IDS en Open Source

Posté par  . Modéré par Brice Favre.
Étiquettes :
0
11
avr.
2003
Sécurité
Un ancien collègue est en train de développer une solution en Open Source qui permet le déploiement facile d'une solution de détection d'intrusion (IDS en bon anglais ;o)

Il recherche de l'aide pour faire avancer son projet. La détection d'intrusion est une composante importante de la sécurité des réseaux. Loin des solutions imposantes commerciales, d'autres alternatives sont disponibles en Open Source. La difficulté est de bien installer les différents composants et de les gérer efficacement.

La solution ici proposée est basée sur une distribution Red Hat 7.2 avec les outils comme Snort, Acid, etc ...

Un forum a également été mis en place afin de recueillir des avis, des commentaires, des suggestions ...

Aller plus loin

  • # Re: IDS en Open Source

    Posté par  (site web personnel) . Évalué à 10.

    Il faudrait peut-être se rapprocher d'un projet comme prelude :
    http://www.prelude-ids.org/(...)
    • [^] # Re: IDS en Open Source

      Posté par  . Évalué à 10.

      Oui ce projet est en effet très prometteur. Qui plus est il est dvl par une équipe française.

      Je l'ai testé sur ma DMZ il marche très bien et sa spécif modulaire est très bien pensée.

      Le seul problème pour l'instant est l'absence d' outil pour visualiser les alertes aussi performant qu'acidlab. Deux projets d'interace web sont en cours de développement.
      • [^] # Re: IDS en Open Source

        Posté par  (site web personnel) . Évalué à 1.

        Quelqu'un peut me dire pourquoi il n'y a pas de paquet debian, et des paquets mandrake trés agés ?
        • [^] # Re: IDS en Open Source

          Posté par  (site web personnel) . Évalué à 5.

          Y a un Intend To Package chez Debian, mais ça a l'air un peu mort http://bugs.debian.org/cgi-bin/bugreport.cgi?archive=no&bug=111462
          • [^] # Re: IDS en Open Source

            Posté par  . Évalué à 6.

            Bonsoir, Je poste pour Yoann Vandoorselaere, créateur et principal développeur de Prelude, qui manque d'XP pour le faire. Il y avait un probleme pour créer des packages Debian vu que l'édition des liens est faite avec Open SSL et qu'il fallait inclure un texte : LICENSE ISSUES ============== The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit. See below for the actual license texts. Actually both licenses are BSD-style Open Source licenses. In case of any license issues related to OpenSSL please contact openssl-core@openssl.org. Lien complémentaire: http://listes.tuxfamily.org/?A=READ&L=prelude-devel_prelude-ids.org/2003/3/12/0 Voilou
            • [^] # Re: IDS en Open Source

              Posté par  . Évalué à 2.

              Et zut, j'ai oublié: des packages seront disponibles dès la prochaine release. Bon ce coup-ci c'est je crois.
      • [^] # Re: IDS en Open Source

        Posté par  (site web personnel) . Évalué à 5.

        > Oui ce projet est en effet très prometteur. Qui plus est il est dvl par une équipe française. J'aime beaucoup la philosophie de ce projet personnellement. Et puis Yoann Vandoorselaere a l'air d'etre quelqu'un de tres competent. Quelqu'un sait s'il est toujours chef de projet chez Mandrake ? PS : ils cherchent qqn pour le frontend php, si vous etes interesses :)
        • [^] # Re: IDS en Open Source

          Posté par  . Évalué à 5.

          Yoann ne travaille plus chez MandrakeSoft depuis décembre dernier. Le projet a besoin de sponsor : http://listes.tuxfamily.org/?A=READ&L=prelude-devel_prelude-ids.org/2003/3/12/0
  • # Mon exp de snort

    Posté par  . Évalué à 10.

    Je suis admin d'un parc assez important (une 30 de machines en DMZ), g un serveur avec MySQL dessus, g installé acidlab sur mon poste.

    Plusieurs machines ont snort d'installés et elle envoient leur alertes sur le serveur MySQL et je visualise/efface les alertes à partir de mon poste grace à ACIDLAB.

    Cela fonctionne vraiement super bien. Le pb est par contre le grand nb d'alertes et la difficulter à correler tout ça. Ce qui fait que je regarde juste les trucs graves et passe à coté de pas mals de choses faute de temps.

    Qq'un a des experiences avec SnortSnarf, SnortCenter, SnortCon ?
    • [^] # Re: Mon exp de snort

      Posté par  (site web personnel) . Évalué à 3.

      J'utilise aussi acid, j'en suis plutôt content malgré le suivi qu'il demande. Je suis aussi intéressé par des retours sur d'autres outils.
    • [^] # Re: Mon exp de snort

      Posté par  . Évalué à -2.

      30 machines c un tout petit parc :) Annonce-moi 500 machines, là on pourra commencer à parler de parc important. <troll potentiel> Bon ensuite, passe voir Prelude, il fait tout ce que fait Snort, mieux, et bien plus ! :) </troll potentiel>
  • # Re: IDS en Open Source

    Posté par  (site web personnel) . Évalué à 5.

    En fait je comprends pas bien l'interet..
    Le but c'est de faire une distribution IDS ? mais c'est sense apporter quoi par rapport a une installation "normale" sur laquelle on installe apres un IDS comme Prelude ou Snort ? de la simplicite ? en meme temps je vois pas bien comment on peut faire ca, la configuration d'un IDS dependant completement de l'architecture du reseau, ya pas vraiment de configuration par defaut, ca revient a tout configurer en fait..
    • [^] # Simplicité

      Posté par  . Évalué à 5.

      Une des idées de départ du projet était d'avoir une installation la plus simplifiée possible pour des machines dont le rôles était de faire de l'IDS.

      Dans les menus d'installations, au lieu d'avoir serveur, station de travail etc .. tu peux aussi choisir : IDS manager ou
      senseur par exemple.

      Les DBs pour le reporting, monitoring, auditing sont alors déja installées, initialisées et tu peux te retrouver avec un front web qui gère l'ensemble sans devoir passer par des heures de configuration.

      C'est pas faux de dire que ce projet vise principalement des réseaux importants à la base ... chez nous il faut compter plusieurs dizaines de DMZ et plus de 10 firewalls (pour la seule partie dont je m'occupe).

      Olivier

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.