un bon IDS pour Linux?[ok]

[Double_Expresso]

Bonjour,

Pour sécuriser ma connection internet, j'ai installé Guarddog comme pare-feu.

Malheureusement un pare-feu ne sert pas à grand chose, si on ne voit pas qu'il est entrain de se faire attaquer et à un moment il cédera...

Je recherche un IDS (Intrusion Detection Systeme), pour me signaler si des attaques, scans sont entrain de se produire.

Vous connaissez des bons? Et Faciles à lire et à interpreter?

De plus ça serait bien qu'il signale la tentative d'intrusion en temps réel (par exemple en jouant un son, ou executant un scripte de déconection internet).

Je connais Snort (mais mamaaamia!), c'est pas facile à installer et lire les logs encore moins ..

SNort/ACID demande l'installation de Apache. Apache je ne souhaite pas l'activer en pérmanence (uniquement quand je fais du PHP), car il m'ouvre un port!

Bref connaissez-vous un autre IDS, qui n'utilise pas de Apache?

Qu'utlisez-vous comme IDS?

J'ai trouvé ceci pour configurer Snort/Apache...mais si je peux avoir une autre altérnative c'est bien.

http://www.linux-pour-lesnuls.com/snort.php

merci

[zoto]

Salut

Il y a snort, sinon il y a prelude aussi

Je ne peux pas t'en dire plus

a+

[Double_Expresso]

salut zoto

prelude je connais également.

En fait je cherche aussi une interface graphique: soit pour snort, soit prelude alors..

Je vais faire un tour du coté de freschmeat.

a+

[nucle]

Dans le genre facile à lire, graphique et permet d'ajouter des regles, y a Firestarter..

pour une machine de bureau c AMHA suffisant!

Pour un server exposé, je ne sais pas!

Cela dit, c'est tt un firewall pas un simple ids

[Double_Expresso]

merci nucle

Je vais voir pour Firestarter et AMHA .

a+

[azathoth_megalo]

Bah, les IDS sont très surfaits de toute façon. Je n'ai plus l'article sous la main, mais ça avait achevé de me convaincre que les IDS ne servaient pas à grand-chose.

Surtout quand il a snot dans les parages ...

[nucle]

merci nucle

Je vais voir pour Firestarter et AMHA .

a+

Sorry, amha = A Mon Humble Avis :( (ca m'apprendra a écrire en abrégé dans un forum)

par contre firestarter est bien un logiciel!

[Double_Expresso]

Bah, les IDS sont très surfaits de toute façon. Je n'ai plus l'article sous la main, mais ça avait achevé de me convaincre que les IDS ne servaient pas à grand-chose.

Surtout quand il a snot dans les parages ...

de toute façon, question sécurité, rien à craindre dans 99% des cas ,pour un particulier utilisant Linux sur son ordinateur normal.

Jusqu'à maintenant je surveille ma connection internet, en lançant à chaque fois le moniteur de connection (la petite fenêtre graphique, avec les débits de connextionc entrantes/sortantes). Mais elle ne me permet pas de voir les scans et autres trucs..bref ce qui se passe "aux portes" du pc.

J'ai trouvé un truc qui m'a l'air interessant:

http://www.intersectalliance.com/projects/...tml#ScreenShots

[Double_Expresso]

re,

j'ai installé snort, et decompressé les règles dans le dossier etc/snort/rules

maintenant le tuto, indique d'éditer le fichier snort.conf, pour éditer les règles.

voici le début, si vous voulez jetter un coup d'oeil:

--------------------------------------------------------------------------------------------

# You must change the following variables to reflect your local network. The

# variable is currently setup for an RFC 1918 address space.

#

# You can specify it explicitly as:

#

# var HOME_NET 10.1.1.0/24

#

# or use global variable $<interfacename>_ADDRESS which will be always

# initialized to IP address and netmask of the network interface which you run

# snort at. Under Windows, this must be specified as

# $(<interfacename>_ADDRESS), such as:

# $(\Device\Packet_{12345678-90AB-CDEF-1234567890AB}_ADDRESS)

#

# var HOME_NET $eth0_ADDRESS

#

# You can specify lists of IP addresses for HOME_NET

# by separating the IPs with commas like this:

#

# var HOME_NET [10.1.1.0/24,192.168.1.0/24]

#

# MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST!

#

# or you can specify the variable to be any IP address

# like this:

var HOME_NET any

--------------------------------------------------------------------------------------

Je me connecte via un modem normal, avec une IP dynamique.

Quelle est la valeur que je dois donner a HOME_NET ?

je laisse tel quel: var HOME_NET any

[Double_Expresso]

Re,

alors ca marche.

et en plus une fois qu'on sait c'est facile

--> installer snort

--> installer razorback (http://www.intersectalliance.com/projects/RazorBack/)

(faut la version 1.0.3)

c'est tout

je lance (sous ROOT) snort avec:

snort -A fast -c /etc/snort/snort.conf -i ppp0 -b

(l'argument -b , fait en sorte que les logs sont sous forme binaire..si j'ai bien compris, indispensable pour que razorback puisse les lire).

--> lancer razorback (je le fais sous ROOT), et lui dire d'aller chercher les logs dans le dossier /var/log/snort/alert

ouf