Xen + Snort
Salut à tous, On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny). Sur la machine dom0, voici le début la chaine forward (par défaut) : Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV match --physdev-in vif1.0 ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV match --physdev-in vif1.1 ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV match --physdev-in vif2.0 ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV L'interface qui m'intéresse est eth0 (DMZ) : eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1269 errors:0 dropped:0 overruns:0 frame:0 TX packets:7 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B) Pour être plus clair, eth0 est bridgée et permet aux différentes machines virtuelles d'avoir leur propre IP sur le réseau. Bien que toutes les données des domU passent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B) J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0, qui écoute eth0. Mais le problème est que le trafic ne semble pas être capté par eth0. Quelles solutions s'offrent à nous? J'espère avoir clair dans mes explications.. Merci pour vos lumières. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Xen + Snort
Cornichon wrote: Pour être plus clair, eth0 est bridgée et permet aux différentes machines virtuelles d'avoir leur propre IP sur le réseau. Sauf que ce n'est pas clair : si je me souviens bien, le script par défaut de xen renomme l'interface physique et le bridge pour que le bridge porte le même nom que portait l'interface physique avant le démarrage de Xen. Bref, eth0 ne désigne probablement pas la même chose tout au long du temps et c'est probablement pour ça que RX/TX est faible. Trouve le bridge et l'interface physique et regarde ce qui passe sur chacun d'eux exactement. Bien que toutes les données des domU passent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B) -- Vincent Danjean Adresse: Laboratoire d'Informatique de Grenoble Téléphone: +33 4 76 61 20 11ENSIMAG - antenne de Montbonnot Fax:+33 4 76 61 20 99ZIRST 51, avenue Jean Kuntzmann Email: vincent.danj...@imag.fr 38330 Montbonnot Saint Martin -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Xen + Snort
Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen. D'autre part, les bonnes pratique recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un DomU serait peut-être plus adapté. Cordialement, JB Cornichon a écrit : Salut à tous, On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny). Sur la machine dom0, voici le début la chaine forward (par défaut) : Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV match --physdev-in vif1.0 ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV match --physdev-in vif1.1 ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV match --physdev-in vif2.0 ACCEPT all -- 0.0.0.0/00.0.0.0/0 PHYSDEV L'interface qui m'intéresse est eth0 (DMZ) : eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1269 errors:0 dropped:0 overruns:0 frame:0 TX packets:7 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B) Pour être plus clair, eth0 est bridgée et permet aux différentes machines virtuelles d'avoir leur propre IP sur le réseau. Bien que toutes les données des domU passent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B) J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0, qui écoute eth0. Mais le problème est que le trafic ne semble pas être capté par eth0. Quelles solutions s'offrent à nous? J'espère avoir clair dans mes explications.. Merci pour vos lumières. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Xen + Snort
Jean Baptiste Favre a écrit : Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen. D'autre part, les bonnes pratique recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un DomU serait peut-être plus adapté. Cordialement, JB Vincent et toi venez de me donner la solution .. merci. Effectivement l'interface du bridge est peth0, suivi par une ensemble de vif1.x vif2.x, correspondant aux différentes interfaces des domU. Et je retrouve bien mon traffic sur peth0. Oui, les bonnes pratiques recommandent d'avoir un dom0 exclusivement dédié aux domU. Snort sur un domU ok, mais comment mirrorer (nouveau verbe) peth0 vers ce domU? Merci. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Snort et Shorewall: blocage dynamique d'adresses IP
bonjour, j'ai installé un script(1) pour que Shorewall bloque dynamiquement les adresses IP qui font remonter des alertes SNORT: - j'ai installé le script dans /usr/local/SnortShorewall comme indiqué dans l'INSTALL - ce script examine le fichier /var/log/snort/alert pour activer shorewall dynamic drop IPadresslist Voilà pour la principe et ça fonctionne bien. Mais: - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. - je ne parviens pas à le redémarrer autrement qu'en console en faisant cd /usr/local/SnortShorewall ./ss.pl stop ./ss.pl start - sinon il ne trouve pas le path du pid de SnortShorewall, ni l'exécutable qui sont tous les deux dans le rep/ /usr/local/SnortShorewall - je suis nul en script mais il doit bien y avoir une solution pour automatiser ça? Quelqu'un aurait-il une idée pour un petit script bash par exemple? Merci de vos avis. (1) script téléchargé depuis http://linux-bsd-central.com/index.php/content/view/15/ -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Ceci est une partie de message numériquement signée
Re: Snort et Shorewall: blocage dynamique d'adresses IP
Bonjour, Le samedi 24 mai 2008, patrick a écrit... - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. Dans le dossier de cron qui exécute la rotation ? Le cron en question utilise run-parts qui traite les scripts dans l'ordre lexicographique. Il suffirait de mettre le script dedans de manière à ce qu'il soit lancé avant la rotation, donc ce n'est plus qu'une question d'ortograf. -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Snort et Shorewall: blocage dynamique d'adresses IP [Résolu]
Le samedi 24 mai 2008 à 16:42 +0200, Jean-Michel OLTRA a écrit : Bonjour, Le samedi 24 mai 2008, patrick a écrit... - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. Dans le dossier de cron qui exécute la rotation ? Merci de ta réponse. J'ai donc réglé le problème comme suit: - commande pre-rotate: arrêt du démon SnortShorewall (et purge des IP bloquées) - rotation du fichier alert de snort - commande post-rotate: redémarrage du démon (le fichier alert ayant donc été recréé entre-temps). J'ai un peu triché, je me sers de webmin: je l'aime celui-là, même s'il n'est plus dans les paquets officiels DEBIAN (car il n'y a plus de mainteneurs ;-(. -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Ceci est une partie de message numériquement signée
Re: etch et snort-inline
patrick a écrit : bonjour, Bonjour Connaîtriez vous un tuto pour installer snort-inline Oui...et configurer aussi : http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/117/lg117-G.html et la suite là : http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/118/lg118-F.html sous etch/stable ? Heu...il faut adapter un tout petit peu... J'ai déjà snort-mysql+base: - j'aimerais que mon install soit davantage IPS que IDS... Suffit de demander :) Merci de vos avis/conseils. A plus P. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: etch et snort-inline
On Wed, Oct 10, 2007 at 08:32:36AM +0200, pascal wrote: patrick a écrit : bonjour, Bonjour Connaîtriez vous un tuto pour installer snort-inline Oui...et configurer aussi : http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/117/lg117-G.html et la suite là : http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/118/lg118-F.html sous etch/stable ? Heu...il faut adapter un tout petit peu... Bon, j'ai essayé (bêtement) de reprendre ces docs et...ça n'a pas marché: Ben, là je sèche... et google ne m'aide pas sur ce coup. Lorsque j'ai lancé snort_inline il s'est planté sur un message concernant libpcre qui n'est pas la bonne version. Quelqu'un peut-il m'aider? --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Digital signature
etch et snort-inline
bonjour, Connaîtriez vous un tuto pour installer snort-inline sous etch/stable ? J'ai déjà snort-mysql+base: - j'aimerais que mon install soit davantage IPS que IDS... Merci de vos avis/conseils. -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Digital signature
Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Le Mercredi 17 Janvier 2007 17:58, [EMAIL PROTECTED] a écrit : Personnellement c'est aussi une installation local (1 seul post) que j'aurais à faire, je ne sais pas si je peux te demandé un petit morceau de log (histoire de voir si il est aussi performant qu'il en a l'aire) avec les sortes d'attaque et les parades qu'il a intreprit (que tu as paramétré) (si par exemple les scan de ports son enregistré avec l'IP de l'attaquant? si il est possible de faire d'autre notification que par mail?) En brût pour les premiers 12 h de tests... [EMAIL PROTECTED] lolo]# tail -f /var/ossec/logs/active-responses.log jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 201.236.4.225 1169145163.509834 3302 Pour /var/ossec/logs/ossec.log il ne produit pas grand chose sauf si tu mets dans /var/ossec/etc/internal_options.conf: # Windows debug (used by the windows agent) windows.debug=1 # Syscheck (local, server and unix agent) syscheck.debug=1 # Remoted (server debug) remoted.debug=1 # Analysisd (server or local) analysisd.debug=1 # Log collector (server, local or unix agent) logcollector.debug=1 redémarre ossec : /etc/init.d/ossec restart
Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Personnellement c'est aussi une installation local (1 seul post) que j'aurais à faire, je ne sais pas si je peux te demandé un petit morceau de log (histoire de voir si il est aussi performant qu'il en a l'aire) avec les sortes d'attaque et les parades qu'il a intreprit (que tu as paramétré) (si par exemple les scan de ports son enregistré avec l'IP de l'attaquant? si il est possible de faire d'autre notification que par mail?) si tu as eu des problèmes quelquonque, ou alors des petites précision à faire? OSSEC HIDS avec son site http://www.ossec.net/fr/manual.html c'est vraiment parfait (en français en plus) merci d'avance ;) Laurent Besson a écrit : Le Mercredi 17 Janvier 2007 03:37, [EMAIL PROTECTED] a écrit : mais j'ai eu un très bonne avis sur http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et celui ci maintenant) Un petit retour... L'installation (type local) un bonheur !!! :) D'ailleurs je viens de recevoir un mail ! (qui m'appelle ?) OSSEC HIDS Notification. 2007 Jan 17 05:43:50 Received From: helios-ossec-monitord Rule: 502 fired (level 3) - Ossec server started. Portion of the log(s): ossec: Ossec started. --END OF NOTIFICATION Moi je ne connaissais pas OSSEC HIDS ! Donc un grand merci ! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: RE : question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Je te remercie, j'avais quelque rétissance sur Snort (par sa popularité, et son système de régle de filtrage à mettre à jours) j'ai lu sur différent site que Snort été vraiment bien, mais j'ai des doutes, si par exemple une personnes utilise une attaque maison, l'éfficacité des régles est forcement inutile. Si vous aviez des sites sur les fonctionnalités de SNORT (http://www.hsc.fr/ressources/presentations/ids-free/img14.htm il ne fait pas d'analyse du système?) on m'a parlé aussi de prelude-ids, mais j'ai eu un très bonne avis sur http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et celui ci maintenant) http://www.linux.ie/articles/portsentryandsnortcompared.php après la lecture, j'ai complètement laché l'idée portsentry... et si je par sur OSSEC HIDS, logcheck serait totalement inutile. Pitshou Asingalembi a écrit : bonjour comme IDS je te propose snort car la plupart des IDS commerciaux sont basés sur lui.Et il faut dire qu'une bonne communauté l'utilise donc plusieurs solutions ont été mise en place. Tu peux le combiner avec plusieurs outils pour une administration facilitée. Pour logcheck, pour l'analyse de tes fichiers des logs.Je pense que c'est la bonne solution. Merçi Découvrez une nouvelle façon d'obtenir des réponses à toutes vos questions ! Profitez des connaissances, des opinions et des expériences des internautes sur Yahoo! Questions/Réponses http://fr.rd.yahoo.com/evt=42054/*http://fr.answers.yahoo.com. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)
Le Mercredi 17 Janvier 2007 03:37, [EMAIL PROTECTED] a écrit : mais j'ai eu un très bonne avis sur http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et celui ci maintenant) Un petit retour... L'installation (type local) un bonheur !!! :) D'ailleurs je viens de recevoir un mail ! (qui m'appelle ?) OSSEC HIDS Notification. 2007 Jan 17 05:43:50 Received From: helios-ossec-monitord Rule: 502 fired (level 3) - Ossec server started. Portion of the log(s): ossec: Ossec started. --END OF NOTIFICATION Moi je ne connaissais pas OSSEC HIDS ! Donc un grand merci !
Snort et IP source
Bonjour, J'utilise Snort juste pour la curiosité en conjonction avec Acidbase pour visualiser tout ça. Je remarque que l'interface me signale pas mal de chose avec mon adresse IP comme source pour ce genre de signature : #0-(45-108) [snort] (portscan) TCP Portsweep2006-03-20 06:49:05 #1-(45-109) [snort] (portscan) Open Port: 80 #2-(45-110) [snort] (http_inspect) OVERSIZE REQUEST-URI DIRECTORY #8-(45-116) [snort] (portscan) Open Port: 80 Est-ce normal ? A quoi cela correspond-t-il ? Est-ce un problème de configuration ? En même temps, il semble me signaler correctement les scans nmap. -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
snort et logrotate (cron weekly cron monthly)
Bonjour, Après chaque lot de tâches cron hebdo ou mensuelles, je constate que le fichier de log de snort n'appartient pas à l'utilisateur approprié (user: snort) : - je change donc l'user manuellement avec chown (l'user est root alors que snort attend un user 'snort')sinon snort ne redémarre pas car alert file /var/log/snort/alert: /Permission denied Y a t-il une solution à cette définition erronée de l'utilisateur (autre que celle manuelle figurant ci-dessus)? Evidemment j'ai cherché dans les man et sur GOOGLE... merci de m'avoir lu et de me consacrer un peu de temps. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
snort et blocage des ports
bonjour, je me disais, même si je suis sous linux, plus sous windows (je me souviens de zonealarm), qu'il faudrait que j'installe un firewall. J'ai installé snort, qui tourne en permanence, très bien. Qui détecte bien des intrusions (par exemple un Ms SQL worms), très bien. Mais un question subsiste, est-ce que snort bloque les ports ? (la doc n'est pas bien claire) il ne bloque pas les ports en sortie ? (d'ailleurs je ne comprends pas comment une socket venant de l'extérieur peut s'insérer dans le système, je croyais qu'il fallait une socket en écoute sur mon poste pour accepter une socket extérieure, j'ai déjà programmé des clients/serveurs, mais je n'ai jamais étudié les worms...) -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort et blocage des ports
