Mise en Place d'un IDS

reno90 · 13/03/2008, 10h17

Bonjour à tous,

je suis actuellement en stage dans une université pendant 8 semaines, et je dois mettre en place un système de détections d'intrusions.

Voici le libellé complet du sujet :

Sujet proposé:

Etude de mise en place d'un service de détection d'intrusion (IDS): analyse de l'architecture du réseau du pôle universitaire, des différents équipements, des systèmes d'exploitation utilisés.
Recherche et comparatif des solutions existantes opensource, proposition du choix le mieux adapté aux besoins exprimés, rédaction de la procédure d'intégration d'un équipement, et des actions à envisager en cas de détection d'intrusion, selon le type et la gravité.
Associer à ce service des outils de surveillance réseau, de type Nagios.

Selon l'état d'avancement du projet, le stagiaire pourra étudier la problématique liée aux obligations légales de conservation de fichiers de log: comment gérer la taille croissante des informations à enregistrer ?

Avantages et inconvénients d'une solution centralisée ?

Comment en cas de centralisation gérer les différents formats de fichiers de log ?

Séparer les informations serveur (logs de connexion extérieures) des informations client (logs des authentification).

J'ai trouvé sur votre site un tutoriel sur les IDS très complet mais un petit peu trop technique pour moi ( je dois bien l'avouer )

Sur le net j'ai trouvé 2 IDS

Snort et Prelude ( qui integre Snort ) quelqu'un peut il me faire les avantages et les inconvénients ??

En ce qui concerne la surveillance réseau réseau, on m'a donc parlé de Nagios mais aussi de Munin, Cacti ou Zabbix.

Donc je suis un petit peu perdu alors si quelqu'un pouvait m'éclairer sur ce sujet, je lui en serais tres reconnaissant.

Bonne journée a tous

gorgonite · 13/03/2008, 10h45

en IDS, tu as aussi Bro... http://www.bro-ids.org/

pour les outils de monitoring, munin et cacti sont un grapheur... très joli pour les rapports, mais faut pas t'attendre à beaucoup plus

nagios est selon moi la solution la plus complète (et complexe

)

j'ai entendu beaucoup de bien sur zabbix, mais je ne l'ai jamais vu tourné

un peu de lecture :
http://gorgonite.developpez.com/tuto...ystemes/munin/

http://dbprog.developpez.com/securite/ids/
http://systeme.developpez.com/articl...nce-intrusion/

reno90 · 25/03/2008, 16h31

Merci à toi Gorgonite pour tes conseils et tes éclaircissements.

Après diverses réunions avec mon maitre de stage, notre choix s'est porté sur Prelude.

Si quelqu'un aurait des informations sur son installation détaillée ( de la documentation assez récente avec les derniers paquets a installer )

De même j'ai vu que Snort s'intégrait avec Prelude, si qulqu'un peut également me donner quelques explications, je l'en remercierait grandement...

Merci d'avance

Manumation · 31/03/2008, 08h38

Citation:

J'ai trouvé sur votre site un tutoriel sur les IDS très complet mais un petit peu trop technique pour moi ( je dois bien l'avouer )

Le soucis à mon avis c'est que mettre en place un IDS c'est de toute façon technique, donc tu auras très vite des problèmes si tu ne te plonges pas complètement dans le sujet...

Moi j'aurais préféré Snort, mais bon, c'est trop tard...

reno90 · 31/03/2008, 15h57

Oh que oui, je suis tout a fait d'accord avec toi Manumation, cahque jour apporte son lot de surprises et de complexité

Pour les utilisateurs de prelude, j'ai un petit souci lors de l'installation de Prewikka sur ma machine manager.

J'ai bien installé apache2, j'ai crée un fichier prewikka dans le dossier /etc/apache2/sites-available, j'ai bien désactiver le 000-default et activer mon fichier prewikka et quand je souhaite redemarrer mon serveur apache, voici mon erreur :

Syntax error on line 6 of /etc/apache2/sites-enabled/prewikka:
Invalid command 'PythonHandler', perhaps misspelled or defined by a module not included in the server configuration
httpd not running, trying to start

Et la ....... je seche

Merci de vos réponses

reno90 · 01/04/2008, 11h34

Tout est bon j'ai reussi a reconfigurer mon serveur Apache et Prewikka fonctionne correctement.

Par contre pour les outils de détections réseaux que me conseillez vous ?

Snort ?

Ou bien un autre outil ??

merci d'avance

Manumation · 01/04/2008, 12h54

Citation:

Par contre pour les outils de détections réseaux que me conseillez vous ?

