Re: securite, ids
> Je me réponds à moi-même pour vous indiquer deux URLs intéressantes :
> http://www.linux.ie/articles/portsentryandsnortcompared.php
Cette URL est un grand classique.
Il est vrai que PortSentry est assez "bourrin", mais il peut convenir à des
particuliers installant ca sur leur fw (comme c'est le cas chez moi), car le
fait de subir un DoS n'entraine rien de vraiment genant.
En revanche portsentry sur un fw protégeant un réseau "professionnel" me
parait etre une absurdité sans nom.
Snort est bien préférable dans ce cas, mais cetts solution nécessite un admin
pour lire et interpréter les résultats. Même les parseurs n'évitent pas
d'avoir à fournir du boulot de ce coté. Et il est déconseillé d'utiliser les
plugins de réaction automatique (ipchains ou autre) derrière Snort, pour ne
pas tomber dans les mêmes travers que Portsentry (false positive, DoS).
Portsentry consomme beaucoup moins de CPU que Snort. Sur un ethernet 100 Mbps
avec une base de signature assez fournie et une connexion a 2Mbps sur
l'exterieure il droppe pas mal de paquets avec un PIII 600 256 Mo RAM.
AMHA Snort et quelques plugins, et avec une base de signatures custom
(inutile de tout mettre, sauf besoins spécifiques AMHA), avec swatch
derrière, marchent très bien. Mais ne remplacent pas un admin, d'autant
qu'ils ne font que de la détection (sans plugins), contrairement à portsentry.
Ceci dit j'utilise portsentry chez moi et j'en suis très content, même si je
dois "nettoyer" mon hosts.deny et les règles ipchains de temps à autre. Et
snort tourne sur une patate / P 90 (avec X) sans probl èmes.
Logcheck est pas mal non plus meme s'il tends a etre assez "verbose" en cas
de portscan ou autre.
Bref si je puis me permettre, avant d'installer de tels outils, une des
premières chose consiste à virer les nombreux ports ouverts (virer inetd est
un bon départ), mettre de bonnes règles de filtrage, virer les trucs suid non
necessaires, mounter les partition adequates en ro, noexec.
Apres, si le coeur t'en dis tu peux toujours patcher le kernel (openwall et
LIDS sont pas mal mais tres contraignant (surtout LIDS)), installer tripwire
(qui est free maintenant, LGPL je crois) et plein d'autre utilitaires rigolos
qui te font croire que ta machine est secure alors que tu as laisse un bon
vieux BIND 0.02 alpha tourner en root sur ta machine :-)
"Security is a process, not a product"
My 2 cents
Amaury
Reply to: