IPCop 1.4.21 + Guardian

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCop 1.4.21 + Guardian

Messagepar betienne » 14 Jan 2010 15:57

Bonjour à tous,

Je ne veux surtout pas relancer le débat sur snort ou pas, si c'est là qu'il le faut ou non, etc ...

J'ai activé snort sur l'interface rouge et j'ai appliqué les règles VRT. Je souhaite maintenant installer Guardian !

Est-ce que quelqu'un a installé l'addon Guardian sur cette version ?

Quel est le bénéfice apporté ?

Je précise que c'est pour une petite entreprise de 30 PC dans un secteur sensible mais pas trop. Je précise aussi que j'ai déjà installé Bot et qu'il existe, sur un serveur distinct, un Squid+SquidGuard (avec les blacklists de l'université de Toulouse/Mirail) mais ça n'a pas grand chose à voir avec la question.

Merci d'avance de vos réponses.

Bon travail à tous.
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Messagepar fleib » 11 Fév 2010 09:52

Salut,

Si tu as déjà un squid+squiguard sur une autre machine, pourquoi vouloir l'installer aussi sur le parefeu? Il a déjà été dit sur ce forum que le proxy doit être séparé du parefeu... Je ne comprends pas bien ta demande...

FL
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Messagepar jdh » 11 Fév 2010 11:35

C'est évidemment la bonne réponse.

Si on parcourt le site de DansGuardian, on comprend qu'il s'appuie sur Squid. (Sur le site, 2 clicks suffisent à voir le lien avec Squid !)

Donc, forcément DansGuardian doit être installé sur le proxy (Squid) et non sur le firewall.

Donc "ça n'a pas grand chose à voir avec la question" est strictement l'inverse : cela a justement à voir avec Squid !

Par ailleurs, DansGuardian n'a rien à voir avec Snort : pourquoi relancer alors la question du positionnement de celui-ci ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar betienne » 12 Fév 2010 18:29

Bonjour à tous,

Je dois mal me faire comprendre ...

1 - Je ne veux pas installer Squid+SquidGuard sur IPCop puisque je l'ai déjà ailleurs.

2 - Ensuite il me semble bien que Guardian exploite les détections de Snort. La meilleure preuve c'est que si on trouve un faux positif de Guardian il suffit de désactiver la règle correspondante dans Snort pour régler le problème.
Le message de Guardian comprend, en majuscule, la rubrique (ex SMTP rules) et le titre de la règle (ex: ClamAV recipient command injection attempt). C'est exactement la tentative d'intrusion que détecte Snort.
Enfin ce message n'a absolument rien à voir avec Squid ou SquidGuard.

Donc la question est simplement : est-ce que quelqu'un a un retour d'expérience des addons de Snort+Guardian sur IPCop.

Bon travail à tous.
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Messagepar jdh » 12 Fév 2010 23:50

Mea culpa : il existe un "addons" nommé Guardian pour Snort, et il existe DansGuardian "addpns" de Squid.

Mon post concernait donc DansGuardian et non Guardian.

Je stoppe donc là puisque ce fil tourne autour d'un sujet qui ne m'intéresse absolument pas car, de mon point de vue, Snort n'a quasi aucun intérêt pratique et opérationnel sur Ipcop.
(D'ailleurs si on dispose de l'expertise, un, on ne place pas Snort sur Ipcop, deux, on sait comment mettre en place l'intégralité du système ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron