[Problème] Detection intrusion et Oink code

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Problème] Detection intrusion et Oink code

Messagepar cyrakuse » 01 Fév 2010 14:34

Bonjour à tous,

Je viens de faire une install de IPCop v1.4.21 (+ plugin urlfilter)
Lorsque je demande une maj des règles (dans detection intrusion), j'obtiens le message d'erreur suivant :
Code: Tout sélectionner
L'auxiliaire d'aide a donné un code d'erreur: HTTP::Response=HASH(0x85f2e90)->code

Pour info :
- j'ai bien rempli le oink code avec celui donné par le site snort.
- j'ai bien vérifié l'accès au net depuis la machine ipcop

J'ai tenté de ré-installer ipcop depuis zero mais ça ne change rien.

Une idée ?
cyrakuse
Matelot
Matelot
 
Messages: 3
Inscrit le: 01 Fév 2010 14:29

Messagepar Mister-Magoo » 01 Fév 2010 17:51

Déjà vu, déjà répondu 8)

Il faut chercher un peu, on en a encore parlé il y a pas longtemps 8) 8)
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Messagepar betienne » 02 Fév 2010 10:29

Va voir ici :

http://forums.ixus.fr/viewtopic.php?t=4 ... t&start=30

Tu cherches le post de Vehrsey qui a fait le patch qui va bien (installé et testé). Ce patch corrige dans snort.conf le n° de version.

Le patch est très bien fait, vraiment pro, même s'il ne fait qu'une petite chose il prend toutes les précautions pour bien le faire. C'est pas si fréquent !!!

Le lien du patch : http://uploading.com/files/get/d41m5cm4/ ou http://dl.free.fr/bOLyH3vYl

Bon travail à tous.
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Messagepar jdh » 02 Fév 2010 10:47

Tant qu'à donner des précisions, il serait aussi utile de rappeler aussi le point de vue de certains (et entre autres le mien) :

Snort est typique de la fausse bonne idée :
- intéressant sur le papier et même logique,
- totalement irréaliste en pratique dans de petites structures,
- de plus, TRES mal placé sur un firewall.

Les raisons :
- le placement : la sonde doit être à l'intérieur du réseau (et non à sa périphérie), sans adresse ip, sans aucun lien avec aucune machine,
- il faut 2 ressources pour en avoir un intérêt exploitable : le temps et l'expertise.
- l'expertise : il faut savoir interpréter les alertes et notamment distinguer le faux positif : pour cela, il faut être expert en paquet IP ainsi qu'en services réseaux,
- le temps : il faut être capable de réagir immédiatement : quel intérêt de réagir le lundi matin pour un paquet bizarre du vendredi soir ?

Bref, que l'on s'informe, que l'on expérimente, pourquoi pas ? Mais, en prod, pas d'IDS dans une pme avec un service informatique de taille moyenne ! Dans une structure qui a la disponibilité, la matière, pourquoi pas !

Pour la population du forum, cela doit représenter moins de 1% des membres.
De plus, ceux qui mettent cela en pratique, n'utilise certainement pas ipcop pour cela ! Ce qui nous amènent à 0% !

En fait, il est logique de trouver Snort, outil Open Source de référence dans le domaine, sur un ipcop (il existe le package pour pfSense aussi). Il est moins logique de l'utiliser ...


NB : bien que travaillant depuis plus de 10 ans sur des firewall de tout type et pour des entreprises variés plus ou moins grande, je ne suis pas personnellement assez expert en IDS pour en tirer profit.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar cyrakuse » 03 Fév 2010 11:39

Merci pour vos réponses.

Avec le patch, tout fonctionne nickel.
cyrakuse
Matelot
Matelot
 
Messages: 3
Inscrit le: 01 Fév 2010 14:29

Messagepar betienne » 03 Fév 2010 11:40

C'est un éternel débat ...

Entre rien et un système très élaboré il y a un monde. Le même monde entre un débutant et un vieil expert.

Et pour ceux qui sont entre les deux il faut quelque chose qui va les faire progresser. Alors même si leur sécurité parait illusoire ce sera mieux que rien et petit à petit ils amélioreront leurs compétences.

Donc je persiste à installer Snort+Guardian sur une passerelle IPCop et à suivre les logs des blocages de Guardian. à force j'établis ma liste blanche car il y a quelques faux positifs (par exemple smtp.orange.fr:25).

J'installe cette configuration chez pas mal de clients (petites PME jusqu'à 50 postes) et je regarde les logs une fois par jour. Bien sûr si il y a une intrusion le vendredi AM (merci les RTT) on verra les dégats lundi matin ... Le client est prévenu de ce risque, il sait ce qu'il économise, c'est justement le prix du risque.

Donc je vais faire hurler les amiraux mais c'est mieux que la "live box" ou le "speed touch" directement sur le switch et cette configuration existe dans bon nombre d'entreprises.

Bon travail à tous
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Messagepar jdh » 03 Fév 2010 11:56

On a déjà parlé de ce débat.

Et je n'ai pas de réponse à :

Il n'est pas acceptable de faire croire à un client que l'IDS lui apporte plus de sécurité alors qu'il n'y a ni le temps ni l'expertise.

Qu'une SSII propose du support pour l'IDS, pourquoi pas ?
Mais, moi en tant que client, je voudrais savoir quelle est l'expertise de la SSII et comment elle répond à expertise + temps. Notamment, elle doit forcément m'annoncer qu'elle a au moins 2 intervenants ayant une dispo importante (c'est à dire pas trop pris aussi par du support, de l'install serveur) et ayant une expertise 10 ans sur tous types de paquets ip/services classiques.

Un IDS peut amener une alerte : tel paquet à tel instant.
Il FAUT répondre rapidement : ce paquet comporte un risque réel ou non. (temps + expertise)

Sans ces 2 dimensions, l'IDS n'apporte aucune sécurité supplémentaire ni information UTILE.
Donc il est faux de vendre de la sécurité inexistante ou de l'information inutile.


Quand à comparer cela à une box ou un routeur de base, il est clair qu'il faut commencer par BOT (et le filtrage en sortie) avant QUOI QUE CE SOIT.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar betienne » 03 Fév 2010 14:27

BOT c'est évident, c'est le premier addon à installer.

Ce que je dis aux clients c'est que je regarde une fois par jour les logs de Guardian pour examiner les éventuels faux positifs et c'est tout !
Pour le reste IPCop est une sorte de "boite noire" et il faut le présenter comme tel au client.

Pour les clients ce n'est pas cher, c'est suffisamment sécure quand ils n'ont qu'un serveur webmail un serveur web et un serveur FTP. Si en plus on contrôle à minima les serveurs avec chkrootkit et logwatch en cron c'est pas mal.

Enfin on a plus de chances de crasher un disque dur que de subir une intrusion dévastatrice.

Donc tout est toujours une question d'équilibre entre les exigences les risques et le budget. Il n'y a donc pas une seule bonne solution, ça se saurait, mais une infinité. La meilleure preuve c'est que les développeurs d'IPCop on créés un système flexible et que cette flexibilité a généré des "vocations" pour la création d'addons. Si on prend l'exemple de l'addon AdvProxy, il n'est pas conforme à l'orthodoxie sécuritaire puisque il se place sur la passerelle. Pourtant le développeur (M. Sondermann) n'a pas l'air d'être un crétin incompétent, son produit est superbe et utilisé sur des milliers de passerelles.

Donc "tout est dans tout et réciproquement" (je déconne) ... il n'y a pas de vérité, que des points de vue mais c'est un troll plus philosophique qu'il faudrait poursuivre sur un autre fil.

Bon travail à tous.
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité