Analyse des logs SNORT IPCOP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar c0uG » 24 Août 2003 19:59

Hello à tous, <BR> <BR>Je suis sous IPCop 1.3 (Fix3), et ma foi, j'aimerai pouvoir exploiter les logs de SNORT de manière plus pertinente. <BR>Cependant, je trouve que l'interface (Snort) web de base est trop basique (deroule juste les alertes) et donc insuffisante pour mes besoins. <BR> <BR>Mes questions sont donc les suivantes: <BR>- Existe-t-il des plugins à Snort qui peuvent s'installer sous IPCop et qui permettraient ensuite de pouvoir extraire des infos pertinentes des logs (via interface web) <BR> <BR>Sinon si me seul salut passe une récuperation des logs snort par SCP puis par l'utilisation d'un "security log analyzer", en existe-t-il un spécifique à Snort ou le cas écheant compatible Snort ? (Si possible gratos, et pas "usine à gaz") <BR> <BR>Par ailleurs, Snor étant un IDS, sa base de signatures doit être régulièrement MAJ. Or ce n'est possible pour un néophyte que par l'application d'un Fix ? <BR>Comment faire soi-même les MAJ de sigs Snort ? <BR> <BR>Exemples concrets: <BR>- comptabiliser le nombre de tentatives (infructueuses <IMG SRC="images/smiles/icon_smile.gif"> ) de Blaster et Nachi ... <BR>- etablir un top20 des alertes bloquées <BR> <BR>Je suis sûr que je ne suis pas le seul à rechercher cela... <BR> <BR>Merci de votre aide ! <BR> <BR>
Avatar de l’utilisateur
c0uG
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 13 Août 2002 00:00

Messagepar Gesp » 26 Août 2003 23:34

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>Par ailleurs, Snor étant un IDS, sa base de signatures doit être régulièrement MAJ. Or ce n'est possible pour un néophyte que par l'application d'un Fix ? <BR>Comment faire soi-même les MAJ de sigs Snort ? </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>ce sera dans l'interface web de la V1.3.1 <BR>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar c0uG » 27 Août 2003 14:32

la 1.3.1 est publique quand ? <BR>
Avatar de l’utilisateur
c0uG
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 13 Août 2002 00:00

Messagepar Gesp » 27 Août 2003 14:51

c'était prévu pour aout quand la V1.3.0 est sortie mais je pense que c'est en retard parce que l'on est à l'état alpha5 et il y a pas mal de choses qui sont modifiées en ce moment. Il y a peut-être plus de modifs que prévues de réalisées et j'ai vu une modif pour l'interface pour les signatures de SNORT, il y 2 jours seulement. <BR> <BR>Il y aura certainement au moins 3/4 betas et il faut songer au travail des traducteurs à activer dès le passage en beta donc en comptant une beta tous les 10 jours, cela fait au mieux déjà fin septembre. <BR> <BR>Je t'avertis que si tu comptes poser la question de la date sur la devel-list d'IPCop, cela coute traditionnellement une boite de chocolat à celui qui la pose à envoyer au responsable de la version donc à Mark Wormgoor actuellement. <IMG SRC="images/smiles/icon_lol.gif">
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité