Re: Soft d'alerte de tentatives d'intrusions
On Thu, 26 Jun 2003 13:38:30 +0200
"guimbert" <guimbert@online.fr> wrote:
> Bonjour, j'ai installé une Debian dans un intranet protégé par firewall. Il se contente de faire tourner Samba sans contrôle de domaine.
>
> J'aimerai être alerté par mails des différents problèmes (tentatives de connections...). J'ai trouvé plusieurs appli :
> snort
> Portsentry
> ippl
> iplogger
> Logcheck
Les tentatives de connection sont bloquées par le firewall et ne devraient pas arriver
sur ta machine. Si tu veux être averti des tentatives de connection de l'extérieur, il
faut installer le nids sur le firewall. Snort est le plus utilisé. Evites portsentry.
Logcheck t'envoies par mail les logs qui en matchent pas des patterns à ignorer, c'est
très utile.
Tu peux utiliser ulogd qui gère spécifiquement les logs de netfilter, sinon ils sont
stockés n'importe comment dans /var/log.
A propos de snort, je l'ai utilisé pendant deux ans sur un serveur, finalement j'ai un
peu réfléchi et me suis demandé à quoi ça sert vraiment, il envoie plein de logs sur
des tentatives de connection pas très intéressantes.
Quelques portscan, beaucoup de virus windows, quelques scans sur ssh, squid, etc.
Les intrusions réussies sont en général des exploits récents sur des services pas mis
à jour, et le pattern n'est pas dans snort.
Je l'ai désinstallé quand il y a eu un trou de sécurité de snort lui-même.
Si tu utilises snort, celui dans woody est beaucoup trop ancien.
Si quelqu'un a déjà obtenu une information réellement intéressante à partir de snort
ça m'intéresse !
Alain
Reply to: