Bonjour,
 
On m'a chargé d'installer un IDS dans l'entreprise où je suis en stage et pour le moment, on s'est arrêté à Snort.
 
Mais dans les recherches que j'ai faites, j'ai trouvé prelude (www.prelude-ids.org) qui est un IDS hybride (HIDS+NIDS) qui semble proposer un système complet, qui remplacerait Snort+Acid .
 
Sachant que Snort n'est qu'un NIDS, alors que Prelude fait les 2, j'aimerais savoir si quelqu'un a déjà expérimenté les deux et pourrait m'éclairer sur la pertinence de Prelude à la place de Snort.
 
Merci d'avance...

j'ai essayé les 2 et je dirais snort+acid
 
plus "clair" que prelude
prelude n'est pas mal aussi mais il lui faut une base sql
prelude fourni un peu plus d'informations si je me souviens bien
 
tu peux très bien essayer les 2, tu verras lequel te donne satisfaction

Je pense que je vais m'orienter vers snort, qui paraît effectivement mieux documenté.
En revanche, les deux systèmes demandent une base SQL (PGSQL ou MySQL) sauf si on utilise SnortSnarf pour Snort, si j'ai bien compris.
 
En revanche si tu as testé les deux systèmes, peut-être pourras-tu me dire quel est celui qui consomme le moins de ressources ?? En effet il semblerait que je doive me contenter de vieux matériel (300/400Mhz) pour les sondes, et d'après certaines docs, ça ne suffirait pas.
 
Merci bien pour ton conseil, sinon.

le sql est utilisé sous forme de plugin pour snort, ce n'est pas nécessaire
 
sinon, niveau ressources ce n'est pas évident à dire, ça dépend des plugins utilisés... après prelude à un autre avantage : centraliser plusieurs clients d'un réseau par exemple (un processus serveur sur une machine, un processus client sur les autres), m'enfin c'est selon les besoins
 
je vais me répèter, essaye les 2 car ils ont des fonctions différentes et ça fait quand même un petit moment que je ne les ai plus fait tourner, je me suis arrêté à prelude 0.8.1 en juin 2003 et snort depuis la fin de 2003

snort sur du p166 , 64 mo , hd 10 go ca marche plutot bien. (c encapsulé ds une ipcop).
Par contre le pb d'un ids c le nombre de faux positifs : c halluciant (et la je parle juste de chez moi j'imagines meme pas au taf !!!)

mouai, faut désactiver le plugin de scan de ports sur snort, ça innonde comme c'est pas possible

d'ailleurs je sais pas si tu constatse ca en ce moment : mais cdelire le nombre de vieux vers qui se balade sur le web !!!!
 
SQL_worms entre autr, je capte pas pourquoi et comment il continue de se propager ?

je n'ai plus d'IDS actifs, c'était l'enfer, en plus juste pour me dire que _ducon_à_l'autre_bout_du_monde_avait_lancé_un_scan_de_ports_ ou que _tartampion_dans_son_ranch_du_texas_a_envoyé_4_paquets_icmp_auxquels_j'ai_pas_répondu alors qu'iptables le fait déjà, j'ai seulement ntop qui me sert de rapport-statistiques pour les connexions et débits, bien suffisant finalement

 
Heu le souci là, c'est que je vais surveiller le trafic interne (et peut-être externe, ce n'est pas encore fixé) d'un site qui regroupe près de 700 serveurs (Unix/NT), connecté en interne à 100Mbits voire en Gigabit pour certains segments, et dont la connexion externe est une boucle en fibre optique...
 
Je doute qu'un p166 suffise à logger ce genre de trafic. Si quelqu'un dans l'assemblée a déjà déployé un NIDS dans un environnement équivalent, je serais très intéressé par un retour d'expérience.

ds ce cas parles pro !
 
quels services sur les 700 serveurs.
combien de d'impact seconde (page/s consultée) si serveur bref bref faut en dire un peu +
 
edit : si il s'agit d'une VRAIE sonde, alors tu dois travailler en mode bridge ET mettre deux cartes reseau gigabit (les switch doivent suivre)
une cpu sup au ghz et mini 256mo)
 
