j'ai lu (mais je ne sais plus où) qu'il était possible (mais dangereux) de
configurer SNORT pour qu'il aille configurer IPTables en cas de coup dur.
biensur cela peut induire un cas de DOS en cas de spoofing...
mais j'aimerais tenter la manip.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Sat, 15 May 2004 09:18:21 +0000, j3CubL4H a écrit :
j'ai lu (mais je ne sais plus où) qu'il était possible (mais dangereux) de configurer SNORT pour qu'il aille configurer IPTables en cas de coup dur. biensur cela peut induire un cas de DOS en cas de spoofing... mais j'aimerais tenter la manip.
C'est effectivement une très mauvaise idée. Par contre, quelque chose qui s'en rapproche et qui me semble beaucoup plus pertinent est Snort Inline :
http://snort-inline.sourceforge.net/
Le principe est de faire remonter les paquets via Netfilter plutôt que via la libpcap. Dès qu'il détecte une attaque sur un paquet, il le droppe.
L'avantage de cette approche est qu'on ne jette que les flux qui comportent effectivement une attaque. Alors qu'avec un IDS réactif, d'une part on n'a pas le temps de bloquer le paquet détecter comme portant l'attaque, et d'autre part, on peut mettre en ACL qui pourraient servir pour alimenter un DoS (genre je spoofe une attaque depuis les root servers DNS).
--
C'est décidément trop compliqué de rediriger vers les bons groupes :o( Facile, tu rediriges vers fr.comp.erwan.david. :))
-+- QL in Guide du Fmblien Assassin : "Et toc !" -+-
Le Sat, 15 May 2004 09:18:21 +0000, j3CubL4H a écrit :
j'ai lu (mais je ne sais plus où) qu'il était possible (mais dangereux) de
configurer SNORT pour qu'il aille configurer IPTables en cas de coup dur.
biensur cela peut induire un cas de DOS en cas de spoofing...
mais j'aimerais tenter la manip.
C'est effectivement une très mauvaise idée.
Par contre, quelque chose qui s'en rapproche et qui me semble beaucoup
plus pertinent est Snort Inline :
http://snort-inline.sourceforge.net/
Le principe est de faire remonter les paquets via Netfilter plutôt que
via la libpcap. Dès qu'il détecte une attaque sur un paquet, il le
droppe.
L'avantage de cette approche est qu'on ne jette que les flux qui
comportent effectivement une attaque. Alors qu'avec un IDS réactif,
d'une part on n'a pas le temps de bloquer le paquet détecter comme
portant l'attaque, et d'autre part, on peut mettre en ACL qui pourraient
servir pour alimenter un DoS (genre je spoofe une attaque depuis les root
servers DNS).
--
C'est décidément trop compliqué de rediriger vers les bons groupes :o(
Facile, tu rediriges vers fr.comp.erwan.david. :))
-+- QL in Guide du Fmblien Assassin : "Et toc !" -+-
Le Sat, 15 May 2004 09:18:21 +0000, j3CubL4H a écrit :
j'ai lu (mais je ne sais plus où) qu'il était possible (mais dangereux) de configurer SNORT pour qu'il aille configurer IPTables en cas de coup dur. biensur cela peut induire un cas de DOS en cas de spoofing... mais j'aimerais tenter la manip.
C'est effectivement une très mauvaise idée. Par contre, quelque chose qui s'en rapproche et qui me semble beaucoup plus pertinent est Snort Inline :
http://snort-inline.sourceforge.net/
Le principe est de faire remonter les paquets via Netfilter plutôt que via la libpcap. Dès qu'il détecte une attaque sur un paquet, il le droppe.
L'avantage de cette approche est qu'on ne jette que les flux qui comportent effectivement une attaque. Alors qu'avec un IDS réactif, d'une part on n'a pas le temps de bloquer le paquet détecter comme portant l'attaque, et d'autre part, on peut mettre en ACL qui pourraient servir pour alimenter un DoS (genre je spoofe une attaque depuis les root servers DNS).
--
C'est décidément trop compliqué de rediriger vers les bons groupes :o( Facile, tu rediriges vers fr.comp.erwan.david. :))
-+- QL in Guide du Fmblien Assassin : "Et toc !" -+-