manop a écrit : bonjour, je me disais, même si je suis sous linux, plus sous windows (je me souviens de zonealarm), qu'il faudrait que j'installe un firewall. J'ai installé snort, qui tourne en permanence, très bien. Qui détecte bien des intrusions (par exemple un Ms SQL worms), très bien. Mais un question subsiste, est-ce que snort bloque les ports ? (la doc n'est pas bien claire) il ne bloque pas les ports en sortie ? (d'ailleurs je ne comprends pas comment une socket venant de l'extérieur peut s'insérer dans le système, je croyais qu'il fallait une socket en écoute sur mon poste pour accepter une socket extérieure, j'ai déjà programmé des clients/serveurs, mais je n'ai jamais étudié les worms...) heu en fait snort n'est pas un pare feu à vrai dire Si tu veux un pare feu utilise IPtable, ou un front end genre shorewall (interface texte pour configurer plus facilement iptable). Snort est là pour surveiller l'activitée réseau et lancer des actions en cas de comportement douteux (mails, blocage, etc). Je crois que pour un poste client isolé tu dois avoir fwbuilder je crois aussi, ou d'autres que je ne connais pas vu que je ne configure que des routeurs avec des pare feu, je n'ai jamais de poste client en direct sur le net. sich -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort archive
pascal a écrit : Oui, c'est ce que j'ai fait aussi cependant la config d'acidlab impose une base d'archiver donc tu comprend ma perplexité. surtout que je ne vois pas de script qui permettent un rapatriement dans une base d'archiver. Bon ça fonctionne, mais j'aimerai éclaircir le trouble dans le fichier de conf d'acidlab. N'hésite pas à envoyer un rapport de bug. Je doute que le problème soit corrigé rapidement mais cela aidera lorsque quelqu'un cherchera à corriger les problèmes d'acidlab si ils sont déjà répertoriés. Quand bien même le fix se résumerait à changer un mot ... Acidlab a vraiment besoin d'une mise à jour ... et d'un développeur upstream :( Alban PS: je compatis pour avoir mis en place ce type d'installation. Par contre je regrette de ne pas avoir envoyé de rapport de bug à cette époque :-/ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort archive
Alban Browaeys a écrit : pascal a écrit : Oui, c'est ce que j'ai fait aussi cependant la config d'acidlab impose une base d'archiver donc tu comprend ma perplexité. surtout que je ne vois pas de script qui permettent un rapatriement dans une base d'archiver. Bon ça fonctionne, mais j'aimerai éclaircir le trouble dans le fichier de conf d'acidlab. N'hésite pas à envoyer un rapport de bug. Je doute que le problème soit corrigé rapidement mais cela aidera lorsque quelqu'un cherchera à corriger les problèmes d'acidlab si ils sont déjà répertoriés. Quand bien même le fix se résumerait à changer un mot ... Mon incompréhension vient de ce que cela ne dépend pas de Debian. L'installation à partir des sources d'acidlab propose également la configuration d'une base d'archivage... Où est le problème ? Acidlab a vraiment besoin d'une mise à jour ... et d'un développeur upstream :( Alban PS: je compatis pour avoir mis en place ce type d'installation. Par contre je regrette de ne pas avoir envoyé de rapport de bug à cette époque :-/ Maintenant... Si on essaie d'installer acidlab ET snort-mysql à la fois debconf propose d'éxecuter le script de création des BD avant que les paquets ne soient décompactés si bien que le répertoire /usr/share/doc/snort-mysql/ n'existe pas encore. De plus la ligne de commande indiquée est fausse ( -p nom_de_la_base). Il est vrai qu'un simple dpkg-reconfigure snort-mysql resout le Pb. Néanmoins suit la config d'acidlab qui, comme il est précisé n'a lieu qu'une seule fois...mais qui echoue puisque celle de snort-mysql n'a pu aboutir. Chez moi une tentative de reconfiguration a été vaine et il a fallu modifier le fichier de conf à la main. Là il y a un pb. Pascal -- Pour voir le monde dans un grain de sable Et les cieux dans une fleur Capturez l'infinité dans la paume de votre main Et l'éternité dans une heure. William Blake -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort archive
Georges Roux a écrit : J'ai installé snort-postgres sur Sarge, debconf me propose de créer une base de log sur postgres avec create_postgresql.gz c'est fait, par contre quand l'installation d'acidlab requiere aussi une base d'archive des log de snort. ou trouver la procédure pour créer cette base d'archive? Georges Salut, Acidlab propose de creer une base d'archive à l'installation. Je ne sais pas si c'est la solution idéale mais pour ma part j'ai mis la même base que la base d'alerte avec même utilisateur (celle crée à l'installation de snort-postgres). En tout cas ça fonctionne. Pascal -- Pour voir le monde dans un grain de sable Et les cieux dans une fleur Capturez l'infinité dans la paume de votre main Et l'éternité dans une heure. William Blake -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
update php snort-mysql et acidlab
Bonjour Suite à l'installation de libphp-adodb sous testing j'ai eu un message d'avertissement disant que le chemin d'include de php avait changé et que l'on devait modifier le php.ini (/usr/lib/adodb -- /usr/share/adodb) Ma question est simpleComment modifier ce fichier car je ne vois aucune ligne décommentée faisant allusion à un chemin d'include mais seulement la ligne suivante qui semble être concernée : extension=odbc.so D'autre part, l'utilisation d'acid (excepté la page home) me renvoie assez systématiquement une floppée d'erreurs (bon, error-reporting est à E_ALL dans php.ini mais quand meme) : Uninitialized string offset: 1 in/usr/share/acidlab/acid_state_citems.inc on line 553 et d'autres semblables. Quelqu'un a une idée de la provenance de ces erreurs et comment les corriger ? Merci Pascal -- Pour voir le monde dans un grain de sable Et les cieux dans une fleur Capturez l'infinité dans la paume de votre main Et l'éternité dans une heure. William Blake -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort archive
pascal a écrit : Salut, Acidlab propose de creer une base d'archive à l'installation. Je ne sais pas si c'est la solution idéale mais pour ma part j'ai mis la même base que la base d'alerte avec même utilisateur (celle crée à l'installation de snort-postgres). En tout cas ça fonctionne. Pascal Oui, c'est ce que j'ai fait aussi cependant la config d'acidlab impose une base d'archiver donc tu comprend ma perplexité. surtout que je ne vois pas de script qui permettent un rapatriement dans une base d'archiver. Bon ça fonctionne, mais j'aimerai éclaircir le trouble dans le fichier de conf d'acidlab. Georges -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort archive
Georges Roux a écrit : Oui, c'est ce que j'ai fait aussi cependant la config d'acidlab impose une base d'archiver donc tu comprend ma perplexité. Pas trop...Mais c'est pas grave... surtout que je ne vois pas de script qui permettent un rapatriement dans une base d'archiver. Bon ça fonctionne, mais j'aimerai éclaircir le trouble dans le fichier de conf d'acidlab. Georges Bon vendredi Pascal -- Pour voir le monde dans un grain de sable Et les cieux dans une fleur Capturez l'infinité dans la paume de votre main Et l'éternité dans une heure. William Blake -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
snort archive
J'ai installé snort-postgres sur Sarge, debconf me propose de créer une base de log sur postgres avec create_postgresql.gz c'est fait, par contre quand l'installation d'acidlab requiere aussi une base d'archive des log de snort. ou trouver la procédure pour créer cette base d'archive? Georges -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
snort et mise à jour des regles
Bonjour J'aimerais savoir comment vous mettez à jour vos régles snort ? Est-ce que lorsque les régles de snort (à partir de leur site) sont mises à jour, le package snort-rules-default est lui aussi mis à jour. Dans ce cas là a quoi sert le paquet oinkmaster ? J'espère avoir été assez explicite merci pour vos réponses AC __ Découvrez le nouveau Yahoo! Mail : 250 Mo d'espace de stockage pour vos mails ! Créez votre Yahoo! Mail sur http://fr.mail.yahoo.com/ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Message snort: m'attaquerait-on ?
