Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur
un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames
(en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau
applicatif grâce à des règles évoluées.
Est-ce une d'idée farfelue, ou normale pour une plateforme que l'on veut
sécurisée et transparente (auditable).
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames (en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau applicatif grâce à des règles évoluées.
Excuse moi de te retourner une question, mais comment voudrais-tu le brancher autrement ?
-- Jan 24 01:06:12 xxxx pppd[175]: tdb_store key failed: Success Jan 24 01:06:12 xxxx pppd[175]: tdb_store failed: Success Donc machin a réussi à échouer ? Quelle idée tortueuse ! -+- QL in GFA : "Ou l'art de bien échouer" -+-
Dans sa prose, cyrille nous ecrivait :
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur un
brin ethernet. Celui ci écoute le réseau et analyze toutes les trames
(en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau
applicatif grâce à des règles évoluées.
Excuse moi de te retourner une question, mais comment voudrais-tu
le brancher autrement ?
--
Jan 24 01:06:12 xxxx pppd[175]: tdb_store key failed: Success
Jan 24 01:06:12 xxxx pppd[175]: tdb_store failed: Success
Donc machin a réussi à échouer ? Quelle idée tortueuse !
-+- QL in GFA : "Ou l'art de bien échouer" -+-
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames (en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau applicatif grâce à des règles évoluées.
Excuse moi de te retourner une question, mais comment voudrais-tu le brancher autrement ?
-- Jan 24 01:06:12 xxxx pppd[175]: tdb_store key failed: Success Jan 24 01:06:12 xxxx pppd[175]: tdb_store failed: Success Donc machin a réussi à échouer ? Quelle idée tortueuse ! -+- QL in GFA : "Ou l'art de bien échouer" -+-
Luc D.B.
cyrille wrote:
Hello,
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur
Les vrais switchs ont une fonction de recopie du traffic sur un port d'analyuse. Donc pas de pb a priori...
cyrille wrote:
Hello,
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur
Les vrais switchs ont une fonction de recopie du traffic sur un port
d'analyuse. Donc pas de pb a priori...
Les vrais switchs ont une fonction de recopie du traffic sur un port d'analyuse. Donc pas de pb a priori...
peux tu me donner qlqs références de vrais switch ? j'ais toujours utilisé de faux switch jusqu'à présent ;o)
Sérieux, pour m'éviter de ma palucher des kilomètres catalogues.
merci
cyrille
Billy
cyrille a écrit:
Hello,
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames (en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau applicatif grâce à des règles évoluées.
Est-ce une d'idée farfelue, ou normale pour une plateforme que l'on veut sécurisée et transparente (auditable).
merci de contribuer à ma réflexion ;o)
cyrille
hi,
tu mets ton port d'interco ou celui que tu décides de suveiller en mode mirroir sur un autre port tu configures correctement et tu lances un NIDS en promiscous et surtout tu EXAMINES REGULIEREMENT tes logs. --
"Les erreurs ne sont que des excès de qualité..."
cyrille <cyrilleml@kbuilder.net> a écrit:
Hello,
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur
un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames
(en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau
applicatif grâce à des règles évoluées.
Est-ce une d'idée farfelue, ou normale pour une plateforme que l'on veut
sécurisée et transparente (auditable).
merci de contribuer à ma réflexion ;o)
cyrille
hi,
tu mets ton port d'interco ou celui que tu décides de suveiller en mode
mirroir sur un autre port
tu configures correctement et tu lances un NIDS en promiscous
et surtout tu EXAMINES REGULIEREMENT tes logs.
--
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames (en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau applicatif grâce à des règles évoluées.
Est-ce une d'idée farfelue, ou normale pour une plateforme que l'on veut sécurisée et transparente (auditable).
merci de contribuer à ma réflexion ;o)
cyrille
hi,
tu mets ton port d'interco ou celui que tu décides de suveiller en mode mirroir sur un autre port tu configures correctement et tu lances un NIDS en promiscous et surtout tu EXAMINES REGULIEREMENT tes logs. --
"Les erreurs ne sont que des excès de qualité..."
JustMe
cyrille wrote:
Les vrais switchs ont une fonction de recopie du traffic sur un port d'analyuse. Donc pas de pb a priori...
peux tu me donner qlqs références de vrais switch ?
Catalyst de Cisco Foundry networks etc...
Oublier les alied telesyn et autre trucs non manageables
j'ais toujours utilisé de faux switch jusqu'à présent ;o)
Sérieux, pour m'éviter de ma palucher des kilomètres catalogues.
merci
cyrille
cyrille wrote:
Les vrais switchs ont une fonction de recopie du traffic sur un port
d'analyuse. Donc pas de pb a priori...
peux tu me donner qlqs références de vrais switch ?
Catalyst de Cisco
Foundry networks
etc...
Oublier les alied telesyn et autre trucs non manageables
j'ais toujours utilisé de faux switch jusqu'à présent ;o)
Sérieux, pour m'éviter de ma palucher des kilomètres catalogues.
Les vrais switchs ont une fonction de recopie du traffic sur un port d'analyuse. Donc pas de pb a priori...
peux tu me donner qlqs références de vrais switch ?
Catalyst de Cisco Foundry networks etc...
Oublier les alied telesyn et autre trucs non manageables
j'ais toujours utilisé de faux switch jusqu'à présent ;o)
Sérieux, pour m'éviter de ma palucher des kilomètres catalogues.
merci
cyrille
Cyrille
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames (en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau applicatif grâce à des règles évoluées.
merci à vous pour vos réponses.
Donc maintenant que l'IDS reçoit tout le traffic réseau passant par le switch, il analyse tout ça grâce à un certains nombre de règles. En cas de résultat positif sur une règle, est-ce que l'IDS peut agir sur le firewall, sachant que le firewall serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive ? Les IDS savent ils faire ça ?
cyrille
-==-==-==- ... Explorer Internet, un long travail : http://oueb.org -==-==-==-
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur
un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames
(en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau
applicatif grâce à des règles évoluées.
merci à vous pour vos réponses.
Donc maintenant que l'IDS reçoit tout le traffic réseau passant par le switch,
il analyse tout ça grâce à un certains nombre de règles.
En cas de résultat positif sur une règle,
est-ce que l'IDS peut agir sur le firewall, sachant que le firewall serait une linuxBox.
Quel moyen est prévu par les IDS pour changer par exemple
les règles Netfilter du firewall en cas de détection positive ?
Les IDS savent ils faire ça ?
cyrille
-==-==-==-
... Explorer Internet, un long travail : http://oueb.org
-==-==-==-
Pensez vous qu'un IDS (Intrusion Detection System) puisse être mis sur un brin ethernet. Celui ci écoute le réseau et analyze toutes les trames (en mode promisc...machin). Et ce, au niveau tcp/ip, ainsi qu'au niveau applicatif grâce à des règles évoluées.
merci à vous pour vos réponses.
Donc maintenant que l'IDS reçoit tout le traffic réseau passant par le switch, il analyse tout ça grâce à un certains nombre de règles. En cas de résultat positif sur une règle, est-ce que l'IDS peut agir sur le firewall, sachant que le firewall serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive ? Les IDS savent ils faire ça ?
cyrille
-==-==-==- ... Explorer Internet, un long travail : http://oueb.org -==-==-==-
Eric Belhomme
Cyrille wrote in news:bnnpnd$4nb$:
Donc maintenant que l'IDS reçoit tout le traffic réseau passant par le switch, il analyse tout ça grâce à un certains nombre de règles. En cas de résultat positif sur une règle, est-ce que l'IDS peut agir sur le firewall, sachant que le firewall serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive ? Les IDS savent ils faire ça ?
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre les contre-mesures déclenchées automatiquement par un IDS"...
