[Clos non résolu] IPS

[codercrack]

Bonjour a tous !!!!

Voila quelqu'un connaitrais t-il un IPS pour IPCOP

Merci pour vos réponses

[Franck78]

codercrack peut-être.
searcher-crac, non

[codercrack]

joli jeux de mot !!! mais avant j'ai fait des recherches sur ce site et sur le fameux "ami" google mais je n'ai rien trouvé pour ipcop !!!

Mais merci quand d'avoir fait avancé la chose !!!

[codercrack]

Un petit up !!!!

sur 47 personnes qui ont vu le post il n'y en a pas un qui a une reponse ?????

[Franck78]

IPS= ?
ces trois lettres ne m'évoquent rien.
Approchant IDS (http://fr.wikipedia.org/wiki/IDS) ?
si oui, il y a ici de nombreuses discussions sur l'inutilité d'un tel système sans les ressources humaines adéquates.

Google t'a forcément renvoyé sur deux ou trois sites allemand regroupant quasiment tout les addons pour ipcop. Je vois pas ce qu'on peut faire de mieux.

[codercrack]

sacré blagueur Franck78

Les IPS
IPS = Intrusion Prevention System
– Mieux vaut prévenir que guérir
Constat :
– On suppose pourvoir détecter une intrusion
– Pourquoi alors, ne pas la bloquer, l’éliminer ?
IDS vers IPS
– Terme à la base plutôt marketing
– Techniquement :
• Un IPS est un IDS qui ajoute des fonctionnalités de blocage
pour une anomalie trouvée
• IDS devient actif => IPS

pour plus de renseignement : http://cosy.univ-reims.fr/~fnolot/Downl ... ds-ips.pdf

(tu vois je sais me servir de google)

ce que je recherche c'est dans la même optique que l'addon guardian car ce dernier ne fonctionne plus sous la version 1.4.21

voila bonne lecture pour le PDF

[jdh]

Je confirme le point de vue de Franck78 (qui est quand même développeur d'un addon d'IPCOP ...).


Avant de mettre en place un IDS/IPS, il faut en avoir compris non "le but" mais le "comment gérer".

Et là, les inconscients pensent qu'ils peuvent gérer en sus de leur travail.

Si je veux résumer, j'écrirais : un IDS/IPS c'est un métier ...


Il y a un outil open source très connu qui est souvent cité sur le sujet avec IPCOP. Si tu n'as pas encore trouvé, je ne suis pas sur que tu ais les moyens de le mettre en oeuvre ...

[ccnet]

Un petit up !!!!

sur 47 personnes qui ont vu le post il n'y en a pas un qui a une reponse ?????

:?

La raison est celle donnée par Franck. De nombreuses discussions existe sur la capacité à exploiter un tel outil. Elle est étroitement dépendante des ressources humaines et de leur qualification. Répéter tous les mois la même chose sur ce sujet devient lassant car visiblement il n'y a pas eu de recherche effectuée et si les 5 lettres d'un certain logiciel de référence en la matière vous sont inconnues, je doute aussi que vous soyez mûr pour son déploiement. Mais on peut toujours apprendre.

[codercrack]

Merci de vos réponses
Je vois que vous serez les coudes sur ce forum !!!
concernant l'addons de Franck78 je l'utilise depuis longtemps !!!! eh je savais bien a qui j'avais a faire !!!

Mais au faite une petite question vous faite quoi sur le forum ????

car de mémoire c'est pas un endroit pour aider les gens ???? car vous avez la fâcheuse manie de de tourner au tour du pot mais sans jamais donner de réponse productive, pour preuve les réponses faites a mon post et voir pleins d'autres !!!!! (eh oui je suis inscrite depuis longtemps eh je viens souvent sur ce site)

je trouve ça navrant !!! mais bon j'ai pas l'intention de refaire le monde !!!

au faite ccnet concernant le déploiement, c'est pas le but du forum d'aider les personnes qui on je genre de problème ????
concernant ton "Mais on peut toujours apprendre", visible c'est pas toi qui va donner les
leçons !!!!

@+

[jdh]

Je crois pouvoir écrire qu'effectivement, Franck78, ccnet et moi, sommes sur la même ligne concernant les IDS/IPS.