--- [EMAIL PROTECTED] a écrit : Bonjour, Bonjour, En consultant mes ports, j'ai trouvé ceci: tcp0 0 82.67.66.131:139 82.67.147.155:1049 SYN_RECV - ... et il y en avait au moins trois fois plus ! J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rien sur ma machine. Est-ce que tu pourrais nous donner plus d'info sur ton architecture réseau : Quelle est ton adresse publique ? Est-ce que tu utilises un firewall ? Où est installé ton snort ? Et toutes informations qui nous permettrait d'essayer de trouver un solution Puis je suis allé voir du côté des messages de snort dont j'ai simplement installé les packages sans aucune configuration particulière autre que celle mise en place lors de l'installation (Debian/Sid). Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un rapport journalier que je ne consulte que très rarement. Essaye de remettre à jour les régles de snort, tu peux utiliser le paquet oinkmaster. Super facile à utiliser . Puis tu redémarrares snort. Et j'ai trouvé ces messages: beaucoup beaucoup de ceux-là: 3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan un nombre certain de ceux-ci: 5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share access et pas de comme cela: 4 82.197.206.239 82.67.66.131 NETBIOS SMB-DS DCERPC LSASS DsRolerUpgradeDownlevelServer exploit attempt 4 82.67.51.191 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt et aussi des choses comme ça: 3 82.67.66.131 82.67.212.105NETBIOS SMB-DS repeated logon failure 3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma machine, non ? Ce n'est pas sûr que ce soit des attaques, cela peut-etre des faux positifs. Pour vérifier : tu peux vérifier les noms et provenances des adresses sources et des adresses destinations des attaques. SI tu n'as pas de firewall tu en installes un puisque normalement on ne laisse pas d'accés vers des ports NEtbios en provenance d'internet. Tu sniffes le réseau pour voir exactement le type d'attaques et les commandes passés. J'avoue ne pas comprendre ces messages, mais quand même, overflow attempt (portscan) TCP Decoy Portscan repeated logon failure, c'était pas pour me dire bonjour ? Un coup de google sur le nom des attaques devrait t'en dire plus. http://www.snort.org/pub-bin/sigs-search.cgi?sid=overflow+attempt Ensuite, une autre chose m'intrigue beaucoup: Percentage and number of events from one host to any with same method == %# of from method == 42.97 4738 82.67.66.131 NETBIOS SMB-DS repeated logon failure Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon failure ? Et puis: Percentage and number of events to one certain host = %# of to method = 47.00 5182 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt 12.10 1334 82.67.44.44 NETBIOS SMB-DS repeated logon failure 7.27 802 82.67.137.26 NETBIOS SMB-DS repeated logon failure 6.30 695 82.67.167.46 NETBIOS SMB-DS repeated logon failure 4.71 519 82.67.230.94 NETBIOS SMB-DS repeated logon failure cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon adresses ? Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma machine des cibles qui ne sont pas moi m'étonne ? Si quelqu'un peut me donner quelques informations claires sur ce qui se passe sur ma machine ? ;-) On va essayer Pascal AC Découvrez nos promotions exclusives destination de la Tunisie, du Maroc, des Baléares et la Rép. Dominicaine sur Yahoo! Voyages : http://fr.travel.yahoo.com/promotions/mar14.html -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Message snort: m'attaquerait-on ?
Bonjour, En consultant mes ports, j'ai trouvé ceci: tcp0 0 82.67.66.131:13982.67.147.155:1049 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:4264 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2414 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:3818 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1407 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1683 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1176 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1752 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:3642 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2701 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2942 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1109 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1335 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:4567 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:4473 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2666 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:3201 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1960 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1754 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1634 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2559 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1988 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:3156 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2953 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:4728 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1775 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1541 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2626 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:4333 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:4603 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1325 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:4475 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1061 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1261 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:2211 SYN_RECV - tcp0 0 82.67.66.131:13982.67.147.155:1582 SYN_RECV - ... et il y en avait au moins trois fois plus ! J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rien sur ma machine. Puis je suis allé voir du côté des messages de snort dont j'ai simplement installé les packages sans aucune configuration particulière autre que celle mise en place lors de l'installation (Debian/Sid). Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un rapport journalier que je ne consulte que très rarement. Et j'ai trouvé ces messages: beaucoup beaucoup de ceux-là: 3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan un nombre certain de ceux-ci: 5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share access et pas de comme cela: 4 82.197.206.239 82.67.66.131 NETBIOS SMB-DS DCERPC LSASS DsRolerUpgradeDownlevelServer exploit attempt 4 82.67.51.191 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt et aussi des choses comme ça: 3 82.67.66.131 82.67.212.105NETBIOS SMB-DS repeated logon failure 3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma machine, non ? J'avoue ne pas comprendre ces messages, mais quand même, overflow attempt (portscan) TCP Decoy Portscan repeated logon failure, c'était pas pour me dire bonjour ? Ensuite, une autre chose m'intrigue beaucoup: Percentage and number of events from one host to any with same method == %# of from method == 42.97 4738 82.67.66.131 NETBIOS SMB-DS repeated logon failure Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon failure ? Et puis: Percentage and number of events to one certain host = %# of to method
[HS] retour d'expérience de snort-inline
Bonjour à tous 4 petites questions concernant snort-inline : Est-ce qu'il existe un paquets stable ? Est-ce que son fonctionnement est identique à snort ? Est-ce qu'on peut utiliser Oinkmaster avec snort-inline et sans intervention humaine ? Qu'en pensez vous? On n'est pas vendredi donc pas d'injures tout de suite. J'ai pas vu grand chose en googlelisant, je vais regarder le howto et la faq. Merci pour vos futurs réponses AC Découvrez le nouveau Yahoo! Mail : 250 Mo d'espace de stockage pour vos mails ! Créez votre Yahoo! Mail sur http://fr.mail.yahoo.com/
snort - comprends pas
Bonjour, J'ai reçu ça ce matin (c'est la première fois que je reçois un tel message de mon pc) : Events between 07 21 01:30:26 and 07 21 02:50:46 Total events: 4 Signatures recorded: 2 Source IP recorded: 2 Destination IP recorded: 2 Events from same host to same destination using same method = # of from to method = 3 81.50.200.17980.15.236.209(http_inspect) NON-RFC HTTP DELIMITER Percentage and number of events from a host to a destination %# of from to 75.00 3 81.50.200.17980.15.236.209 Percentage and number of events from one host to any with same method == %# of from method == 75.00 3 81.50.200.179(http_inspect) NON-RFC HTTP DELIMITER Percentage and number of events to one certain host = %# of to method = 75.00 3 80.15.236.209(http_inspect) NON-RFC HTTP DELIMITER The distribution of event methods === %# of method === 75.00 3 (http_inspect) NON-RFC HTTP DELIMITER 3 81.50.200.179 - 80.15.236.209 Je ne comprend pas ce que cela signifie. Quelqu'un sait-il ? C'est grave docteur ? Cordialement Nicolas -- = Nicolas Roudninski [EMAIL PROTECTED] http://www.nicoroud.net =
Re: snort - comprends pas
