Re: securite, ids

To: Benoit Friry <benoit@friry.nom.fr>, DebianFr <debian-french@lists.debian.org>
Subject: Re: securite, ids
From: Amaury Amblard-Ladurantie <amaury@mandrakesoft.com>
Date: Thu, 7 Jun 2001 15:39:29 +0200
Message-id: <[🔎] 01060715392904.01408@darcache.mandrakesoft.com>
In-reply-to: <[🔎] 20010607140119.A4541@benbox.yi.org>
References: <[🔎] 20010607092015.A3703@benbox.yi.org> <[🔎] 20010607140119.A4541@benbox.yi.org>

> Je me réponds à moi-même pour vous indiquer deux URLs intéressantes :
> http://www.linux.ie/articles/portsentryandsnortcompared.php

Cette URL est un grand classique.
Il est vrai que PortSentry est assez "bourrin", mais il peut convenir à des 
particuliers installant ca sur leur fw (comme c'est le cas chez moi), car le 
fait de subir un DoS n'entraine rien de vraiment genant.

En revanche portsentry sur un fw protégeant un réseau "professionnel" me 
parait etre une absurdité sans nom.
Snort est bien préférable dans ce cas, mais cetts solution nécessite un admin 
pour lire et interpréter les résultats. Même les parseurs n'évitent pas 
d'avoir à fournir du boulot de ce coté. Et il est déconseillé d'utiliser les 
plugins de réaction automatique (ipchains ou autre) derrière Snort, pour ne 
pas tomber dans les mêmes travers que Portsentry (false positive, DoS).

Portsentry consomme beaucoup moins de CPU que Snort. Sur un ethernet 100 Mbps 
avec une base de signature assez fournie et une connexion a 2Mbps sur 
l'exterieure il droppe pas mal de paquets avec un PIII 600 256 Mo RAM.
AMHA Snort et quelques plugins, et avec une base de signatures custom 
(inutile de tout mettre, sauf besoins spécifiques AMHA), avec swatch 
derrière, marchent très bien. Mais ne remplacent pas un admin, d'autant 
qu'ils ne font que de la détection (sans plugins), contrairement à portsentry.

Ceci dit j'utilise portsentry chez moi et j'en suis très content, même si je 
dois "nettoyer" mon hosts.deny et les règles ipchains de temps à autre. Et 
snort tourne sur une patate / P 90 (avec X) sans probl èmes.

Logcheck est pas mal non plus meme s'il tends a etre assez "verbose" en cas 
de portscan ou autre.

Bref si je puis me permettre, avant d'installer de tels outils, une des 
premières chose consiste à virer les nombreux ports ouverts (virer inetd est 
un bon départ), mettre de bonnes règles de filtrage, virer les trucs suid non 
necessaires, mounter les partition adequates en ro, noexec.
Apres, si le coeur t'en dis tu peux toujours patcher le kernel (openwall et 
LIDS sont pas mal mais tres contraignant (surtout LIDS)), installer tripwire 
(qui est free maintenant, LGPL je crois) et plein d'autre utilitaires rigolos 
qui te font croire que ta machine est secure alors que tu as laisse un bon 
vieux BIND 0.02 alpha tourner en root sur ta machine :-)

"Security is a process, not a product"

My 2 cents
Amaury

Reply to:

References:
- securite, ids
  - From: Benoit Friry <benoit@friry.nom.fr>
- Re: securite, ids
  - From: Benoit Friry <benoit@friry.nom.fr>

Prev by Date: recherche d'apli du style MSN Messenger sur debian
Next by Date: Re: Variables d'env.
Previous by thread: Re: securite, ids
Next by thread: RE: Outils de sécurité et administration de machines identiques
Index(es):
- Date
- Thread