Snort sur OpenSuse

[showpath]

Salut à tous!

Je suis actuellement en stage où je dois réaliser la mise en place de l'IDS Snort sur OpenSuse avec une base de données MySQL.

J'ai bien installé les packages et le programme à l'air de bien fonctionner. Je souhaite également utiliser l'interface Web BASE, pour ceux qui connaissent.

Mais bon je galère un peu et je ne sais pas trop comment tester le système. J'aimerais également tester la notification par mail en cas d'alerte.

Merci d'avance! :)

[@YvesJean01@]

Bonjour, tu veut testez la base de données qui sera utilisée par Snort si je comprend bien.

[showpath]

Bonjour et merci de ta réponse!

En fait ce n'est pas vraiment la database que je veux tester, mais plus le système même.

Je voudrais par exemple faire des tests d'attaque pour vérifier si mon système est bien opérationnel.

Je voudrais également activer et tester l'option de notification par mail avec BASE. (si quelqu'un a un p'tit tuto pour BASE je suis plus que prenneur!)

[@YvesJean01@]

Pour les bonnes pratique et pour un test rien ne vaut le choix d’un logiciel, tu pourra retrouver sous ce Nessus et Snort … mais tu la déjà ce dernier ! alors Celui la devrait etre a ton pied, pour du sur mesure. les deux dernier sont des .pdf un peut long a charger.

Bonne lecture

[showpath]

Merci, je m'y mets de suite!!

[showpath]

Bonjour,

J'ai lu les deux documentation, mais je n'ai rien trouvé expliquant comment tester le système. Rien non plus sur la configuration de BASE.

Snort ne détecte pas les tentatives de scan du réseau local, est-ce normal? J'ai peut-être mal fait mon paramètrage.

[@YvesJean01@]

Snort doit été dotés d’une fonctionnalité de réaction automatique à certains types d’attaques.
tu doit pouvoir créer des regles, jette un coup d'oeil sur ce .PDF

[showpath]

Super!

J'ai plus ou moins trouvé réponse à ma question pour les tests de snort. En fait mon problème est le suivant:
Le poste sur lequel est installé la machine fait office de firewall, il a deux pattes ethernet. Le problème est que snort ne scan que les flux arrivant sur la patte eth0. J'ai configurer le fichier /etc/sysconfig/snort dans lequel on peut configuer l'option, mais le problème persiste même après démarrage. Je dois également tapper à chaque démarrage les commandes:
PCAP_FRAMES=Max
export PCAP_FRAMES

Sinon même les scans sur eth0 ne fonctionne pas.

Je cherche toujous également à configurer la notification par mail.

En tout cas merci de m'aider, les docs sont vraiment instructives!!

[Jackwade]

Bonjour,

As tu essayé de désactiver ton firewall pour voir si tu as tjrs le même problème
_________________
Allez les Verts, c'est cette année ou jamais !!

[showpath]

Bonjour,

Oui, toutes les règles sont désactivées. Quand j'execute la vérification de config tout est ok:

snort -T -c /etc/snort/snort.conf

Snort se logue bien à la base de données mais n'écrit rien dedans...

Et toujours ce problème, je ne peux pas sniffer sur les deux interfaces ethernets.

[@YvesJean01@]

Revérifie la config et en particulier l'argument --with-mysql, regarde dans l'Installation des regles SNORT.
Et pour Sniffer les réseaux eth0, ppp0 .

[showpath]

Il semble en fait que plusieurs utilisateurs de snort aient ce problème (sniffer sur plusieurs interfaces en même temps).
Une solution consiste donc à lancer snort plusieurs fois en précisant l'interface: snort -i eth1 -c /etc/snort/snort.conf.

Enfin il était logique en fait que BASE ne peut pas envoyer automatiquement de mail d'arlerte. En effet, base est une interface web en php. Ce n'est donc pas un processus qui est actif tout le temps. BASE permet juste d'envoyer des rapports une fois l'arlerte constatée à l'aide de l'interface. Désolé si je vous ai fait perde du temps sur ce problème là.

Il existe un plugin pour snort qui s'appelle swatch, permettant d'envoyer des notifications par mail. Par contre je ne l'ai pas encore testé (pas dispo sur Open Suse en version compilée).

Merci encore, je continue mes tests. Si quelqu'un à de la doc sur les pré-processeurs de Snort, je suis prenneur!!

[Jackwade]

J'ai peut être ce qu'il te faut : http://www.scribd.com/doc/16368114/Premiers-Pas-Avec-Snort
_________________
Allez les Verts, c'est cette année ou jamais !!