Nicolas Roudninski wrote: Bonjour, J'ai reçu ça ce matin (c'est la première fois que je reçois un tel message de mon pc) : Events between 07 21 01:30:26 and 07 21 02:50:46 Total events: 4 Signatures recorded: 2 Source IP recorded: 2 Destination IP recorded: 2 Events from same host to same destination using same method = # of from to method = 3 81.50.200.17980.15.236.209(http_inspect) NON-RFC HTTP DELIMITER Percentage and number of events from a host to a destination %# of from to 75.00 3 81.50.200.17980.15.236.209 Percentage and number of events from one host to any with same method == %# of from method == 75.00 3 81.50.200.179(http_inspect) NON-RFC HTTP DELIMITER Percentage and number of events to one certain host = %# of to method = 75.00 3 80.15.236.209(http_inspect) NON-RFC HTTP DELIMITER The distribution of event methods === %# of method === 75.00 3 (http_inspect) NON-RFC HTTP DELIMITER 3 81.50.200.179 - 80.15.236.209 Je ne comprend pas ce que cela signifie. Quelqu'un sait-il ? C'est grave docteur ? Cordialement Nicolas Tu te serai fait sniffer ? Sinon j'ai trouvé ça, concernant les allertes de snort et ses 'bugs', aussi :' ? http://linuxgw.phj.hu/acidlab/acid_stat_alerts.php?caller=last_alertssort_order=last_d Note que le from, n'est pas blacklisté sur spam-RBL..., comme j'était dessus, j'ai regardé :)! Mi
snort
probleme avec snort (ss doute depuis maj - V.2.1.1-1 relachee en mars) snort plante au lancement avec une erreur FATAL ERROR unknown preprocessor ]^\^H_decode (/var/log/daemon) j'ai fini par tout desinstaller, tout reinstaller (snort, snort-common, snort-rules-default) tous en 2.1.1.1-1 (dist. Sarge). QQ ayant fait remarquer que le fichier /etc/snort.conf etait ancien (V. 1.7) j'ai fini par effacer /etc/snort (les apt-get remove le laissant en place).. mais les install ne reinstallant pas ce snort.conf, ca plantait parceque ca ne le trouvait plus.. j'ai du en reinstaller un a partir d'une autre machine.. et je suis revenu a mon point de depart. La liste des bugs connus (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=202824archive=yes) ne semble pas concerner cette version trop recentes .. sur une woody, j'ai la 1.8.4beta-3.-1 qui semble fonctionner tout a fait correctement. par ailleurs, si ma config en woody met bien en evidence les fichiers de regles *.rule dans /etc/snort, dans ma sarge qui ne fonctionne pas, j'ai des *.rules.dpkg-dist sous /etc/snort/rules .. montrant que l'install ne s'est pas bien passe.. quoi qu'en dise le dpkg --configure qui estine que les packets sont deja installes et configures.. Merci pour vos remarques .. -- Jean-Paul LACHARME. Administrateur Reseau. GREQAM (UMR6579 CNRS, EHESS, Universites d'Aix-Marseille II et III) Centre de la Vieille Charite. 2, rue de la Charite. 13002 MARSEILLE. Tel.: 04.91.14.07.68. Fax : 04.91.90.02.27. (collectif labo) http://www.vcharite.univ-mrs.fr/PP/lacharme/index.html --
Snort 2.0.2
Bonsoir, J'ai l'IDS Snort 2.0.2 installé sur une Debian SID. Il est configuré pour écouter tout ce qu'il se passe sur l'interface ppp0 qui possède un IP dynamique qui change donc régulièrement. Seulement voila, un logiciel de p2p est installé sur la machine et ping énormément vers l'extérieur. Du coup, /var/log/snort/portscan2.log est bourré de message renseignant que JE ping vers l'extérieure, noyant les autres alertes possibles. Dans le fichier de conf /etc/snort/snort.conf, voila ce qui est intéressant : # # Portscan2 #--- # Portscan 2, detect portscans in a new and exciting way. You must # enable spp_conversation in order to use this preprocessor. # # Available options: # scanners_max [num] # targets_max [num] # target_limit [num] # port_limit [num] # timeout [num] # log [logdir] # preprocessor portscan2: scanners_max 256, targets_max 1024, target_limit 5, port_limit 20, timeout 60, log portscan2.log # Too many false alerts from portscan2? Tone it down with # portscan2-ignorehosts! # # A space delimited list of addresses in CIDR notation to ignore # # preprocessor portscan2-ignorehosts: 10.0.0.0/8 192.168.24.0/24 # Est ce que je devrais rajouter une ligne preprocessor portscan2-ignorehosts: ? Si oui, comment mettre l'ip de eth0 puisqu'il est dynamique ? Si quelqu'un a une solution ce serait sympas, j'ai déjà cherché tout l'après midi avec google et à tâtons. Merci Max Clef GnuPG : http://castor-server.homelinux.org/max/maxlelubre.key.gpg pgpsPy1fN1h1D.pgp Description: PGP signature
Re: Snort 2.0.2
# # preprocessor portscan2-ignorehosts: 10.0.0.0/8 192.168.24.0/24 # Est ce que je devrais rajouter une ligne preprocessor portscan2-ignorehosts: ? Si oui, comment mettre l'ip de eth0 puisqu'il est dynamique ? portscan2-ignorehosts: localhost ne marche pas par hasard? François Boisson
Re: Snort 2.0.2
Re-bonsoir, En cherchant un peu dans le fichier de conf, j'ai pu trouver la variable à utiliser (pas super bien documenté quand même...). La ligne suivante permet d'éviter le problème que j'avais cité : preprocessor portscan2-ignorehosts: $ppp0_ADDRESS/32 Voila, ça pourra aider quelqu'un plus tard peut être. Max Clef GnuPG : http://castor-server.homelinux.org/max/maxlelubre.key.gpg pgpPKLghgYZCe.pgp Description: PGP signature
Re: snort-mysql et acidlab
hendrickx guy wrote: bonjour par soucis de securitée je voudrait installer snort et acidlab (interface en php pour snort) j'ai donc installé et configuré snort-mysql puis acidlab lors de l'installation d'acidlab je doit definir les bases de données relatives a snort mais elles ne sont pas encore crées et surtout je ne trouve pas comment les creer ? il y a t'il ici des utilisateurs de acidlab ? Désolé pour le retard de la réponse ... vacances obligent :) Crées la base de donnée snort (create database snort ;), puis exécute le script 'create_mysql' qui se trouve à cette adresse : http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/snort/snort/contrib/ (Exécute le toujours en étant sous mysql). Ensuite tu lances acidlab, et lors du premier lancement, il te demandera de créer des tables supplémentaires (simple lien à cliquer). C'est tout. Attention, fait bien attention aux droits d'acidlab et de snort, pour rentrer dans la base 'snort'. En ce qui concerne les NIDS, j'aime bien aussi Prelude-IDS, même s'il n'est pas dans Debian. Bonne soirée Guillaume -- Elève Mastaire en Systèmes de Télécommunications et Réseaux Informatiques promo 2003 DESS STRI - Toulouse III site web : http://lehmann.free.fr tél : 05 61 73 19 95
snort-mysql et acidlab
bonjour par soucis de securitée je voudrait installer snort et acidlab (interface en php pour snort) j'ai donc installé et configuré snort-mysql puis acidlab lors de l'installation d'acidlab je doit definir les bases de données relatives a snort mais elles ne sont pas encore crées et surtout je ne trouve pas comment les creer ? il y a t'il ici des utilisateurs de acidlab ? -- hendrickx guy [EMAIL PROTECTED] signature.asc Description: PGP signature
[Limite HS] utilisation de snort
Bonjour, je cherche à faire fonctionner snort, j'ai fait un apt-get du paquet, tout c'est bien passé, maintenant, je reçois des mails de daily report avec rien dedans : The log begins from: :: The log ends at: :: Total events: 0 Signatures recorded: 0 Source IP recorded: 0 Destination IP recorded: 0 comment configuere snort pour avoir des informations ? J'ai un répertoire Snort créé dans le /var/log qui demeure desespérément vide... Ai-je loupé une étape ? faut-il installer autre chose ? Merci Mourad
Re: [Limite HS] utilisation de snort
Mourad Jaber a écrit: Bonjour, je cherche à faire fonctionner snort, j'ai fait un apt-get du paquet, tout c'est bien passé, maintenant, je reçois des mails de daily report avec rien dedans : The log begins from: :: The log ends at: :: Total events: 0 Signatures recorded: 0 Source IP recorded: 0 Destination IP recorded: 0 comment configuere snort pour avoir des informations ? J'ai un répertoire Snort créé dans le /var/log qui demeure desespérément vide... Ai-je loupé une étape ? faut-il installer autre chose ? Merci Mourad Salut Est ce que tu as defini ta variable var HOME_NET dans le fichier /etc/snort/snort.eth0 ou snort.conf Voila comment je le lance en mode démon /usr/local/bin/snort -D -i eth1 -c /etc/snort/snort.conf.eth1 que te donne le resultat de la commande suivante /usr/local/bin/snort -i eth1 -c /etc/snort/snort.conf.eth1 A+
Re: snort
dédé le homard wrote: bonjour tout le monde, bonsoir. à propos de snort, celui ci détecte les attaques , mais ensuite, est ce qu'il peut bloquer le ou les ports attaqués ainsi que les ordinateurs coupables, ou est ce juste un outil (très intéressant ) d'information ? Je ne sais pas pour la version 2, mais pour les versions précédentes, il ne fait que remonter les informations. En revanche, Prelude-IDS est actif face à certaines attaques. GUillaume
snort
bonjour tout le monde, à propos de snort, celui ci détecte les attaques , mais ensuite, est ce qu'il peut bloquer le ou les ports attaqués ainsi que les ordinateurs coupables, ou est ce juste un outil (très intéressant ) d'information ? merci de vos réponses. ciao.
