Discussion :

[kippix]

lu tous le monde

je suis tjs sur mon script de firewalling, est donc je m'interesse a la journalisation maintenant.

Je voudrai savoir quel est la politique que vous utilisez:

Logger le traffic entrant, sortant
ou
logger par interface....


???
Merci

[kippix]

Ah oui je voulais aussi savoir comment vous analysiez vous log.

Avec un logiciel type log analyzer?

Parce que en fait j'ai pas envie de mettre un serveur apache sur mon firewall, pour des raison de sécurité

PS: dit moi gorgonite avec ton munin si je place une node sur mon firewall je peu analyser mes log via une autre machine non?

[_solo]

perso je log les traffic entrant sortant , par interface mais aussi les autres paquets droper et rejeter , pour les analyser .....vi ou de grand coup de grep dans les dits journaux.

++

[kippix]

oui solo,
mais tu ne fait jamais de stats, cela peu s'avérer nécessaire pour aussuré une traçabilité.

Sinon j'ai tester firewalleyes mais le probleme et qu'il a besoins d'un serveur web
(comme la majorité des solutions de journalisation que j'ai pu trouver)

Alors perso mettre un apache+mysql sur un firewall moi je trouve pas ca top question sécu.

Du coup pour testé firewalleyes j'ai pensé l'herberger sur un autre serveur et rapatrier /var/log/message sur ce derrnier avec cron+ssh.
Mais la encore pour le script il faut mettre le mdp en clair --> secu pas top

Sinon je pensais a munin, vu qu'il permet de récuperer des infos via des nodes, mais il n'existe pas de plugins "log_iptables" donc bon ...

Avez vous une idée pour récuperer les log de mon iptables vers une autre machine ?

[troumad]

Les log de Iptables saturent rapidement les fichiers de log. Pour celà, il existe ulog.

# Pour les log
$ipt -A INPUT -j ULOG
# voir http://olivieraj.free.fr/fr/linux/in.../fw-03-09.html

[_solo]

mais tu ne fait jamais de stats

si de tant en tant je branche une sonde prelude pour faire des stats ( histoire de dire qu'il faut augmenter mon salaire mais ca marche pas trop ses temps ci ) et avoir des arguments pour l'achat de materiel et l'embauche de personne ...enfin j'essaie mais c'est fatiguant les coups d'epeee dans l'eau

merci pour firewalleyes je connaissait pas

[kippix]

De rien moi je connaissais pas prelude ^^

d'ailleur question IDS il existe quoi comme solution?

y'a snort a ma connaissance maitenant prelude et puis ....

[_solo]

ben il y a snort et les differents 'trucs' qui s'appuient sur lui : ACID , RAZORBACK , MIDAS , BASE

AIDE , tripwire , fcheck , SAMHAIN permet d'analyser l'integriter de donnees.

AAFID , BRO aussi puissant que prelude et snort si ce n'est plus , PADS , OSIRIS .

y en avait d'autres mais comme je vais pas voir ses sites souvent je viens de remarquer que certains sont tomber par manque d'interet par la communautes va falloir mettre a jour mon bookmark

Pour ceux qui se demande de quoi sa en retourne une faq sur les ids http://www.sans.org/resources/idfaq/
une RFC que les grands du secteur essaie de respecter dans leur produit http://www.rfc-editor.org/rfc/rfc2267.txt