Sujet IDS & Honeypot

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Sujet IDS & Honeypot

Messagepar toros » 13 Nov 2009 22:42

Bonjour

Je suis un étudiant en fin de cycle ingeniorat informatique, on m'a donné un sujet detection intrusion à concevoir et installer dans une entreprise et on m'a demandé de mettre en place un systeme IDS/IPS en plus d'un HoneyPot (pots de miel) je me pose les questions suivantes:

- Est il possible de mettre en place les deux IDS + Honeypot, sont il complementaires ??
- Je pense à SNORT comme IDS/IPS car gratuit, comme honeyPot qu'est ce que je peux proposer ??


toros
toros
Matelot
Matelot
 
Messages: 3
Inscrit le: 13 Nov 2009 22:13

Messagepar jdh » 14 Nov 2009 00:23

De plus en plus de termes informatiques ont une définition déjà intéressante dans Wikipedia y compris en français (pour les non anglophones, ce qui serait inconcevable pour un élève ingénieur, non ?).

C'est le cas pour ids et honeypot (en français aussi).

J'imagine que la conclusion d'une telle étude doit être l'expression d'un recul sur la technique. (Que serait un ingénieur qui ne s'intéresse qu'à la technique : installation, procédures, ... ?). Je pense qu'il y a là beaucoup à dire ...



NB : le sujet a été donné, il y a longtemps ? Quelle durée pour le sujet ?
NB : j'imagine, bien compris, que nous ne sommes pas là pour faire le dossier ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar toros » 14 Nov 2009 09:40

Bonjour Amiral

Le sujet m'a été proposé recement, mais je me demande beaucoup de question sur la faisabilité ou non d'un tel sujet, normelement j'ai 9 mois pour le réaliser, je dois me baser sur les produits OPEN pour réaliser quelque chose les questions qui me tourmentent sont :

- l'idée d'un IDS + un pots de miel (honeypot) est elle juste ??
- Quels sont les produits Open IDS + honeyPot les plus compatibles ??


toros
toros
Matelot
Matelot
 
Messages: 3
Inscrit le: 13 Nov 2009 22:13

Messagepar jibe » 16 Nov 2009 00:28

Salut,

Je passe tout à fait par hasard, et ce soir j'ai un peu l'humeur taquine. J'ai lu très rapidement, et j'ai trouvé la réponse de jdh un peu sèche. Etonné, j'ai relu plus attentivement, et du coup ça m'a donné l'envie d'aller dans son sens ! Intervention à prendre avec beaucoup d'humour...

Honnêtement, c'est un diplôme d'ingénieur ou un CAP que tu prépares ? Ce post me fait penser à cette brave dame qui "travaille dans l'informatique" et qui s'avère être celle qui retire tous les soirs la prise de courant du serveur pour brancher son aspirateur en sortie de l'onduleur. Le mystère des pannes d'Apache est enfin éclairci, et pour une fois le bug n'était pas entre la chaise et le clavier :P

Combien de temps, déjà, pour ce projet ? Et il t'a été donné combien de minutes avant ton post ?

Au fait, c'est quoi une intrusion ? Un dispositif de détection d'intrusion ? Un produit OPEN ? Qui propose des produits OPEN ? Et le pot de miel, c'est pour ton petit dej ou celui du vieil ours qui te sert de tuteur de stage ? A moins que ce soit pour celui de l'intrus détecté ?

Bon, à ce stade de lecture, deux possibilités :

1 - Tu as compris, bien rigolé (pas de mes blagues débiles, bien sûr, mais de toi-même) et trouvé dans ma dernière question et le post de jdh les réponses aux tiennes (en y ajoutant bien sûr un peu de matière grise et autres ingrédients). Ton post n'était donc qu'une petite erreur de jeunesse bien compréhensible, et tu seras certainement un excellent ingénieur.

2 - Tu es vexé, outré qu'on puisse sur un forum te traiter ainsi au lieu de t'aider. Dans ce cas, tu pourras peut-être trouver dans ce topic quelques explications à cette attitude inadmissible de la part d'amiraux censés tout savoir et dont le rôle serait, selon certains, de donner - gratuitement bien sûr - des recettes magiques et bien sûr tous les éléments nécessaires à l'obtention au minimum d'un 19 1/2 sur 20 aux projets et exercices divers que lui soumettent les adeptes de la place du fond près du radiateur des différentes écoles d'informatique. Si cette lecture t'a convaincu, il te reste un bon espoir de réussite. Sinon, je pense qu'une reconversion dans la culture du concombre masqué ou l'élevage du dahu dextrogyre s'impose.