Configuration de Snort...
Bonjour à tous. Je tente de configurer actuellement SNORT sur une woody. L'installation de base fonctionne correctement mais je voudrais apporter deux modifications qui me pose probléme. Si l'un d'entre vous avait rencontré et résolu ces problèmes... 1. Une de mes stations utilise nagios pour monitorer le réseau et provoque des alertes intempestives de type EXPLOIT ntpdx overflow attempt (normale; elle surveille entre autre un serveur NTP). Je tente de l'exclure du controle. J'ai pour cela ajouter son IP à la ligne preprocessor portscan-ignorehosts du fichier snort.conf et reloadé le daemon. Rien y fait, les alertes génerées par ma station sont toujours répertoriées... Comment dois-je m'y prendre? 2. Je scan actuellement l'interface interne (eth1 vers LAN) de mon firewall. Je souhaiterai également et simultanément scanner l'interface externe (eth0 vers Internet). Le script de configuration de débian (utilisé avec dpkg-reconfigure snort) ne semble pas permettre cette option, pourtant sur la doc officielle de Snort cela est possible avec les noyeau 2.2.X Un conseil? Merci d'avance et bonne fin de journée. Loick.B
Snort + ppp0
Bonjour la liste, voilà j'ai un souci avec la config de snort. Ce dernier est installé sur ma passerelle ou ce trouve aussi mon fw netfilter. Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour écouter sur l'interface connecté à l'Internet (ppp0) en adsl. Et comment s'assurer qu'il redémarrera après le chgt d'@ opéré par mon FAI. Je vous remercie d'avance A+ Fab
Re: Snort + ppp0
Le mercredi 12 mars 2003, Fabrice Grelaud a écrit... bonjour, Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour écouter sur l'interface connecté à l'Internet (ppp0) en adsl. Et comment s'assurer qu'il redémarrera après le chgt d'@ opéré par mon FAI. A priori je dirais qu'il s'agit de faire ce que disent ces fichiers de conf. * snort.debian.conf demande de faire un dpkg-reconfigure * snort.conf demande de positionner la variable $HOME_NET et ils donnent des exemples, puis de définir ce qu'est le reste ($EXTERNAL_NET) Qu'est ce qui te gène ? -- Jean-Michel Lisez la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: Snort + ppp0
Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour écouter sur l'interface connecté à l'Internet (ppp0) en adsl. L'objectif est que snort écoute seulement sur l'interface Internet. L'autre interface qui est une adresse privé correspond au réseau local. * snort.debian.conf demande de faire un dpkg-reconfigure Ok mais quand il me demande de définir une plage d'adresse (ou une seule), que dois-je mettre: IP fournit par mon FAI ? rien ? * snort.conf demande de positionner la variable $HOME_NET et ils donnent des exemples, puis de définir ce qu'est le reste ($EXTERNAL_NET) La variable $HOME_NET, est ce le rso local ou alors l'interface d'écoute de snort, soit ppp0 ??! De même $EXTERNAL_NET Voilà ce qui me pose quelques soucis... Merci Fab
Re: Snort + ppp0
Le Wed, 12 Mar 2003 16:40:55 +0100, Fabrice Grelaud [EMAIL PROTECTED] a écrit : Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour écouter sur l'interface connecté à l'Internet (ppp0) en adsl. L'objectif est que snort écoute seulement sur l'interface Internet. L'autre interface qui est une adresse privé correspond au réseau local. * snort.debian.conf demande de faire un dpkg-reconfigure Ok mais quand il me demande de définir une plage d'adresse (ou une seule), que dois-je mettre: IP fournit par mon FAI ? rien ? Salut, Essaye ceci : dpkg-reconfigure -plow snort En effet, il semble que dans ce cas, il donne la possibilité d'une connexion intermittente via ppp ... Fred. -- Frédéric Boiteux - Calistel
Re: Snort
On 11 Feb 2003 02:43:00 + Mathias [EMAIL PROTECTED] wrote: Si je lance snort : snort -c /etc/snort/snort.conf ça marche alors que snort -c /etc/snort.debian.conf ne marche pas, et pourtant dans /etc/init.d/snort il y a un lien vers /etc/snort/snort.debian.conf. D'après le script que j'ai en woody, /etc/snort/snort.debian.conf n'est pas censé être un fichier de configuration pour snort, mais un fichier où tu peux définir des options DEBIAN_SNORT_xxx Alain
Re: Snort
On 11 Feb 2003 02:43:00 + Mathias [EMAIL PROTECTED] wrote: J'ai installé snort mais j'ai un problème : si je le lance (/etc/init.d/snort start) je n'ai pas de message d'erreur mais rien ne se lance. Comme au début il y a test $DEBIAN_SCRIPT_DEBUG set -v -x j'imagine qu'un export DEBIAN_SCRIPT_DEBUG=Please peut aider, il affichera les commandes exécutées Alain
Re: Snort
Le mardi 11 février 2003, Mathias a écrit... bonjour, J'ai installé snort mais j'ai un problème : si je le lance (/etc/init.d/snort start) je n'ai pas de message d'erreur mais rien ne se lance. D'autre part je n'ai pas trop compris les fichiers de config : dans /etc/snort j'ai (entre autres) snort.conf et snort.debian.conf et leurs syntaxes sont complètement différentes. snort.conf est le fichier de conf de snort, l'autre est pour les options de lancement de snort par le script debian. Il ne doit pas y avoir grand chose à changer dans le snort.conf. Pê le 'preprocessor stream4' en rajoutant disable_evasion_alerts' pour éviter des logs en pagaille. Tu es en rtc ou adsl ? un petit dpkg-reconfigure snort ? C'est ce que j'ai fait pour qu'apt installe les fichiers nécessaires à une connexion rtc. Si je lance snort : snort -c /etc/snort/snort.conf ça marche alors que snort -c /etc/snort.debian.conf ne marche pas, et pourtant dans /etc/init.d/snort il y a un lien vers /etc/snort/snort.debian.conf. Enfin, comme vous pouvez le voir je suis un peu perdu :) donc si qqn sait commment le configurer. Voir plus haut. Regardes le script /etc/init.d/snort et ça va aller mieux ensuite. Tu peux créer tes règles dans /etc/snort/local.conf Tu peux installer le paquet relatif à la doc de snort. C'est très bien (snort-doc). -- jean-michel
Snort
J'ai installé snort mais j'ai un problème : si je le lance (/etc/init.d/snort start) je n'ai pas de message d'erreur mais rien ne se lance. D'autre part je n'ai pas trop compris les fichiers de config : dans /etc/snort j'ai (entre autres) snort.conf et snort.debian.conf et leurs syntaxes sont complètement différentes. Si je lance snort : snort -c /etc/snort/snort.conf ça marche alors que snort -c /etc/snort.debian.conf ne marche pas, et pourtant dans /etc/init.d/snort il y a un lien vers /etc/snort/snort.debian.conf. Enfin, comme vous pouvez le voir je suis un peu perdu :) donc si qqn sait commment le configurer. Mathias -- This e-mail is written 100 percent Microsoft free. signature.asc Description: PGP signature
SNORT
Bonsoir, J'ai quelques petits problemes avec snort. J'utilise 2 interfaces reseau: pppoe et eth1 Vous l'aurez deviné, ma débian sert de passerelle. J'ai installé snort et il tourne à merveille. Cependant, la configuration (bien que j'aie essayé plein de trucs dont le truc tout bête qui consiste à répondre aux questions qu il pose lors d'une configuration 'semi' automatique) est mauvaise étant donné qu'il ne détecte rien alors que d une part j'ai des logs fort douteux de mon apache et que d autre part j'ai téléchargé des attaques qu il devrait détecter (il les detecte à la fac) et chez moi nada... Quelqu'un peut il me donner une recette simple pour faire fonctionner le snort, en reprenant depuis le début et en m'expliquant tout comme à qq qui n'a jamais vu linux de sa vie Question 2: snort peut il surveiller 2 interfaces ? Si oui, comment lui demander de surveiller mon eth1 en + de mon pppoe Merci pour votre aide STef
problem installation snort-acid
Bonjours, Je souhaite installe snort-mysql et acid sur ma woody toute propre. Lors de l'install par apt-get j'ai : dmahot:/home/mdwax# apt-get install --reinstall snort-mysql Reading Package Lists... Done Building Dependency Tree... Done 0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 0 not upgraded. Need to get 165kB of archives. After unpacking 0B will be used. Do you want to continue? [Y/n] Get:1 ftp://debian.ens-cachan.fr woody/main snort-mysql 1.8.4beta1-2 [165kB] Fetched 165kB in 33s (4885B/s) Preconfiguring packages ... Sélection du paquet snort-mysql précédemment désélectionné. (Lecture de la base de données... 71674 fichiers et répertoires déjà installés.)Préparation du remplacement de snort-mysql 1.8.4beta1-2 (en utilisant .../snort-mysql_1.8.4beta1-2_i386.deb) ... /var/lib/dpkg/info/snort-mysql.prerm: /etc/init.d/snort: Aucun fichier ou répertoire de ce type dpkg : avertissement - ancien script pre-removal a retourné un code d'erreur de sortie 1 dpkg - tentative d'exécution du script du nouveau paquet à la place ... dpkg : ... on dirait que tout a fonctionné correctement. Dépaquetage de la mise à jour de snort-mysql ... Paramétrage de snort-mysql (1.8.4beta1-2) ... update-rc.d: /etc/init.d/snort: file does not exist dpkg : erreur de traitement de snort-mysql (--configure) : le sous-processus post-installation script a retourné une erreur de sortie d'état 1 Des erreurs ont été rencontrées pendant l'exécution : snort-mysql E: Sub-process /usr/bin/dpkg returned an error code (1) Pourtant toutes les dependances sont satisfaites : ii snort-common 1.8.4beta1-2 Flexible NIDS (Network Intrusion Detection S iF snort-mysql1.8.4beta1-2 Flexible NIDS (Network Intrusion Detection S ii snort-rules-de 1.8.4beta1-2 Flexible NIDS (Network Intrusion Detection S Ou est mon erreur ? -- |V| \/ | |dwa/\ on Woody
Re: problem installation snort-acid
On Tue, Sep 24, 2002 at 01:23:32PM -0300, mdwax wrote: Bonjours, Je souhaite installe snort-mysql et acid sur ma woody toute propre. Lors de l'install par apt-get j'ai : dmahot:/home/mdwax# apt-get install --reinstall snort-mysql Reading Package Lists... Done Building Dependency Tree... Done 0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 0 not upgraded. Need to get 165kB of archives. After unpacking 0B will be used. Do you want to continue? [Y/n] Get:1 ftp://debian.ens-cachan.fr woody/main snort-mysql 1.8.4beta1-2 [165kB] Fetched 165kB in 33s (4885B/s) Preconfiguring packages ... Sélection du paquet snort-mysql précédemment désélectionné. (Lecture de la base de données... 71674 fichiers et répertoires déjà installés.)Préparation du remplacement de snort-mysql 1.8.4beta1-2 (en utilisant .../snort-mysql_1.8.4beta1-2_i386.deb) ... /var/lib/dpkg/info/snort-mysql.prerm: /etc/init.d/snort: Aucun fichier ou répertoire de ce type dpkg : avertissement - ancien script pre-removal a retourné un code d'erreur de sortie 1 dpkg - tentative d'exécution du script du nouveau paquet à la place ... dpkg : ... on dirait que tout a fonctionné correctement. Dépaquetage de la mise à jour de snort-mysql ... Paramétrage de snort-mysql (1.8.4beta1-2) ... update-rc.d: /etc/init.d/snort: file does not exist dpkg : erreur de traitement de snort-mysql (--configure) : le sous-processus post-installation script a retourné une erreur de sortie d'état 1 Des erreurs ont été rencontrées pendant l'exécution : snort-mysql E: Sub-process /usr/bin/dpkg returned an error code (1) Le problème est que pour une réinstallation du paquet, dpkg exécute le script snort-mysql.prerm, que dans ce script, il installe le script /etc/init.d/snort et que pour une raison mystérieuse, tu n'as pas le fichier en question alors qu'il est présent dans le paquet chez moi (sur une woody) : $ apt-cache show snort-mysql | grep Version: Version: 1.8.4beta1-2 $ apt-file list snort-mysql | grep init snort-mysql etc/init.d/snort $ Soit le paquet est corrompu (utiliser debsums), soit tu as un problème de système de fichier (essayer un fsck sur la racine), soit tu as fait une bidouille au niveau du répertoire /etc (???), soit il y a un gros bug dans les scripts du paquet ... Ce ne sont pas des explications très convaincantes, mais le problème est vraiment très étrange. Fred
snort
Bonjour, J'ai dû réinstaller snort, mais il ne se lance plus lors des connections ppp, bien que le pid soit présent. * FATAL ERROR: Failed to lookup for interface: no suitable switch found. Please specify one with -i switch * Je n'ai rien vu dans les archives ni dans les bogues. J'ai dû oublier quelque chose. Une idée ? Merci. JP. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: -- Snort --
Stef wrote: Bonsoir, J'ai quelques problemes avec snort. J'ai installé snort en faisant un apt-get install snort. Cela s'est tres bien passé... Je me suis vite rendu compte que malgré l'existence du script /etc/init.d/snort snort ne démarre pas au boot, ni même après avoir fait tourner le script, et ce contrairement au message apparu et qui prétend que snort tourne (...pas de process snort qui tourne). Le paquet snort pour Woody a un gros problème, le fichier de configuration (snort.debian.conf) genéré à l'installation est vide. http://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=snort -- == | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===Debian=GNU/Linux=== -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
snort et CVE
