background preloader

IDS

Facebook Twitter

Sécurité : Installation de l’IDS Prelude sur debian. Plop à tous … Aujourd’hui je suis en forme alors … je fait un « gros tuto » ^^ from scratch, comme très peu de tuto sont à jour de ce côté là autant tout faire de zéro ;).

Sécurité : Installation de l’IDS Prelude sur debian

[La super intro trop naze] Je dois tout d’abord avouer que je savais pas trop ce que c’était un IDS avant que je l’installe ^^ (enfin j’avais une petite idée, mais je ne m’attendais pas à un truc aussi complet avec prelude). Donc voilà ça sert à quoi ?? Ça permet d’avoir une idée des menaces/évènement en « temps réel » sur votre réseau/machine, et avec prelude on peut faire pas mal de chose, que ce soit suivre l’authentification des utilisateurs sur le réseau jusqu’à la détection d’attaque sur un service en particulier (http, avec la possibilité de coupler la chose avec le mod_security), ou bien la « préparation » d’une attaque avec la détection des « Services Recognition » et encore plein d’autre réjouissance.

Pourquoi j’installe ça ?? Sinon, pour les barbares … Donc vous remarquerez qu’il faut : Lorsqu’il en est à : Snort. Snort, maintenu par Sourcefire, est un système de détection d'intrusion libre pour le réseau (ou NIDS) publié sous licence GNU GPL.

snort

Sa configuration est gérée par des règles (rules) qu'une communauté d'utilisateur partage librement. C'est également le cheval gagnant en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et organisations gouvernementales. Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès. Snort inline est une version améliorée de snort pour en faire un IPS (Système de prévention d'intrusion ), capable de bloquer les intrusions/attaques.

Éditez avec les droits d'administration le fichier /etc/oinkmaster.conf. Et voilà SNORT est installé et prêt à fonctionner et à guetter toute intrusion. Les IDS par la pratique : Snort. Mise en place d'un IDS Où positionner son IDS ??

Les IDS par la pratique : Snort

Il existe plusieurs endroits stratégiques où il convient de placer un IDS. Le sché ma suivant illustre un réseau local ainsi que les trois positions que peut y prendre un IDS : Position ( 1 ): Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup (trop?) Idéalement, on placerait des IDS sur les trois positions puis on délèguerait la consultation des logs à l'application "acid" (cf qui permet d'analyser les alertes et d'en présenter clairement les résulats via une interface web complète. Installation et configuration de Snort Snort est un IDS gratuit disponible dans sa version 2.2.20 (www.snort.org). Sous Linux (comme sous windows) son installation est simple et se résume (pour linux) par les commandes suivantes, une fois l'archive téléchargée dans le répertoire "/usr/local/snort" Ubuntu 1.9.2 without rvm by eric peters - snorby - GitHub. Let’s install Ruby 1.9.2 and Rails 3 stable on Ubuntu.

Ubuntu 1.9.2 without rvm by eric peters - snorby - GitHub

I’m going to use just one Ruby version so I'm not going to use RVM (Ruby Version Manager) and this will be built from source. PreludeIDS - InstallingPackageDebian - PreludeIDS Tracker. Features. Additional Downloads. If you know of or work on a Snort related project that you'd like to see listed here contact me at jesler@cisco.com Sourcefire Projects Daemonlogger Daemonlogger™ is a packet logger and soft tap developed by Martin Roesch.

Additional Downloads

The libpcap-based program has two runtime modes: 1. These two runtime modes are mutually exclusive, if the program is placed in tap mode (using the -I switch) then logging to disk is disabled. Make SURE you read the included COPYING file so that you understand how this file is licensed by Sourcefire, even though it's under the GPL v2 there are some clarifications that we have made regarding the licensing of this program. Daemonlogger is available for download here: Sourceforge download site Razorback Project Razorback™ is an undertaking by the Sourcefire VRT.

Razorback is available for download here: Sourceforge download site DumbPig Dumbpig is an automated bad-grammar[sik] detector for snort rules. The project is run by Leon Ward of Sourcefire. PE Sig Pulled_Pork SnoGE Barnyard2. Basic Analysis and Security Engine (BASE) SNORT - Le Tutorial facile - BASE. Stats Nov 2010 82'909 Visiteurs 146'476 Pages196 paysStatistiques completes Aidez-nous à traduire nos tutoriaux!

SNORT - Le Tutorial facile - BASE

Snort Base Dern. mise à jour: 06-12-2007 OutilInstallationErgonomieForum Détails Snort, c'est quoi? Captures d'écran Prérequis. Block Unwanted Traffic With Packetfence. Packetfence is a very powerful Network Access Control tool.

Block Unwanted Traffic With Packetfence

SNORT - Le tutorial facile. Stats Nov 2010 82'909 Visiteurs 146'476 Pages196 paysStatistiques completes Aidez-nous à traduire nos tutoriaux!

SNORT - Le tutorial facile

Snort Tutorial Dern. mise à jour: 07-12-2007 OutilInstallationErgonomieForum Détails Snort, c'est quoi? Captures d'écran Prérequis.