Bonjour
Nous avons identifié un faux positif dans l'IDS SNORT d'IPCOP.
SMTP ClamAV recipient command injection attempt (ID 12592)
Nous souhaiterions le signaler à SNORT. Pour leur donner les éléments, comment faire un PCAP DUMP sous IPCOP ?
Merci d'avance pour vos réponses.
JY
Faux Positif dans l'IDS : comment le signaler à SNORT (PCAP)
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
Faux Positif dans l'IDS : comment le signaler à SNORT (PCAP)
par atnobug » 07 Mai 2009 12:13
- atnobug
- Quartier Maître
- Messages: 11
- Inscrit le: 01 Sep 2006 13:09
par ccnet » 07 Mai 2009 12:53
1. L'ids n'a rien à faire sur le firewall. C'est typiquement une fausse bonne idée.
2. Avez vous paramétré un jeu de règles sur Snort qui soit en rapport avec les serveurs et applications actifs sur le réseau ?
2. Avez vous paramétré un jeu de règles sur Snort qui soit en rapport avec les serveurs et applications actifs sur le réseau ?
Dernière édition par ccnet le 07 Mai 2009 18:48, édité 1 fois au total.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par atnobug » 07 Mai 2009 18:17
Bonjour,
1- Il faudra songer à prévenir l'équipe qui developpe IPCOP que leur idée d'integrer l'IDS SNORT dans la version de base n'est pas bonne...Ils ont du faire une erreur majeure ^^
2 - non pas de règles particulières paramétrées :juste un SNORT de base, avec dernières règles VRT, filtrage sur RED
Bref que du simple et standard
Sinon, pas d'idée pour le PCAP SVP ?
1- Il faudra songer à prévenir l'équipe qui developpe IPCOP que leur idée d'integrer l'IDS SNORT dans la version de base n'est pas bonne...Ils ont du faire une erreur majeure ^^
2 - non pas de règles particulières paramétrées :juste un SNORT de base, avec dernières règles VRT, filtrage sur RED
Bref que du simple et standard
Sinon, pas d'idée pour le PCAP SVP ?
- atnobug
- Quartier Maître
- Messages: 11
- Inscrit le: 01 Sep 2006 13:09
par ccnet » 07 Mai 2009 18:56
atnobug a écrit:Bonjour,
2 - non pas de règles particulières paramétrées :juste un SNORT de base, avec dernières règles VRT, filtrage sur RED
C'est bien le problème justement. Si vous n'avez pas de passerelle SMTP avec Clamav la règle devrait être désactivée.
Bref que du simple et standard
Oui, mais justement non.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par atnobug » 07 Mai 2009 19:07
C'est bien le problème justement. Si vous n'avez pas de passerelle SMTP avec Clamav la règle devrait être désactivée.
ah ben oui....dit ainsi, ca parait assez logique
Bon ca va hein ! inutile de faire le malin ^^
Merci beaucoup pour cette réponse
JY
- atnobug
- Quartier Maître
- Messages: 11
- Inscrit le: 01 Sep 2006 13:09
par Gesp » 11 Mai 2009 13:39
1- Il faudra songer à prévenir l'équipe qui developpe IPCOP que leur idée d'integrer l'IDS SNORT dans la version de base n'est pas bonne
Personne n'est obligé de le faire fonctionner et par défaut il n'est pas activé.
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
[RESOLU] Faux Positif dans l'IDS : comment le signaler [...]
par atnobug » 11 Mai 2009 15:05
Oui, c'est certain. En même temps, bien d'autres options d'IPCOP ne sont pas activées par défaut : proxy, vpn, DHCP., etc. Lesquelles ne faut t'il pas activer ?
Quid de l'ensemble des add-ons (pour ceux qui en installent).
Un defaut d'IPCOP ne serait-il de prétendre vouloir proposer une solution integrée de sécurité alors qu'il vaut mieux séparer chaque élément (Et je ne parle encore une fois que des éléments d'origines, pas des add-ons)
Au fait, comment fait-on apparaitre le [RESOLU] ?
Quid de l'ensemble des add-ons (pour ceux qui en installent).
Un defaut d'IPCOP ne serait-il de prétendre vouloir proposer une solution integrée de sécurité alors qu'il vaut mieux séparer chaque élément (Et je ne parle encore une fois que des éléments d'origines, pas des add-ons)
Au fait, comment fait-on apparaitre le [RESOLU] ?
- atnobug
- Quartier Maître
- Messages: 11
- Inscrit le: 01 Sep 2006 13:09
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité