Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

To: debian-user-french@lists.debian.org
Subject: Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
From: Laurent Besson <lolo@system-linux.net>
Date: Thu, 18 Jan 2007 20:02:36 +0100
Message-id: <[🔎] 200701182002.37975.lolo@system-linux.net>
In-reply-to: <[🔎] 45AE55AC.1020707@gmail.com>
References: <[🔎] 409557.17970.qm@web27010.mail.ukl.yahoo.com> <[🔎] 200701170547.18399.lolo@system-linux.net> <[🔎] 45AE55AC.1020707@gmail.com>

Le Mercredi 17 Janvier 2007 17:58, xtz.info@gmail.com a écrit :
> Personnellement c'est aussi une installation local (1 seul post) que
> j'aurais à faire,
> je ne sais pas si je peux te demandé un petit morceau de log (histoire
> de voir si il est aussi performant qu'il en a l'aire)
> avec les sortes d'attaque et les parades qu'il a intreprit (que tu as
> paramétré)
> (si par exemple les scan de ports son enregistré avec l'IP de
> l'attaquant? si il est possible de faire d'autre notification que par
> mail?)
En brût pour les premiers 12 h de tests...

[root@helios lolo]# tail -f /var/ossec/logs/active-responses.log
jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh 
add - 63.241.61.7 1169115108.385524 30114
jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 
63.241.61.7 1169115108.385524 30114
jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/host-deny.sh 
delete - 63.241.61.7 1169115108.385524 30114
jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh 
delete - 63.241.61.7 1169115108.385524 30114
jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 
201.236.4.225 1169145163.509834 3302
jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh 
add - 201.236.4.225 1169145163.509834 3302
jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/host-deny.sh 
delete - 201.236.4.225 1169145163.509834 3302
jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh 
delete - 201.236.4.225 1169145163.509834 3302

Pour /var/ossec/logs/ossec.log
il ne produit pas grand chose sauf si tu mets 
dans /var/ossec/etc/internal_options.conf:
# Windows debug (used by the windows agent)
windows.debug=1
# Syscheck (local, server and unix agent)
syscheck.debug=1
# Remoted (server debug)
remoted.debug=1
# Analysisd (server or local)
analysisd.debug=1
# Log collector (server, local or unix agent)
logcollector.debug=1

redémarre ossec : /etc/init.d/ossec restart

Reply to:

Follow-Ups:
- Re: question IDS , reponse: ossec
  - From: "xtz.info@gmail.com" <dead.but.dreamer@gmail.com>

References:
- RE : question IDS (detection d'intrusion) et autre logcheck?
  - From: Pitshou Asingalembi <depitsho@yahoo.fr>
- Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
  - From: Laurent Besson <lolo@system-linux.net>
- Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
  - From: "xtz.info@gmail.com" <dead.but.dreamer@gmail.com>

Prev by Date: Re: réseau local (urg. Je nage)
Next by Date: Re: hébergeur [HS]
Previous by thread: Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Next by thread: Re: question IDS , reponse: ossec
Index(es):
- Date
- Thread