bonjour, voila, je sais que snort a possibilite de fournir le numero CVE, cert ou sans can de l'attaque loggee...il faut que je recupere ce(s) numero(s), mais pas moyen dans les logs! En ultime solution, j'ai lance nessus sur la cible avec toutes les attaques possibles (y compris celles reconnues comme dangereuses), mais pas un seul numero cve dans les logs... Aurais-je rate qqch? Y'a-t-il effectivement un moyen de les recuperer dans les logs? (l'admin avec lequel je travaille m'a dit que oui, je lui fais confiance). Ces numeros sont dans les fichiers de regles, je ne vais qd meme pas m'amuser a parser les regles pour les recuperer...ca fait depuis le debut de l'aprem que je bidouille, je vais craquer... Merci d'avance! Romain Gardon -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: champ ID des logs snort et iptables
bonjour, ok merci pour la confirmation. Le pire c'est que j'avais vu la page mais que je n'avais pas vu l'explication...comme quoi des fois, le cafe ne fait pas tt :) Effectivement, c'est pour faire du filtrage et de la comparaison : avec ce critere je n'ai donc plus qu'une chose a verifier. Merci beaucoup Romain Gardon -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
champ ID des logs snort et iptables
bonjour, j'aimerais juste avoir confirmation de ce que je pense : est ce que le champ ID des logs snort et iptables represente bien pour un paquet un identifiant unique ou alors est-ce un numero dependant du logiciel? Je crois que c'est dependant du paquet seulement, mais je n'en suis pas sur. Je suis en train de chercher, et je ne trouve pas. Quelqu'un pour confirmer? merci d'avance Romain Gardon -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: champ ID des logs snort et iptables
Bonjour, j'aimerais juste avoir confirmation de ce que je pense : est ce que le champ ID des logs snort et iptables represente bien pour un paquet un identifiant unique ou alors est-ce un numero dependant du logiciel? Je crois que c'est dependant du paquet seulement, mais je n'en suis pas sur. Je suis en train de chercher, et je ne trouve pas. Quelqu'un pour confirmer? En effet, il s'agit de l'IDentifiant de datagramme (donc unique pour un paquet) de l'entête IP. Tu peux même filtrer sur ce champ (certains outils sont connus pour mettre toujours la même valeur, cf. Snort Users Manual 2.3.5). RFC 791: Identification: 16 bits An identifying value assigned by the sender to aid in assembling the fragments of a datagram. Sylvain. P.S. Une très bonne référence pour le format des logs de netfilter (iptables) est http://logi.cc/linux/netfilter-log-format.php3 -- Sylvain Soliman [EMAIL PROTECTED]GnuPG Public Key: 0x0F53AF99 Secretaire adjoint - Fede. Francaise de Go http://ffg.jeudego.org/ffg-f.html Co-mainteneur de PilotGOnehttp://minas.ithil.org/pilotgone/pilotgone.html Page personelle http://contraintes.inria.fr/~soliman -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Snort et subnet
Bonjour a tous, J'utilise snort avec mysql demarc (outils web pour entre autre, exploiter les resultats de snort) sur un reseau contenant 2 classes C divisees en plusieurs sous reseau (8 par classes). Pour faire en sorte que snort arrive a capter tous les evenements se passant sur tous le reseau, j'ai fixe sur la machine une ip par sous reseau, malgre tout je n'arrive pas a obtenir les evenements se passant sur les subnet qui sont attache a la carte reseau en alias (eth0:0 eth0:1). Sur la doc de snort j'ai vu le parametre a utiliser dans le snort.conf qui est : var HOME_NET [10.1.1.0/24,192.168,1.0/24] Malgre tout cela ne change rien, je n'arrive pas a avoir les aurtres subnet... je n'obtient aucun message d'erreur au demarrage de snort, et j'ai verifie mon masque de sous reseau Pour info j'utilise snort 1.8.3 sur une debian avec 1 noyau en 2.4.17. J'ai egalement essaye var HOME_NET any mais cela na rien donne. Merci a tous Salutations Johan.
snort (Etait: Re: [OT] Prelude)
salut à toutes et à tous ;-) On Thu, Sep 06, 2001 at 04:19:46PM +0200, Amaury Amblard-Ladurantie wrote: peux tu étayer une telle afirmation de quelques arguments soigneusement choisis (par mail perso si nécessaire) ? Les gros plus de snort sont - sa base d'utilisateur qui mettent à jour les signatures à vitesse V tout ça m'intéresse bcp. Peux-tu également étayer ? ;) mettent à jour ? - les 150 tit bouts de programmes qui se mettent autour et qui simplifient la vie où sont-is ? - les monceaux de doc qui facilitent la mise en place merci, -- Phil
Re: snort (Etait: Re: [OT] Prelude)
Les gros plus de snort sont - sa base d'utilisateur qui mettent à jour les signatures à vitesse V tout ça m'intéresse bcp. Peux-tu également étayer ? ;) mettent à jour ? The latest and greatest signatures from CVS checkout. This is a CVS snapshot of the snort signatures every 30 minutes. http://www.snort.org/downloads/snortrules.tar.gz - les 150 tit bouts de programmes qui se mettent autour et qui simplifient la vie où sont-is ? http://www.snort.org/downloads.html : Analysis Frontends ACID DEMARC IDSCenter Snort Report SnortBot SnortPHP SnortSnarf snort_stat.pl Log Maintance Guardian logsnorter snortlog Other Tools Getcontact Hogwas Signature Maintance dupl hog-vim h snortplot Administrative Frontends IDS Policy Manager Snort Webmin Module - les monceaux de doc qui facilitent la mise en place merci, http://www.snort.org/documentation.html Tu remarqueras que *tous* les liens de mon mail pointent sur www.snort.org. Si tu avais pris le temps de chercher 2 secondes, tu aurais également pu les trouver. Amaury
Re: snort (Etait: Re: [OT] Prelude)
X-No-CC: do not CC me on replies : I subscribe to this list On Thu, Sep 06, 2001 at 04:59:59PM +0200, Amaury Amblard-Ladurantie wrote: Si tu avais pris le temps de chercher 2 secondes, tu aurais également pu les trouver. ho ! J'suis pas là pour me faire engueuler ! Môsieur le magicien... Je pense simplement que c'est une bonne habitude de donner un zeste de références. C'est tout ;-) -- Phil
Re: snort (Etait: Re: [OT] Prelude)
ho ! J'suis pas là pour me faire engueuler ! Môsieur le magicien... Je pense simplement que c'est une bonne habitude de donner un zeste de références. C'est tout ;-) Je n'engueule personne. Disons que mon temps est aussi pécieux que le tien. http://www.snort.org te donnera tout ce que tu cherches sur snort et n'est pas vraiment dur à trouver (le logiciel libre dont il est question s'appelle *snort*, faut il le rappeler). A+ Amaury PS : Si suite il y a, faisons ca par mail perso plutôt que sur la liste.