Les IDS par la pratique : Snort. Mise en place d'un IDS Où positionner son IDS ?? Il existe plusieurs endroits stratégiques où il convient de placer un IDS. Le sché ma suivant illustre un réseau local ainsi que les trois positions que peut y prendre un IDS : Position ( 1 ): Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall.
Idéalement, on placerait des IDS sur les trois positions puis on délèguerait la consultation des logs à l'application "acid" (cf qui permet d'analyser les alertes et d'en présenter clairement les résulats via une interface web complète. Installation et configuration de Snort Snort est un IDS gratuit disponible dans sa version 2.2.20 (www.snort.org). Sous Linux (comme sous windows) son installation est simple et se résume (pour linux) par les commandes suivantes, une fois l'archive téléchargée dans le répertoire "/usr/local/snort" cd /usr/local/snort tar -xvf SNORT-2.2.*.tar.gz .
Mongo DB: JavaScript execution failed: Error: couldn't connect to server 127.0.0.1:27017 at src/mongo/shell/mongo.js:L112. Configuration de Syslogd (Gestion des logs sous Linux) But de ce document Ce document me sert de mémo pour Configurer Syslogd sur un système Linux (Testé sur Mandrake et Debian). Je rappelle que syslogd est un démon permettant de rediriger vers des fichiers ou des terminaux les messages envoyés par d’autres démons, services ou par le noyau Linux. Par exemple les messages d’informations ou d’erreurs émis par le système de messagerie (ex : Postfix), sont enregistrés grâce à syslogd dans le fichier « /var/log/mail.info ». Il est également possible avec syslogd de centraliser sur un seul serveur les logs en provenance de routeurs ou d’autres serveurs sous Linux ou sous Windows. Configuration de /etc/syslog.conf Le fichier « /etc/syslog.conf » est le principal fichier de configuration du démon « syslogd ».
Syntaxe générale Chaque ligne de ce fichier indique le type du message (appelé Service ou Facility en anglais), le niveau de gravité (appelé Priorité) et sa Destination (fichier, terminal,...). mail.info /var/log/mail.info. Monitoring réseau : IPtraf. IPtraf est un outil de monitoring réseau. Il permet, par exemple de surveiller l'activité sur une interface. Voici une liste non-exhaustive des capacités de ce petit logiciel : Total, IP, TCP, UDP, ICMP, and non-IP byte counts TCP source and destination addresses and ports TCP packet and byte counts TCP flag statuses UDP source and destination information ICMP type information OSPF source and destination information TCP and UDP service statistics Interface packet counts Interface IP checksum error counts Interface activity indicators LAN station statistics 1.
Installation d'IPtraf : 2. Lancement d'IPtraf : Iptraf propose une interface accessible via la console. Iptraf Puis pressez une touche. IP monitor : permet de monitorer une ou toutes les interfaces. 3. Pour monitorer une interface (eth0, eth1, ppp0 iptraf -i ppp0 Pour monitorer toutes les interfaces : iptraf -i all Lancer le monitoring sur les interfaces générales : iptraf -g iptraf -d ppp0 iptraf -s ppp0 iptraf -h 4. Partage de fichiers avec Samba. Pour partager ses fichiers, il faut tout d’abord installer samba. Utilisateur de la Debian, la commande est la suivante : #apt-get install samba Une fois installé, la Debian va proposer la configuration de samba. Un premier écran s’affiche pour donner des informations sur ce programme. Il faut passer cet écran en validant OK. Samba est maintenant installé, configuré et lancé. [1] L’étape suivante consiste à configurer le partage des fichiers.
#mv /etc/samba/smb.conf /etc/samba/smb.conf.old Puis il faut créer un nouveau fichier /etc/samba/smb.conf contenant ces informations : [global] server string = Vampire workgroup = Workgroup netbios name = Vampire public = yes encrypt passwords = true[projects] path = /home/zero/projects read only = no writeable = yes valid users = zero comment = all_my_projects Ce fichier se décompose en deux parties : La section générale appelée : global Et la section de partage qui dans l’exemple s’appelle : projects path : indique le répertoire à partager. Client Samba. Installation et configuration de Samba sur Debian Lenny. Installation de Samba Mise à jour des dépots Debian : $ aptitude update Installation du serveur Samba : $ aptitude install samba Configuration de Samba Nom de domaine du groupe de travail : Modifier smb.conf pour utiliser les paramètres WINS fournis par DHCP ? Editer le fichier '/etc/samba/smb.conf' : $ nano /etc/samba/smb.conf Un fichier de configuration minimale peut ressembler a ceci : [global] workgroup = workgroup netbios name = debian [vincent] path=/home/vincent/ browseable=yes writeable=yes valid users = vincent admin users = vincent create mask = 0775 directory mask = 0775 force user = vincent force group = vincent Configuration de l'identité de la machine [global] workgroup=MONDOMAINE netbios name=SERVEURSMB server string=Serveur %L (Samba %v) workgroup Nom du groupe de travail (workgroup) ou du domaine.
Netbios name Nom Netbios de la machine (le nom Windows). Netbios aliases Autres noms par lesquels la machine est connue. Server string Description de la machine. Valeur par défaut .