Moi je te conseille Nmap...

gorgonite · 01/04/2008, 13h05

faudrait définir détection réseau

parce que snort et nmap sont très différents ^^

Manumation · 01/04/2008, 13h14

Citation:

Envoyé par gorgonite

faudrait définir détection réseau

parce que snort et nmap sont très différents ^^

Etant donné qu'il a déjà mis en place un IDS (Prelude), je ne vois pas pourquoi il aurait encore besoin de snort ?

reno90 · 03/04/2008, 09h13

Citation:

Envoyé par gorgonite

faudrait définir détection réseau

parce que snort et nmap sont très différents ^^

En fait c'etait plus surveillance réseau et non pas détection

Citation:

Envoyé par Manumation

Etant donné qu'il a déjà mis en place un IDS (Prelude), je ne vois pas pourquoi il aurait encore besoin de snort ?

Tu veux donc dire que je n'ai pas besoin d' intégrer Snort dans Prelude ?

Quel est le soft qui servira d'analyse du réseau alors ???

Car il me semble que Prelude-lml ne sert qu' a analyser les hôtes...

Il existait précedemment Prelude-nids, mais cette solution a été abandonnée au profit de Snort me semble t-il ?

reno90 · 04/04/2008, 09h37

J'ai reussi a intégrer Snort dans Prélude

par contre pour les outils de survéillance réseau, quelqu'un a une idée ??

gorgonite · 04/04/2008, 09h39

nmap, tcpdump, nessus, honeyd... que veux-tu surveiller ?

Manumation · 07/04/2008, 09h24

Question :

N'ayant jamais fait l'expérience, quelle est la différence entre Snort et Prelude si ce dernier intègre le premier ? Pourquoi dans ce cas ne pas utiliser Snort tout court...?

ovh · 07/04/2008, 10h51

Citation:

Envoyé par Manumation

Question :

N'ayant jamais fait l'expérience, quelle est la différence entre Snort et Prelude si ce dernier intègre le premier ? Pourquoi dans ce cas ne pas utiliser Snort tout court...?

De mémoire, snort n'est "que" un analyseur de trames réseau, tandis que prelude examine aussi les logs systèmes etc. (pour détecter les attaques sur serveurs ssh, apache, ... )

Manumation · 07/04/2008, 12h01

Ok ! Merci, je n'avais pas fait la distinction...

13/03/2008, 10h17	#1 (permalink)
reno90 Invité de passage Date d'inscription: octobre 2007 Messages: 8	[Résolu] Mise en Place d'un IDS Bonjour à tous, je suis actuellement en stage dans une université pendant 8 semaines, et je dois mettre en place un système de détections d'intrusions. Voici le libellé complet du sujet : *Sujet proposé:* Etude de mise en place d'un service de détection d'intrusion (IDS): analyse de l'architecture du réseau du pôle universitaire, des différents équipements, des systèmes d'exploitation utilisés. Recherche et comparatif des solutions existantes opensource, proposition du choix le mieux adapté aux besoins exprimés, rédaction de la procédure d'intégration d'un équipement, et des actions à envisager en cas de détection d'intrusion, selon le type et la gravité. Associer à ce service des outils de surveillance réseau, de type Nagios. Selon l'état d'avancement du projet, le stagiaire pourra étudier la problématique liée aux obligations légales de conservation de fichiers de log: comment gérer la taille croissante des informations à enregistrer ? Avantages et inconvénients d'une solution centralisée ? Comment en cas de centralisation gérer les différents formats de fichiers de log ? Séparer les informations serveur (logs de connexion extérieures) des informations client (logs des authentification). J'ai trouvé sur votre site un tutoriel sur les IDS très complet mais un petit peu trop technique pour moi ( je dois bien l'avouer ) Sur le net j'ai trouvé 2 IDS Snort et Prelude ( qui integre Snort ) quelqu'un peut il me faire les avantages et les inconvénients ?? En ce qui concerne la surveillance réseau réseau, on m'a donc parlé de Nagios mais aussi de Munin, Cacti ou Zabbix. Donc je suis un petit peu perdu alors si quelqu'un pouvait m'éclairer sur ce sujet, je lui en serais tres reconnaissant. Bonne journée a tous Dernière modification par reno90 ; 04/04/2008 à 09h36 Motif: Résolution du prb

13/03/2008, 10h45	#2 (permalink)
gorgonite Responsable rubrique générale Date d'inscription: décembre 2005 Localisation: Gorgon-Paradise Âge: 24 Messages: 8 037	en IDS, tu as aussi Bro... http://www.bro-ids.org/ pour les outils de monitoring, munin et cacti sont un grapheur... très joli pour les rapports, mais faut pas t'attendre à beaucoup plus nagios est selon moi la solution la plus complète (et complexe ) j'ai entendu beaucoup de bien sur zabbix, mais je ne l'ai jamais vu tourné un peu de lecture : http://gorgonite.developpez.com/tuto...ystemes/munin/ http://dbprog.developpez.com/securite/ids/ http://systeme.developpez.com/articl...nce-intrusion/ __________________ Evitez les MP pour les questions techniques... il y a des forums Modérateur Linux, Serveurs, Programmation fonctionnelle Mes Tutos \| Mon Blog Vous souhaitez contribuer à la rubrique Autres langages, contactez-moi. attention je mords ou je chevauche

01/04/2008, 13h05	#8 (permalink)
gorgonite Responsable rubrique générale Date d'inscription: décembre 2005 Localisation: Gorgon-Paradise Âge: 24 Messages: 8 037	faudrait définir détection réseau parce que snort et nmap sont très différents ^^ __________________ Evitez les MP pour les questions techniques... il y a des forums Modérateur Linux, Serveurs, Programmation fonctionnelle Mes Tutos \| Mon Blog Vous souhaitez contribuer à la rubrique Autres langages, contactez-moi. attention je mords ou je chevauche

04/04/2008, 09h39	#12 (permalink)
gorgonite Responsable rubrique générale Date d'inscription: décembre 2005 Localisation: Gorgon-Paradise Âge: 24 Messages: 8 037	nmap, tcpdump, nessus, honeyd... que veux-tu surveiller ? __________________ Evitez les MP pour les questions techniques... il y a des forums Modérateur Linux, Serveurs, Programmation fonctionnelle Mes Tutos \| Mon Blog Vous souhaitez contribuer à la rubrique Autres langages, contactez-moi. attention je mords ou je chevauche

07/04/2008, 09h24	#13 (permalink)
Manumation Rédacteur/Modérateur Date d'inscription: mai 2007 Localisation: Suisse Messages: 1 198	Question : N'ayant jamais fait l'expérience, quelle est la différence entre Snort et Prelude si ce dernier intègre le premier ? Pourquoi dans ce cas ne pas utiliser Snort tout court...? __________________ --> Heureux est l'étudiant, qui comme la rivière, peut suivre son cours sans jamais quitter son lit... --> Il n'y a que dans le dictionnaire que "succès" précède "travail"... Pas de MP techniques, svp ! Psst...Ici, viens voir par là... Des questions sur Hijackthis ?

25/03/2008, 16h31	#3 (permalink)
reno90 Invité de passage Date d'inscription: octobre 2007 Messages: 8	Merci à toi Gorgonite pour tes conseils et tes éclaircissements. Après diverses réunions avec mon maitre de stage, notre choix s'est porté sur Prelude. Si quelqu'un aurait des informations sur son installation détaillée ( de la documentation assez récente avec les derniers paquets a installer ) De même j'ai vu que Snort s'intégrait avec Prelude, si qulqu'un peut également me donner quelques explications, je l'en remercierait grandement... Merci d'avance

31/03/2008, 15h57	#5 (permalink)
reno90 Invité de passage Date d'inscription: octobre 2007 Messages: 8	Oh que oui, je suis tout a fait d'accord avec toi Manumation, cahque jour apporte son lot de surprises et de complexité Pour les utilisateurs de prelude, j'ai un petit souci lors de l'installation de Prewikka sur ma machine manager. J'ai bien installé apache2, j'ai crée un fichier prewikka dans le dossier /etc/apache2/sites-available, j'ai bien désactiver le 000-default et activer mon fichier prewikka et quand je souhaite redemarrer mon serveur apache, voici mon erreur : Syntax error on line 6 of /etc/apache2/sites-enabled/prewikka: Invalid command 'PythonHandler', perhaps misspelled or defined by a module not included in the server configuration httpd not running, trying to start Et la ....... je seche Merci de vos réponses

01/04/2008, 11h34	#6 (permalink)
reno90 Invité de passage Date d'inscription: octobre 2007 Messages: 8	Tout est bon j'ai reussi a reconfigurer mon serveur Apache et Prewikka fonctionne correctement. Par contre pour les outils de détections réseaux que me conseillez vous ? Snort ? Ou bien un autre outil ?? merci d'avance

04/04/2008, 09h37	#11 (permalink)
reno90 Invité de passage Date d'inscription: octobre 2007 Messages: 8	J'ai reussi a intégrer Snort dans Prélude par contre pour les outils de survéillance réseau, quelqu'un a une idée ??

07/04/2008, 12h01	#15 (permalink)
Manumation Rédacteur/Modérateur Date d'inscription: mai 2007 Localisation: Suisse Messages: 1 198	Ok ! Merci, je n'avais pas fait la distinction... __________________ --> Heureux est l'étudiant, qui comme la rivière, peut suivre son cours sans jamais quitter son lit... --> Il n'y a que dans le dictionnaire que "succès" précède "travail"... Pas de MP techniques, svp ! Psst...Ici, viens voir par là... Des questions sur Hijackthis ?

		Forum des développeurs > Hardware, Systèmes et Logiciels > Linux > Sécurité
Mise en Place d'un IDS

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email