Y aurait-il une raison ? une bonne raison ?

Tu ne sembles pas comprendre que nous pouvons nous aussi avoir un avis sérieux sur la question !


Je vais donc rappeler les raisons pour lesquelles nous déconseillons de mettre en route un IDS/IPS sur IPCOP :

- exige une compétence TRES pointue : savoir distinguer les fausses alertes !
- exige un recul sur l'exploitation : p.e. si on décide de bloquer après une alerte, on fournit DIRECTEMENT le moyen de faire un DOS ! (ce qui est très stupide),
- exige une compréhension du positionnement d'un IDS/IPS : le placer sur le firewall n'est surement pas la bonne place,
- exige du temps chaque jour pour interpreter les logs : cela est TRES exigeant !
- ...


Néanmoins, je pense que, comme il le semble, si tu n'as pas encore trouvé l'addon naturel d'IPCOP sur le sujet, tu ne dois guère avoir la compétence ...


(A titre perso, je ne me lancerais pas sur ce sujet : je n'en ai PAS LE TEMPS ! Je classe, en ce qui me concerne, l'IDS/IPS comme une bonne idée ... pour ceux dont c'est le métier et qui ont le temps; pour les autres, c'est une très fausse bonne idée !)

[ccnet]

Mais au faite une petite question vous faite quoi sur le forum ????

Dans la mesure du possible, comme ces jours ci, nous donnons des réponses précises à des questions parfois précises:
http://forums.ixus.fr/viewtopic.php?t=41462
http://forums.ixus.fr/viewtopic.php?t=41472
ou encore
http://forums.ixus.fr/viewtopic.php?t=40385 parce que je l'ai en signet tant ce sujet revient.
http://forums.ixus.fr/viewtopic.php?t=3 ... ipcop+smtp

Et parfois moins, mais nous prenons la peine de nous renseigner.
http://forums.ixus.fr/viewtopic.php?t=41473

car vous avez la fâcheuse manie de de tourner au tour du pot mais sans jamais donner de réponse productive, pour preuve les réponses faites a mon post et voir pleins d'autres !!!!!

Comme indiqué plus haut les questions précises et claires reçoivent en général des réponses qui le sont. Cela ne vous plaira sans doute pas, mais lorsque l'on me parle IPS alors que l'on semble ne pas savoir ce qu'est Snort et ne pas savoir qu'il présent sur Ipcop ... je trouve cela navrant aussi.
Lorsque je prend près d'une heure pour expliquer en quoi un ids est intéressant mais en quoi son exploitation est contraignante, astreignante et complexe pour en tirer un bénéfice en rapport avec les enjeux j'estime que je ne tourne pas autour du pot et que je fourni une réponse, la plus précise possible, sur la réalité de ce type de logiciel en production. Je ne sais si vous avez déjà vu les cellules prod d'une grande multinationales, d'un gros hébergeur. Vous y verrez des postes de travail occupés en 3x8 et 24/7 par des personnes devant les consoles Nagios ou autre à regarder ce qui passe au rouge éventuellement. C'est à peu près le prix à payer pour exploiter ce genre d'outils efficacement. Constater le lundi matin que votre serveur SQL a sauté dans la nuit du vendredi au samedi et retrouver la trace d'une injection de code dans les logs de Snort deux jours après, cela vous fait une belle jambe !!

concernant ton "Mais on peut toujours apprendre", visible c'est pas toi qui va donner les
leçons !!!!

Sur ce point précis (déployer in IDS) en effet non, car :
- d'habitude on me paye pour cela. Et c'est pourquoi je peux passer parfois pas mal de temps bénévolement sur certains problèmes.
- et par ailleurs sur ce sujet j'ai déjà posté de nombreuses sources d'information relative à ce problème.
Apprendre est aussi une méthode que je m'applique à moi même . La quasi totalité de l'information est à portée de main, encore faut il se mettre au travail.

[Gesp]

Je vais donc rappeler les raisons pour lesquelles nous déconseillons de mettre en route un IDS/IPS sur IPCOP :

- exige une compétence TRES pointue : savoir distinguer les fausses alertes !