Apres tout dépend de la solution mise en oeuvre. En logiciel libre, on a le choix entre snort et prelude, qui demandent evidamment pas mal d'investissements humains pour le déploiement (un NIDS bien monté est quelque chose de complexe a déployer). Pource qui est des solutions commerciales, je ne sais pas ce que ca fait, ni ce quz ca vaut...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Cyrille <cyrilleml@kbuilder.net> wrote in
news:bnnpnd$4nb$1@news-reader3.wanadoo.fr:
Donc maintenant que l'IDS reçoit tout le traffic réseau passant par le
switch, il analyse tout ça grâce à un certains nombre de règles.
En cas de résultat positif sur une règle,
est-ce que l'IDS peut agir sur le firewall, sachant que le firewall
serait une linuxBox. Quel moyen est prévu par les IDS pour changer par
exemple les règles Netfilter du firewall en cas de détection positive
? Les IDS savent ils faire ça ?
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre
les contre-mesures déclenchées automatiquement par un IDS"...
Apres tout dépend de la solution mise en oeuvre. En logiciel libre, on a le
choix entre snort et prelude, qui demandent evidamment pas mal
d'investissements humains pour le déploiement (un NIDS bien monté est
quelque chose de complexe a déployer). Pource qui est des solutions
commerciales, je ne sais pas ce que ca fait, ni ce quz ca vaut...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
Donc maintenant que l'IDS reçoit tout le traffic réseau passant par le switch, il analyse tout ça grâce à un certains nombre de règles. En cas de résultat positif sur une règle, est-ce que l'IDS peut agir sur le firewall, sachant que le firewall serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive ? Les IDS savent ils faire ça ?
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre les contre-mesures déclenchées automatiquement par un IDS"...
Apres tout dépend de la solution mise en oeuvre. En logiciel libre, on a le choix entre snort et prelude, qui demandent evidamment pas mal d'investissements humains pour le déploiement (un NIDS bien monté est quelque chose de complexe a déployer). Pource qui est des solutions commerciales, je ne sais pas ce que ca fait, ni ce quz ca vaut...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Cyrille
Cyrille wrote in
serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre les contre-mesures déclenchées automatiquement par un IDS"...
C'est pour un projet dans lequel l'application est tellement simple et cadrée, qu'il n'y a aucun risque d'erreur. Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
Mais comment connecter l'IDS au firewall. en utilisant les mêmes tuyaux ou faut-il mieux être étanche et utiliser un autre lien comme le port série ?
Est-ce que prélude ou snort font ça ?
En fait, avant de lire en détail la doc de ces softs, je souhaite me cultiver.
cyrille -==-==-==- ... FAQ Mozilla/Netscape 7 en français : http://pascal.chevrel.free.fr -==-==-==-
Cyrille <cyrilleml@kbuilder.net> wrote in
serait une linuxBox. Quel moyen est prévu par les IDS pour changer par
exemple les règles Netfilter du firewall en cas de détection positive
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre
les contre-mesures déclenchées automatiquement par un IDS"...
C'est pour un projet dans lequel l'application est tellement simple et cadrée,
qu'il n'y a aucun risque d'erreur.
Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
Mais comment connecter l'IDS au firewall. en utilisant les mêmes tuyaux ou faut-il mieux être étanche et utiliser un
autre lien comme le port série ?
Est-ce que prélude ou snort font ça ?
En fait, avant de lire en détail la doc de ces softs, je souhaite me cultiver.
cyrille
-==-==-==-
... FAQ Mozilla/Netscape 7 en français : http://pascal.chevrel.free.fr
-==-==-==-
serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre les contre-mesures déclenchées automatiquement par un IDS"...
C'est pour un projet dans lequel l'application est tellement simple et cadrée, qu'il n'y a aucun risque d'erreur. Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
Mais comment connecter l'IDS au firewall. en utilisant les mêmes tuyaux ou faut-il mieux être étanche et utiliser un autre lien comme le port série ?
Est-ce que prélude ou snort font ça ?
En fait, avant de lire en détail la doc de ces softs, je souhaite me cultiver.
cyrille -==-==-==- ... FAQ Mozilla/Netscape 7 en français : http://pascal.chevrel.free.fr -==-==-==-
Sebastien Reister
Cyrille wrote:
Cyrille wrote in
serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre les contre-mesures déclenchées automatiquement par un IDS"...
C'est pour un projet dans lequel l'application est tellement simple et cadrée, qu'il n'y a aucun risque d'erreur. Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
Desolé mais non, une regle de contre mesure se base sur les information donné par l'attaquant, cad IP source port source etc... donc il y aura tjrs un risque de ce prendre un DOS si l'attaquant s'apperçoit qu'il y a un IDS actif qui modifie les regles de FW a la volé, et bien il en profitera.
Faut pas prendre le pirate pour plus con qu'il ne l'est. :-)
Cordialement.
Cyrille wrote:
Cyrille <cyrilleml@kbuilder.net> wrote in
serait une linuxBox. Quel moyen est prévu par les IDS pour changer par
exemple les règles Netfilter du firewall en cas de détection positive
En general, les IDS savent faire cela. Mais gare au troll "pour ou
contre les contre-mesures déclenchées automatiquement par un IDS"...
C'est pour un projet dans lequel l'application est tellement simple et
cadrée,
qu'il n'y a aucun risque d'erreur.
Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
Desolé mais non, une regle de contre mesure se base sur les information
donné par l'attaquant, cad IP source port source etc... donc il y aura
tjrs un risque de ce prendre un DOS si l'attaquant s'apperçoit qu'il y a
un IDS actif qui modifie les regles de FW a la volé, et bien il en
profitera.
Faut pas prendre le pirate pour plus con qu'il ne l'est. :-)
serait une linuxBox. Quel moyen est prévu par les IDS pour changer par exemple les règles Netfilter du firewall en cas de détection positive
En general, les IDS savent faire cela. Mais gare au troll "pour ou contre les contre-mesures déclenchées automatiquement par un IDS"...
C'est pour un projet dans lequel l'application est tellement simple et cadrée, qu'il n'y a aucun risque d'erreur. Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
Desolé mais non, une regle de contre mesure se base sur les information donné par l'attaquant, cad IP source port source etc... donc il y aura tjrs un risque de ce prendre un DOS si l'attaquant s'apperçoit qu'il y a un IDS actif qui modifie les regles de FW a la volé, et bien il en profitera.
Faut pas prendre le pirate pour plus con qu'il ne l'est. :-)
Cordialement.
Cyrille
Cyrille wrote:
Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
donné par l'attaquant, cad IP source port source etc... donc il y aura tjrs un risque de ce prendre un DOS si l'attaquant s'apperçoit qu'il y a
C'est à dire ?
Qu'il peut forger des packets avec des ip source différentes, et que du coup le firewall va fermer l'accès à une tonne d'ip ?
Ou quoi d'autre ? C'est interressant comme discussion. As tu d'autres idées comme celle-ci
J'ais lu la Faq de prelude, et maintenant les cas pratiques m'interresse fortement ;o) pour me cultiver avant de passer à la mise en pratique.
cyrille
-==-==-==- ... Ce n'est pas parce que l'homme a soif d'amour qu'il doit se jeter sur la première gourde. -==-==-==-
Cyrille wrote:
Une règle déclenchée est forcément bonne, et la crontre mesure jsutifiée.
donné par l'attaquant, cad IP source port source etc... donc il y aura
tjrs un risque de ce prendre un DOS si l'attaquant s'apperçoit qu'il y a
C'est à dire ?
Qu'il peut forger des packets avec des ip source différentes,
et que du coup le firewall va fermer l'accès à une tonne d'ip ?
Ou quoi d'autre ?
C'est interressant comme discussion. As tu d'autres idées comme celle-ci
J'ais lu la Faq de prelude, et maintenant les cas pratiques m'interresse fortement ;o) pour me cultiver avant de passer
à la mise en pratique.
cyrille
-==-==-==-
... Ce n'est pas parce que l'homme a soif d'amour
qu'il doit se jeter sur la première gourde.
-==-==-==-
