background preloader

IDS

Facebook Twitter

Sécurité : Installation de l’IDS Prelude sur debian. Plop à tous … Aujourd’hui je suis en forme alors … je fait un « gros tuto » ^^ from scratch, comme très peu de tuto sont à jour de ce côté là autant tout faire de zéro ;). [La super intro trop naze] Je dois tout d’abord avouer que je savais pas trop ce que c’était un IDS avant que je l’installe ^^ (enfin j’avais une petite idée, mais je ne m’attendais pas à un truc aussi complet avec prelude). Donc voilà ça sert à quoi ?? Ça permet d’avoir une idée des menaces/évènement en « temps réel » sur votre réseau/machine, et avec prelude on peut faire pas mal de chose, que ce soit suivre l’authentification des utilisateurs sur le réseau jusqu’à la détection d’attaque sur un service en particulier (http, avec la possibilité de coupler la chose avec le mod_security), ou bien la « préparation » d’une attaque avec la détection des « Services Recognition » et encore plein d’autre réjouissance.

Pourquoi j’installe ça ?? Sinon, pour les barbares … Donc vous remarquerez qu’il faut : Lorsqu’il en est à : 1. Snort. Snort, maintenu par Sourcefire, est un système de détection d'intrusion libre pour le réseau (ou NIDS) publié sous licence GNU GPL. Sa configuration est gérée par des règles (rules) qu'une communauté d'utilisateur partage librement. C'est également le cheval gagnant en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et organisations gouvernementales.

Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès. Snort inline est une version améliorée de snort pour en faire un IPS (Système de prévention d'intrusion ), capable de bloquer les intrusions/attaques. Éditez avec les droits d'administration le fichier /etc/oinkmaster.conf. Et voilà SNORT est installé et prêt à fonctionner et à guetter toute intrusion. Sudo /etc/init.d/snort start Si vous souhaitez pousser la sécurité à son presque maximum dans la branche intrusion, installez les paquets logcheck logcheck-database rkhunter binutils puis lancez RootKit Hunter : Les IDS par la pratique : Snort.

Mise en place d'un IDS Où positionner son IDS ?? Il existe plusieurs endroits stratégiques où il convient de placer un IDS. Le sché ma suivant illustre un réseau local ainsi que les trois positions que peut y prendre un IDS : Position ( 1 ): Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup (trop?) D'alertes seront remontées ce qui rendra les logs difficellement consultables.

Position ( 2 ): Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Idéalement, on placerait des IDS sur les trois positions puis on délèguerait la consultation des logs à l'application "acid" (cf qui permet d'analyser les alertes et d'en présenter clairement les résulats via une interface web complète. Installation et configuration de Snort cd /usr/local/snort tar -xvf SNORT-2.2.*.tar.gz .

Ubuntu 1.9.2 without rvm by eric peters - snorby - GitHub. Let’s install Ruby 1.9.2 and Rails 3 stable on Ubuntu. I’m going to use just one Ruby version so I'm not going to use RVM (Ruby Version Manager) and this will be built from source. This is valid for Ubuntu 10.04, 32 bit. And possibly (not tested) on 64bit and older versions. -- Updated doc for Ubuntu 11.04, ruby 1.9.2 p290 -- jbc We are going to need to install required files to compile Ruby sudo apt-get install gcc g++ build-essential libssl-dev libreadline5-dev zlib1g-dev linux-headers-generic libsqlite3-dev libxslt-dev libxml2-dev imagemagick libmysqlclient-dev libmagick9-dev git-core mysql-server wkhtmltopdf git Now download Ruby 1.9.2 sources, unpack them and install: sudo wget tar -xvzf ruby-1.9.2-p290.tar.gz cd ruby-1.9.2-p290/ sudo .

Add path to binary Ruby files. Sudo nano /etc/environment PATH="/usr/local/ruby/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games" source /etc/environment ruby -v rails -v. PreludeIDS - InstallingPackageDebian - PreludeIDS Tracker. Features. Additional Downloads. If you know of or work on a Snort related project that you'd like to see listed here contact me at jesler@cisco.com Sourcefire Projects Daemonlogger Daemonlogger™ is a packet logger and soft tap developed by Martin Roesch. The libpcap-based program has two runtime modes: 1. These two runtime modes are mutually exclusive, if the program is placed in tap mode (using the -I switch) then logging to disk is disabled. Make SURE you read the included COPYING file so that you understand how this file is licensed by Sourcefire, even though it's under the GPL v2 there are some clarifications that we have made regarding the licensing of this program.

Daemonlogger is available for download here: Sourceforge download site Razorback Project Razorback™ is an undertaking by the Sourcefire VRT. Razorback is available for download here: Sourceforge download site DumbPig Dumbpig is an automated bad-grammar[sik] detector for snort rules. The project is run by Leon Ward of Sourcefire. PE Sig Pulled_Pork SnoGE Barnyard2. Basic Analysis and Security Engine (BASE) -- Homepage. SNORT - Le Tutorial facile - BASE. Block Unwanted Traffic With Packetfence. Packetfence is a very powerful Network Access Control tool. Using Packetfence you can control and block unwanted traffic on your network. Want to block P2P services like BitTorrent, or keep mobile devices like iPhones and Android phones off your wireless network?

Packetfence gives you the kind of fine-grained control you're looking for. Packetfence is officially supported on Red Hat Enterprise Linux (RHEL) and CentOS. With those two distributions you can quickly get Packetfence up and running (Unlike on Ubuntu which I recently outlined in "Install and Configure Packetfence on Ubuntu Linux"). But you are not relegated to command line only (as you will find in Ubuntu). With Red Hat or CentOS you will find a powerful web-based tool at your fingertips.

Assumptions What I want to demonstrate is how to block specific traffic on your Packetfence-enabled network. That's all. Adding the Final Piece: Snort Open up a terminal window. With Snort installed you are almost ready. Enable Snort [services] SNORT - Le tutorial facile. Stats Nov 2010 82'909 Visiteurs 146'476 Pages196 paysStatistiques completes Aidez-nous à traduire nos tutoriaux! Snort Tutorial Dern. mise à jour: 07-12-2007 OutilInstallationErgonomieForum Détails Snort, c'est quoi? Captures d'écran Prérequis Snort Mise à jour Snort Règles Bleedingsnort Port Mirroring If you like our tutorials, don't hesitate to support us and visit our sponsors!

Vous pouvez installer Snort à l'aide d'un package ou manuellement. 1.a INSTALLATION PAR PACKAGE (Snort 2.3.3) Installation de Snort compilé pour envoyer les logs vers MySQL: Un tutorial apparaît. Continuez avec le point 2. 1.b INSTALLATION MANUELLE (Snort 2.6.1.3) Pour débuter, nous devons installer les outils de compilations et les dépendances de Snort. Les outils de compilation: LIBNET et ses fichiers de développement. LIBPCAP et ses fichiers de développement.. LIBPCRE et ses fichiers de développement. Librairies de développement MySQL et fichiers header: Téléchargez Snort et décompressez le.

Build-essential n'est pas installé.