IDS : lequel choisir ?

Support Debian
#1

Bonjour,

Je cherche un IDS pour un serveur sous Debian Squeeze.

J’ai suivi le tutoriel de Snort, mais je me suis retrouvé bloqué à compiler les sources, en cherchant il se trouve que libdnet n’est pas compatible avec la dernière version de Snort, et comme je n’ai pas vraiment l’envie d’utiliser des trucs complètement dépassés je pense laisser tomber Snort.

On parle de Prelude mais apparemment il ne contiendrait plus d’IDS depuis une certaine version…

Du coup je suis un peu pommé, je trouve pas mal de tutoriels mais ils datent tous de quelques temps alors pas simple…

Si je pouvais avoir vos avis sur un IDS performant ce serait sympa :slightly_smiling:

Merci :041

#2

Hello,

Au boulot on a un Snort en mode IPS.
Mais mon responsable aimerai qu’on fasse des tests sur Suricata.
Effectivement ça à l’air pas mal doc.ubuntu-fr.org/suricata

Le problème c’est pas tant le moteur (Snort ou Suricata) c’est les règles.
Y a bien celles de emergingthreats.net mais c’est comme les antivirus, pour avoir les dernières mises à jour faut envisager une solution payante.
Libre hein… mais payante…

Edit : Snort ça marche très bien, nous c’est en prod depuis un bon moment sans soucis…(à part quand BASE se lance plus quand il y a trop de “match”)

#3

Snort, que de flatulence! Je m’y suis noyé d’ailleurs …

Gardons les pieds ossec, pour faire simple!

#4

fr.wikipedia.org/wiki/Syst%C3%A8 … 7intrusion

OSSEC est un HIDS, Snort un NIDS

pas tout à fait la même chose j’ai l’impression

#5

Bonjour,

Merci pour ces informations :slightly_smiling:

Suricata m’a aussi l’air bien, je vais l’installer aujourd’hui voir ce que ça donne.

Concernant les règles ça craint… aucun moyen d’y échapper ?

Et oui je pense chercher un NIDS, car à mettre sur un serveur web qui fera de la redirection vers des serveurs virtuels d’un autre serveur… :slightly_smiling:

#6

Déjà avec des règles gratuites on fait pas mal de choses. :wink:

doc.ubuntu-fr.org/suricata#effec … des_regles

#7

J’ai vu ça j’ai mis tout ce que je pouvais :slightly_smiling:

Ceci amène deux questions.

1 - Comment tester son IDS ?

2 - Suricata ne semble pas avoir d’option d’envoi de mail en cas de problème, je pense donc que c’est l’email de l’admin qui est sollicité n’est-ce pas ?

Merci !

#8

GENIAL !!!
a aucun moment de ce sujet il n’est référence a ce dont vous parlez . que des sigles.
regles-d-usage-du-forum-t28179.html

#9

[quote=“misaine”]GENIAL !!!
a aucun moment de ce sujet il n’est référence a ce dont vous parlez . que des sigles.
regles-d-usage-du-forum-t28179.html[/quote]

Sans doute un manque de pratique, car un IDS est pour moi c’est assez parlant, même si à la limite précisé un NIDS dans ce cas aurait été encore un poil plus claire.

#10

[mode=humour 100 %][quote=“misaine”]GENIAL !!!
a aucun moment de ce sujet il n’est référence a ce dont vous parlez . que des sigles.
debian-fr.org/regles-d-usage … 28179.html[/quote]
Sisi, le 4ème message renvoie vers un lien wikipédia système de détection d’intrusion:mrgreen:

Perso j’hésitais entre guerre des étoiles et interdiction de stade :116

Je suis sûr que c’est comme apg, c’est documenté quelque part sur le wiki :violin:
[/mode=humour 100 %]

Désolé, c’est samedi, mes neurones font relâche :whistle:

Usti

#11

[quote=“Saachaa”]J’ai vu ça j’ai mis tout ce que je pouvais :slightly_smiling:

Ceci amène deux questions.

1 - Comment tester son IDS ?

2 - Suricata ne semble pas avoir d’option d’envoi de mail en cas de problème, je pense donc que c’est l’email de l’admin qui est sollicité n’est-ce pas ?

Merci ![/quote]

Pour Suricata je ne sais pas du tout, je ne l’ai même pas testé, si vous faîtes des tests plus poussés un retour d’expérience dans ce thread pourrait être intéressant pour les autres.

Concernant les tests de notre Snort on crée une règle toute bête qui bloque le trafic quand un ping cherche une ip en particulier.
On cherche le “match” dans BASE. Si c’est bon c’est que l’IPS fait bien son job. On enlève la rule, on met en prod et puis après tout se vérifie dans BASE.
blog.nicolargo.com/2008/10/insta … snort.html

[quote=“misaine”]GENIAL !!!
a aucun moment de ce sujet il n’est référence a ce dont vous parlez . que des sigles.
debian-fr.org/regles-d-usage … 28179.html[/quote]

Il est regrettable que vous confondiez acronyme et langage SMS.
A chaque post sur les serveurs DHCP et DNS devrait t on, selon vous, s’insurger contre un tel manquement aux règles de vie du forum ?

#12

Bonjour :slightly_smiling:

Oui bien sûr, seulement suricata est très basique… qui plus est prend pas mal de CPU alors je pense l’écarter un peu…

Je viens de voir ton tutoriel, j’ai pu installer Base :slightly_smiling:

Cependant quelques erreurs avec Snort mais je vais régler cela.

Je suis aussi tombé sur EasyIDS… si quelqu’un connaît :

skynet-solutions.net/About-EasyIDS

#13

Je continue le topic :033

testé Tripwire : avec la config par défaut, génère bcp d’erreurs (scan de l’arborescence /proc) du coup les mails de rapport pèsent très lourd (~1Mo)

pas eu envie de bidouiller, hop --purge remove :stuck_out_tongue:

En attendant de tester OSSEC (pas dans les dépôts Squeeze), j’essaye Samhain pour voir.

#14

[quote=“agentsteel”]Je continue le topic :033

testé Tripwire : avec la config par défaut, génère bcp d’erreurs (scan de l’arborescence /proc) du coup les mails de rapport pèsent très lourd (~1Mo)

pas eu envie de bidouiller, hop --purge remove :stuck_out_tongue:

En attendant de tester OSSEC (pas dans les dépôts Squeeze), j’essaye Samhain pour voir.[/quote]

Sinon OpenVAS le fork libre de Nessus est pas mal :whistle: ,il est par contre indispensable de faire le trie sur le nombre de pseudo faille relevé par celui-ci :033

#15

je sais je viens après la guerre, mais si cela peut servir à quelqu’un…
il veut protéger un serveur web, moi je conseillerai un WAF (Web Applicaiton Firewall) comme mod_security (sur apache ou nginx) connecté à fail2ban pour blacklister directement les petits joueurs avec les règles de OWSAP (open web security project)