:wink:

PS : rassure-toi, tu es loin d'être le seul dans ton cas. D'où la lassitude et le ton de certains amiraux qui ont parfois besoin d'un bouc émissaire (tiens, ça aussi ça pourrait être une idée d'élevage de reconversion :lol: ) pour passer leurs nerfs. Note que l'amiral qui t'a répondu consacre beaucoup de temps à aider et répondre à des questions pas toujours (pour ne pas dire, hélas, rarement) explicites. On peut comprendre son agacement... (je ne parle pas de moi, bien sûr, qui suis passé de plusieurs posts/jour à une toute petite poignée/mois, dégoûté de rallonger sans cesse le topic cité plus haut)

PS2 : désolé de m'être ainsi amusé à tes dépens. J'avais besoin de me défouler... Faudrait vraiment que quelqu'un se lance dans l'élevage des boucs émissaires : ça éviterait qu'on prenne pour cela de malheureux membres d'Ixus !
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar toros » 17 Nov 2009 11:52

Salut Jibe

Je ne comprends pas ta réaction et ta réponse, est ce que c'est une blague ou que tu es serieux, concernant le diplome c'est un diplôme d'ingenieur mais détrompe toi, il ne s'agit pas d'installer deux machines et c'est tout, en fait j'ai affaire à toute une configuration réseau et sécurité assez variée avec plusieurs DMZ, plusieurs unités distantes réliés par des VPN, en fait j'ai affaire à une config assez complexe (plusieurs niveaux de firewall). le travail consiste au début de faire une audit réseau au niveau central et au niveau unité, ce qui à mon avis n'est pas à ma porté d'une personne qui prépare un CAP, il s'agit de proposer une config IDS/IPS avec plusieurs sondes et un ou plusieurs serveurs log. faut pas avoir des jugement superficiels mon frére.

toros
toros
Matelot
Matelot
 
Messages: 3
Inscrit le: 13 Nov 2009 22:13

Messagepar ccnet » 17 Nov 2009 12:05

Je me demande aussi si, en l'état, le sujet est à votre portée.

- Est il possible de mettre en place les deux IDS + Honeypot, sont il complementaires ??
- Je pense à SNORT comme IDS/IPS car gratuit, comme honeyPot qu'est ce que je peux proposer ??


La première question laisse rêveur.

La seconde confirme l'absence de réflexion construite autour du sujet. Le choix de Snort (pourquoi pas) sur l'argument de sa gratuité est sans fondement. La quasi totalité du coût de déploiement, et je ne parle pas encore de son exploitation, d'un IDS est constitué de matière grise. Ces systèmes réclament un temps de préparation et de configuration considérable.

Je vous redis autrement ce qui vous a été dit par Jibe : commencez par posez complètement votre problème de façon complète après une bonne analyse.

Je vais même répondre à votre première question.

Oui !

Comme vous le voyez cela fait beaucoup avancer les choses.
Dernière édition par ccnet le 17 Nov 2009 12:57, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 17 Nov 2009 12:33

A titre perso, j'ai eu du mal à me contenir dans ma réponse.

Je trouve très étonnant de ne pas savoir rapidement qu'est ce qu'IDS et qu'un Honeypot, surtout quand Wikipedia donne déjà des pistes intéressantes. Et cela surtout pour un élève ingénieur à Bac+5.

J'ai été jeune, et mon réseau était "compliqué" : c'est normal de dire mon réseau est "important et compliqué", quand on est jeune. Quand on est moins jeune, cela fait juste sourire ... parce que la sécurité c'est d'abord une posture.

En effet, ce qui est essentiel, c'est le recul sur ces techniques dite "de sécurité". Enfin, c'est là où je jugerais un stagaire, et surtout un ingénieur. Car ce qu'on attend d'un ingénieur, c'est de maitriser la technique ET d'être capable d'avoir du recul sur ce qu'il met en place !


