système anti intrusion

Bonjour,

j’aimerais savoir quels systèmes anti intrusion sont disponible sur debian, histoire de compléter iptables.

Bonjour,

Il y a un sujet du forum qui est un peu ancien, mais il y a des éléments de réponse sur les IDS (Intrusion Detection System), que l’on peut souvent configurer en mode “blocage” donc en mode IPS (Intrusion Protection System) : ids-lequel-choisir-t42471.html

À mon humble avis, la sécurité d’un système passe aussi par sa connaissance “exhaustive” : fermer les services inutiles ou les verrouiller s’ils ne sont pas pertinents sur toutes les interfaces, changer les ports par défaut si possible (SSH, etc).

À noter qu’un IDS est plus un outil de diagnostic qu’un outil de protection, il faut lire régulièrement les logs pour savoir “ce qui pourrait déconner” dans son système.

Il y a un Linux Magazine récent qui parle de Suricata et des IDS en général : boutique.ed-diamond.com/gnulinux … hs-76.html
Certaines ressources sur Suricata sont gratuites (mais plus anciennes) : connect.ed-diamond.com/MISC/MISC … -Suricata2

Bonne recherche :sunglasses:

merci :slightly_smiling:

Le lien que C9H8O4 ta donné sur ce forum parlant de BASE est périmé car il n’est plus maintenue.

La solution d’un système sécurisé est d’utiliser le moins de services possible, provenant des dépots officiel et maintenue régulièrement à jour.

Tu peu utiliser prelude composé d’un NIDS, un HIDS et un LML, capable d’être couplé à des sondes commes snort, ou encore des sondes qui simule un système d’exploitation avec ces vulnérabilité en vue d’étudier les attaques. Tu peu aussi installer le webUI prewikka pour monitorer simplement tes alertes de détection d’intrusion. Par exemple prelude log toutes les connections ssh avec ip, nom utilisateur entré … ce qui te permet de connaitre un peu mieux les types d’attaques car prelude log les paquets complet et sont facilement lisible par prewikka. Tu peu l’installer tant sur un seul serveur que de lui permettre aussi de surveiller toute une architecture réseau.

Tu a aussi psad en détection de scan nmap et autre tool du genre et qui à bloquer les ip automatiquement qui résulte du scan.

Tu a aussi fail2ban

et des utilitaire opensource mais de main en main que tu trouve sur des forums privé du darknet.

[quote=“vger”]Bonjour,

j’aimerais savoir quels systèmes anti intrusion sont disponible sur debian, histoire de compléter iptables.[/quote]

Commence déjà par monté ton serveur, couplé à fail2ban, tu peux commencer à regarder du côté de portsentry (mais attention à ne pas te faire bannir).
Pense à te mettre en place un anti-rootkit, cherche un script qui t’alerte en cas de modification effectuée sur les répertoire sensible.

Toutes les propositions que l’on t’a faite pour l’instant sont du type bazooka pour écraser une mouche et réclame un savoir faire pour être mis en place correctement et réclame de la ressources ce que ton serveur n’a pas forcément à foison.

Encore une fois la plus grande sécurité c’est avant tout de fermer la porte et filtrer correctement, utiliser des mots de passe fort et des clés correct.
D’utiliser des paquets qui sont régulièrement auditer.

Clochette, si je te suis, ici on donne de l’aide à un utilisateur lambda qui cherche à utiliser SELinux sur sa Debian mais on dit que chercher à ce protéger et apprendre par la même occasion comment fonctionne un réseau par un noob admin est ridicule car c’est un tue mouche :013

Je partage l’opinion de Clochette bien que je sois un novice

Voir cette vidéo très pedagogique

tutoriels-video.fr/securiser … -rkhunter/

Sinon comme IDS dont j’ai entendu que du bien et pour l’avoir essayé sur mon ordi il y a SNORT

:doh:

:doh:[/quote]

Parfois les mesures les plus simples à mettre en œuvre suffisent

Et comme il a été dit ailleurs il existe le paramétrage propre à la box permettant de se prémunir contre certaines attaques et aussi d’avoir un journal des événements.

Relie moi, et ensuite relie toi.

Où as-tu vue que je dénigre la sécurité dans ce que je dit.

Regarde ces précédent messages, au cas où tu n’est pas coutumier du forum.

JE le reprécise sortir du HIDS ou du NIDS pour sécuriser un serveur lorsque l’on débute c’est sortir un bazooka pour tuer une mouche.