Sinon tu peux te tourner sur un packeteer HIDS NIDS

mouai quand même... pas besoin d'une bête de course mais une config aux caractéristiques "serveur" serait la bienvenue je pense, donc de la RAM et une bonne interface de stockage (dédiée si possible afin de minimiser les accès) pour la base de données, après niveau processeur ça doit pas trop mal tourner avec un celeron 400 par exemple, mais la compatibilité du matériel aux interfaces gigabits (généralement pci-x ou pci 2.2) entraînera forcément un processeur plus important, pas au niveau ressources, mais au niveau matériel (carte môman)

J'en ai dit peu parce que j'en sais peu sur les services qui tournent. Ce dont je suis sûr, c'est que c'est extrêmement varié (Serveurs d'application, mail, intranets, bases de données de tout poil...) et que le trafic est très important.
 
C'est là-dessus que j'aimerais avoir quelques estimations pour le dimensionnement de la capacité des sondes.
 
Edit : pas trop à la fois svp
BMO : effectivement les cartes gigabits risquent d'exiger du matos très high-tech...
 
Serait-il envisageable de faire des sondes en couplant plusieurs cartes réseau 100Mbits? Qu'en est-il de la gestion de ces interfaces multi-cartes sous Linux/OpenBSD?

ça dépend comment tu veux le faire, tu peux avoir plusieurs interfaces à écouter sur le réseau (mais ça risque de se répéter peut-être) ou alors tu peux faire par exemple une interface virtuelle avec plusieurs interfaces physiques (bof ici), maintenant l'utilité de le faire est à étudier selon les besoins (volume de données) et surtout la configuration du réseau
 
la gestion de plusieurs cartes ne pose pas de problème, tout dépend de la configuration du réseau

Ok, merci.
 
Si au passage tu as un lien vers un howto "configurer une interface virtuelle à 200Mbits/s full duplex avec 2 cartes réseau sous linux" je prends

ben ça s'appelle du bonding en mode 0 (round-robin)
 
sous linux c'est très simple, tu prends par exemple 2 cartes réseau compatibles 100/FD, tu les montes avec une IP statique chacune et tu les rends esclave de l'interface virtuelle, avec les commandes ça donne ça par exemple :
 

 
tu peux très bien utiliser le bonding sur un client dhcp, l'IP sera attribuée à bond0
 
le problème du bonding maintenant, c'est que ce n'est pas géré partout, je prend ntop par exemple qui n'est pas capable d'écouter sur ce type d'interface actuellement, (mais d'après les mailling-lists c'est en projet)
 
je n'ai pas essayé snort dessus, je peux toujours le remettre (juste à remettre le rpm, la base et la conf sont encore là) si le test t'intéresse

Effectivement le test m'intéresse, si t'as rien d'autre à faire
 
Je prends note de la manip pour configurer tout ça. Les IP que tu donnes 0.0.0.1 et 1.0.0.1 sont valides ? Si j'ai bien compris, elles ne servent à rien en pratique puisque la "véritable" ip du système sera celle de bond0 ?!
 
Question à 2€ : peut-on faire une interface bond0 sans adresse IP, puisque ça va être le cas de mes sondes (justes reliées à des ports SPAN -voire à des taps- en mode promiscuous) ?

bon voilà, j'ai mis un peu de temps à remettre snort en ordre (mode bourrin), mais c'est testé :
 

 
un exemple :
 

 
bien sûr snort est en écoute sur l'interface, je ne pense pas que ce soit possible sans attribuer d'IP... là faudrait voir avec les devels je pense

Dans les docs que j'ai lues, il semble que l'interface qui écoute le réseau en mode promiscuous ne *doit* pas avoir d'ip.
 
J'aurais voulu savoir en fait si la manip pour créer le bonding exigeait qu'on lui donne une adresse... si le bonding se comporte comme une interface normale, ça ne devrait pas être le cas ?

bon, je viens de tester dans ton cas, bon ben ça passe, les 2 interfaces montées sous bond0 sans IP ça fonctionne
 
j'avais l'ipv6 de chargé mais ça n'a pas dû avoir son importance ici

Ok bah merci beaucoup pour tous ces renseignements Ca risque de m'être très utile quand il faudra passer à l'installation et mise en production des sondes.
 
J'espère juste qu'il y aura au moins 2 ports PCI libres