J'abonde dans ce sens.

- exige un recul sur l'exploitation : p.e. si on décide de bloquer après une alerte, on fournit DIRECTEMENT le moyen de faire un DOS ! (ce qui est très stupide),

Tout dépend de ce que l'on bloque, si c'est temporaire.
Il y a des moyens possibles de prévenir (par exemple mettre les adresses DNS dans la liste des IP jamais bloquées sinon le DOS est trop facile à faire).

- exige une compréhension du positionnement d'un IDS/IPS : le placer sur le firewall n'est surement pas la bonne place,

Pas d'idée de ce coté.

- exige du temps chaque jour pour interpreter les logs : cela est TRES exigeant !

Tout à fait. Cependant cela dépend du service que l'on attend.
Le paradoxe, c'est que si l'on a un système très simple, on peut se passer d'inspecter chaque ligne d'alerte (comme par exemple les attaques SQL s'il n'y a pas de serveur utilisant une interface SQL).

Mais quand le système protégé est plus complexe (et donc que l'on attend plus de protection du système, c'est là ou il faut faire le plus attention que l'IPS ne coupe pas des trafics légitimes.

La première raison de ne pas faire tourner un IDS, c'est que plus le nombre de services fonctionnant sur une machine est élevé, plus il est certain qu'une partie du code contient des bugs quelquepart. Concernant un système comme un IDS/IPS, étant donné que le système décode l'ensemble du trafic à partir des données brutes du réseau, le risque est relativement élevé. L'historique des vulnérabilités publiées de Snort démontre que la réalité rejoint la théorie, quelque soit la qualité d'écriture du code.

[jdh]

Q: Un IDS/IPS ne devrait pas être placé sur un firewall. Pourquoi ?


R: Si un IDS/IPS est situé sur le firewall, il prend la totalité du trafic à analyser !
Il vaut mieux le laisser derrière le firewall ... au cas où le firewall laisserait trainer quelque chose !
De toute façon, un IDS s'entend ... quand le firewall est parfaitement bien configuré.

Q: Un IDS/IPS doit-il bloquer automatiquement une ip ou un trafic si l'adresse génère de la m.. ?

R: Non, pas automatiquement ! Car on risque de faire un DOS, d'autant plus si on surveille "mollement".
Cela n'empêche pas de créer une règle firewall vite fait au besoin.

[ccnet]

Où mettre son IDS ? Ou plus précisément où mettre la ou les sondes car un ids c'est des sondes, un moteur d'analyse avec des règles de détection et une console d'affichage des alarmes et événements venant de la base de données de stockage. On va tourner autour du pot : il n' a aucune recette. Juste des besoins à analyser, à comprendre pour en déduire quoi surveiller et où, puis déterminer le nombre de sondes à placer et à quels endroits. Un peu de doc sur le sujet : http://www.snort.org/docs/iss-placement.pdf

[Franck78]

:) sacré blagueur Franck78
/quote]
faut bien dans ce monde de brute!

concernant l'addons de Franck78 je l'utilise depuis longtemps !!!! eh je savais bien a qui j'avais a faire !!!

ce que je recherche c'est dans la même optique que l'addon guardian car ce dernier ne fonctionne plus sous la version 1.4.21

ah, plus de support assuré sur l'addon? Etonnant. D'autres confirmation de ce fait?

Pour info , le forum fournit un support 'réaliste'. C'est ni un organisme de formation, ni une SSII ici.
Tu veux un IPS? Soit, pourquoi pas après tout. C'est l'occasion d'apprendre IPCop 'inside'. Parceque si tu arrives avec une grosse partie de ton projet plus ou moins ficelé, surement que le reste viendra.
Tu parles de mon addon. Comment j'ai procédé? Pas en demandant 'euh, je veux squidguard sur ipcop, quelqu'un à vu?'.
J'ai pris l'existant, je suis rentré dans une petite partie d'IPCop pour commencer, j'ai publié ici et le reste à suivi.

Bon, je reconnais qu'il faut s'accrocher car le PERL c'est pas le top du top à déchiffrer. Mais c'est possible !


Franck