Tant que tu y est propose lui d’installer un Nagios, couplé à un Centreon histoire de monitorer ces quelques services, et un GLPI tant que l’on y est.

Au passage Lynis est multiplateforme et sympa dans son utilisation multi-nodes.

Et bien clochette je partais simplement du principe que j’ai réussis à apprendre le tout (et j’en apprend encore) en très très peu de temps, alors je partais du principe qu’il faut faire rentrer dans le tas tout les apprentis jusqu’a ce qu’on fasse émerger un génie, et ce peu importe la trame que ça apporte au débutant. C’est juste un principe d’évolution commun à ce qui était lorsque nous avions tout nos savant en informatique et même si cela diffère du sujet et de la conception de la chose, la science à pris un 3ème vitesse d’une dodoche au lieu d’une 6ème sur une sportive … :pray:

Ps, je te prie, pour toi. (je ne cherche pas à t’imposer un système de pensé, bien au contraire) :arrow_right: :smiley:

Ok perso je pense que l’on devrait jeter à l’eau tous les nouveaux nés pour voir si émergent des Phelbs

Et tu as un sacré égo…

On a tous notre idéologie sur ce qui devrait être Le principe de l’évolution de l’intéligence humaine, il y a certaines familles qui apprennent à lire aux enfants qu’a partir de la primaire et pas la maternel …

Bref, ne me dit pas que je souffre d’un ego juste parce que je ne partage pas les mêmes opinions que toi et que je ne suis pas à cacher que j’aime apprendre et partager …

Médite bien sur ma dernière phrase, puisque tu pense me connaitre sa te feras peut-être changer de jugement … :114

Un chouille d’ego quand même je le reconnais, mais pas sacré :naughty:

je n’ai jamais oublié ce sujet, je suis d’accord avec toi Cylab mais c’était encore beaucoup trop tôt pour moi.
Encore aujourd’hui je viens à peine de comprendre comment automatiser le démarrage de mes règles iptables au démarrage du système, et encore le peu que j’ai pu comprendre d’iptables je le dois à Pascal qui est très patient.

je pense que le gros problème c’est quand des informations et des erreurs abondent dans tous les sens, on peu pas gérer autant d’échecs et incompréhensions en même temps (je ne suis même pas sûr de savoir ce qu’est réellement un noyau), c’est pour ca que parfois je laisse un fil en retrait le temps d’y revenir.
Parce que au contraire, si on est pas guidé dans une pédagogie on abandonne facilement.

par exemple là je ne sais même pas quels sont les logs critique à surveiller (à part auth.log pour le ssh mais je me connecte à mon serveur via un VPN dont l’IP est la seule qui ne soit pas filtré par le parefeu du serveur). Pour apache je n’ai aucune idée des logs à consulter (je pense que c’est vraiment là le point faible de mon serveur).

je sais que j’ai encore quelque trucs à comprendre avant de pouvoir surveiller mon système et que tous les efforts que je donne équivalent peut être à un HoneyPot…

En attendant tout ceux qui ont du temps et qui prennent plaisir à expliquer sont les bienvenus, j’ai encore beaucoup à apprendre sur le fonctionnement de Debian.

Salut,
Une bonne introduction du sujet, sans se faire mal
openclassrooms.com/courses/secu … veur-linux

Bonjour tout le monde,

en effet, avant de sortir la grosse artillerie, il est nécessaire à mon sens de mettre en oeuvre les bonnes pratiques telles que citées plus haut : connaître son système, désactiver les services inutiles, maintenir son système à jour, modifier les mots de passe par défauts et les configurations par défaut souvent trop permissives, utiliser des mots de passes fort, utiliser des clés de chiffrement de taille suffisante, lire et (être capable) de comprendre les logs etc…

Il faut tout de même garder à l’esprit que changer le port par défaut d’un service apporte une sécurité relative… :whistle:

Puis dans un deuxième temps, en effet, il est recommandé de mettre en place des outils spécifiques.

D’ailleurs un document que je trouve excellent (pour commencer voire un peu plus) est tout simplement celui proposé sur le site debian.org : https://www.debian.org/doc/user-manuals#securing

De plus il existe également de très bons documents rédigés par l’ANSSI sur le sujet :

http://www.ssi.gouv.fr/entreprise/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/

Concernant (Open)SSH :

http://www.ssi.gouv.fr/entreprise/guide/recommandations-pour-un-usage-securise-dopenssh/

Amuse toi bien :033

En esperant avoir aidé :slightly_smiling:

@+ :006