> Je me r�ponds � moi-m�me pour vous indiquer deux URLs int�ressantes : > http://www.linux.ie/articles/portsentryandsnortcompared.php
Cette URL est un grand classique. Il est vrai que PortSentry est assez "bourrin", mais il peut convenir � des particuliers installant ca sur leur fw (comme c'est le cas chez moi), car le fait de subir un DoS n'entraine rien de vraiment genant. En revanche portsentry sur un fw prot�geant un r�seau "professionnel" me parait etre une absurdit� sans nom. Snort est bien pr�f�rable dans ce cas, mais cetts solution n�cessite un admin pour lire et interpr�ter les r�sultats. M�me les parseurs n'�vitent pas d'avoir � fournir du boulot de ce cot�. Et il est d�conseill� d'utiliser les plugins de r�action automatique (ipchains ou autre) derri�re Snort, pour ne pas tomber dans les m�mes travers que Portsentry (false positive, DoS). Portsentry consomme beaucoup moins de CPU que Snort. Sur un ethernet 100 Mbps avec une base de signature assez fournie et une connexion a 2Mbps sur l'exterieure il droppe pas mal de paquets avec un PIII 600 256 Mo RAM. AMHA Snort et quelques plugins, et avec une base de signatures custom (inutile de tout mettre, sauf besoins sp�cifiques AMHA), avec swatch derri�re, marchent tr�s bien. Mais ne remplacent pas un admin, d'autant qu'ils ne font que de la d�tection (sans plugins), contrairement � portsentry. Ceci dit j'utilise portsentry chez moi et j'en suis tr�s content, m�me si je dois "nettoyer" mon hosts.deny et les r�gles ipchains de temps � autre. Et snort tourne sur une patate / P 90 (avec X) sans probl �mes. Logcheck est pas mal non plus meme s'il tends a etre assez "verbose" en cas de portscan ou autre. Bref si je puis me permettre, avant d'installer de tels outils, une des premi�res chose consiste � virer les nombreux ports ouverts (virer inetd est un bon d�part), mettre de bonnes r�gles de filtrage, virer les trucs suid non necessaires, mounter les partition adequates en ro, noexec. Apres, si le coeur t'en dis tu peux toujours patcher le kernel (openwall et LIDS sont pas mal mais tres contraignant (surtout LIDS)), installer tripwire (qui est free maintenant, LGPL je crois) et plein d'autre utilitaires rigolos qui te font croire que ta machine est secure alors que tu as laisse un bon vieux BIND 0.02 alpha tourner en root sur ta machine :-) "Security is a process, not a product" My 2 cents Amaury