Le niveau de vos questions, immanquablement, fait penser que vous n'avez pas du tout commencé le travail bibliographique nécessaire avant de commencer. Bref cela donne l'impression que vous avez le sujet depuis 10 minutes mais surement pas depuis 1 semaine.


Pour un élève ingénieur, ce discours est choquant pour moi (comme pour d'autres). Hélas, dans les entreprises, j'en ai vu des jeunes ingénieurs ... (mais je ne vais pas donner d'exemples ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jibe » 18 Nov 2009 01:04

Salut,

toros a écrit:est ce que c'est une blague ou que tu es serieux

C'est une blague sérieuse :wink:


toros a écrit:faut pas avoir des jugement superficiels mon frére

C'est bien cela que, de manière un peu humoristique, je voulais te faire comprendre !

jibe a écrit:Et il t'a été donné combien de minutes avant ton post ?

jdh a écrit: Bref cela donne l'impression que vous avez le sujet depuis 10 minutes mais surement pas depuis 1 semaine.

Et une semaine, sur un projet de 9 mois, cela me semble déjà bien peu pour cerner les questions à étudier de plus près...

Je n'en rajoute pas plus : ccnet et jdh ont donné clairement les explications que je sous-entendais. Je redis simplement : cela peut n'être qu'une erreur de jeunesse, on a tous été ainsi à crier au secours avant même d'avoir cherché à comprendre. Mais attention : outre que cette attitude est interdite par la charte du forum, elle peut se comprendre d'un CAP ou d'un bricoleur. Mais un ingénieur est cencé diriger une équipe, et donc répondre lui-même à ce genre de questions !

Allez, je vais compléter la réponse de ccnet, ce qui devrait te permettre de comprendre définitivement tout le sérieux de ma première réponse. A ta question
toros a écrit:Est il possible de mettre en place les deux IDS + Honeypot, sont il complementaires ??

il répond "oui". Sans même connaitre les détails de ton réseau hyper complexe. Comment quelqu'un d'aussi sérieux et méticuleux que ccnet peut-il répondre si catégoriquement à une question aussi vague ?

Tout simplement parce que "système de détection d'intrusion" laisse penser qu'il pourrait y avoir quelques intrus qui passent à travers les firewalls. Et comme c'est une race qui adore le miel au petit déjeuner, leur en fournir un pot est une coutume assez répandue. Comme le disait jdh, la simple étude des définitions amène immanquablement à cette conclusion ! Même un CAP peut le comprendre !

Autre précision, sur la complexité de ton réseau. Bien évidemment, n'étant pas moi-même ingénieur et travaillant pour des TPE, je n'ai vu de réseaux "complexes" que lorsque des amis m'ont fait visiter leur boite. Mais que ce soit en informatique ou dans n'importe quel domaine, je n'ai jamais rien rencontré de vraiment complexe. Tout ce que j'ai vu, ce sont des assemblages parfois impressionnants de choses simples.

Quels sont les éléments présents dans ton réseau qui n'y sont pas dans un petit réseau domestique ? Ils sont beaucoup plus nombreux, certes, mais pas (ou à peine) plus variés. Ton réseau "complexe" n'est donc guère plus qu'un assemblage de petits réseaux domestiques imbriqués les uns dans les autres... Il n'est d'ailleurs pas certain que tu y combines le contrôle parental, le pilotage de la chaudière, la gestion du téléphone (en routant automatiquement les appels vers la ligne la plus économique), l'enregistrement/dispatching multimédia etc.

J'ai été très peu à l'école, justement parce que je ne supportais pas la manière d'aborder les choses. On nous met la grosse tête, on nous fait croire qu'on est (ou qu'on devrait être) une élite, mais on oublie de nous dire qu'il faut avant tout être conscient qu'on ne sait pas grand chose, qu'aborder les choses en pensant être le meilleur et les résoudre facilement est le meilleur moyen de se planter totalement ou au moins de faire du mauvais boulot. On ne nous a jamais appris (enfin, pas à moi... et apparemment pas aux futurs ingénieurs de ton école) à bien poser un problème et à commencer par s'asseoir et réfléchir, puis se documenter et réfléchir encore...
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité