• [^] # Re: question stupide

    Posté par . En réponse à la dépêche Introduction à Snort. Évalué à 1.

    Non à cause des "false positives" : Snort n'est pas infaillible et quelqu'un connaissant bien Snort pourrait tirer parti de ce logiciel pour faire refuser l'accès à une personne 'honnète', voire à tout le monde (DoS). C'est à l'admin de bosser les logs (des progs style swatch peuvent très bien faire 90% du boulot à ta place en isolant les logs suspects de la forêt de lignes innofensives) et de prendre les mesures adéquates.

    Ceci dit il existe un plugin pour automatiser les réponses (ajout de règles ipchains, par exemple), mais cette politique est déconseillée pour tout ce qui n'est pas machine personnelle : si chez toi le fait de ne pouvoir accéder à un service ne fait que te géner 5 minutes, une entreprise subissant un DoS peut perdre beaucoup d'argent. Si tu veux prendre le risque de faire 'DoSer' ta machine, essaie PortSentry qui est pas mal mais bien bourrin (il se connecte sur chaque port non préalablement affecté, et insère des règles de filtrage et/ou des entrées dans /etc/hosts.deny).

    L'administrateur avisé utilisera plutot Snort+SnortSnarf et/ou swatch, avec une base de signatures réduits pour ne pas trop charger la machine. Car Snort sur un 10mbps bien chargé bouffe beaucoup de CPU et commence à dropper des paquets assez rapidement.

    Une initiative assez intéressante est Prélude ( http://prelude.sourceforge.net(...) ), qui demande beaucoup moins de CPU que Snort, mais reste moins abouti que Snort.