Merci pour les conseils.