Comment marche la detection d'intrusion sur MNF ?

[cyberfred]

Salut <BR>J'ai une mnf qui marche sans souci depuis quelque temps dans ma boite et je m'interresse à l'ids ; <BR>J'aimerai savoir ce qu'il est possible de faire avec une fois qu'on a activé le service dans la mnf ; <BR>En gros comment ca marche ? <BR>Possibilté d'envoi de mail en cas d'intrusion etc... <BR>Merci d'avance si vous avez des réponses.

[cyberfred]

up <BR>pas une petite idée? <BR>Ce qui m'interesse en fait c'est de savoir ce que j'aurai à faire une fois l'IDS activé?

[svart]

Rien, MNF contient deux IDS légèrement différents qui ne nécessitent pas je crois d'entretien particulier (sauf éventuellement à les mettre à jour ce que je devrais faire aussi!). <BR> <BR>Tu peux consulter les journaux de ces IDS dans l'interface MNF, rubrique Surveillance > Journaux > Snort et Prelude. <BR> <BR>Sinon pour les connaitre mieux : <BR> <BR><!-- BBCode auto-link start --><a href="http://prelude-ids.org/" target="_blank">http://prelude-ids.org/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://www.snort.org/" target="_blank">http://www.snort.org/</a><!-- BBCode auto-link end --> <BR> <BR> <BR>

[cyberfred]

ok merci pour ces precieuses adresses. <BR>En fait la seule chose que j'ai à faire c 'est de consulter regulierement les logs. <BR> <BR>Ce que j'aurai aimé savoir , c'est s'il existe un moyen d'être prevenu en temps réel ou presque d'une intrusion : style envoie de mail , etc....

[svart]

Il faut comparer la version installée sur ta MNF et celle actuellement disponible sur les sites de prelude et snort. <BR> <BR>Les versions plus récentes intègrent plus de fonctionnalités => dont peut-être celles que tu cherches. <BR> <BR>Après, je crois que si tu veux vraiment faire du monitoring, il faut une architecture un poil plus complexe que simplement activer les IDS sur ta passerelle/firewall. Notamment, il est alors intéressant d'utiliser une autre machine pour lancer les sonde sur des emplacement du réseau. <BR> <BR>Des experts t'en diront plus.

[Jacques-]

Si tu as un serveur de mail en local, il est facile de configurer syslog pour envoyer un mail à un utilisateur local en fonction du niveau d'information de chaque message. <BR>Par défaut, le mail est dans la boîte locale de l'utilisateur, avec ou sans serveur, mais avec un serveur de mail local il peut être redirigé sur un autre utilisateur <BR> <BR>Jacques

[cyberfred]

ok merci pour toutes ces infos par contre j'ai activé ids prelude et je n'ai pas de logs pour le moment , est ce normal? <BR>Alors qu'avec snort , il me genere bien des rapports.

[svart]

Prelude ne te fera de rapport que s'il détecte quelque chose - fais un test de ton firewall avec par exemple le module d'Ixus - tu devrais voir alors quelque chose ! <BR> <BR>Mais ne t'inquiète pas spécialement : mieux vaut n'être pas attaqué, et n'avoir pas de logs, que le contraire !

[cyberfred]

ok merci , c'etait juste pour etre sur!!! <BR>merci encore

[cyberfred]

J'ai fait le test firewall de ixus mais prelude ne me genere rien du tout ; <BR>Je sais bien qu'il vaut mieux ca mais j'aimerai etre sur que ca marche ; si quelqu'un a une idée pourquoi j'ai toujours "empty no logs available" dans le prelude IDS ; <BR>Pourtant j'ai fait des scans de ports à partir de chez moi , etc.... <BR>Ca devrait me generer quelque chose dans prelude non? alors que le snort fonctionne trés bien.

[cyberfred]

up