Re: Xen + Snort

Jean Baptiste Favre a écrit : Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen. D'autre part, les "bonnes pratique" recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un Dom

Re: Xen + Snort

Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen. D'autre part, les "bonnes pratique" recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un DomU serait peut-être plus adapté.

Re: Xen + Snort

Cornichon wrote: > Pour être plus clair, eth0 est bridgée et permet aux différentes > machines virtuelles d'avoir leur propre IP sur le réseau. Sauf que ce n'est pas clair : si je me souviens bien, le script par défaut de xen renomme l'interface physique et le bridge pour que le bridge porte le mê

Xen + Snort

ent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B) J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0, qui écoute eth0. Mais le problème est que le trafic ne semble pas être "capté" par eth0. Quelles solutions

Re: Snort et Shorewall: blocage dynamique d'adresses IP [Résolu]

Le samedi 24 mai 2008 à 16:42 +0200, Jean-Michel OLTRA a écrit : > Bonjour, > > > Le samedi 24 mai 2008, patrick a écrit... > > > > - comment redémarrer le script *avant* la rotation du fichier log de > > Snort? car sinon SnortShorewall plante silencieusement

Re: Snort et Shorewall: blocage dynamique d'adresses IP

Bonjour, Le samedi 24 mai 2008, patrick a écrit... > - comment redémarrer le script *avant* la rotation du fichier log de > Snort? car sinon SnortShorewall plante silencieusement. Dans le dossier de cron qui exécute la rotation ? Le cron en question utilise run-parts qui trai

Snort et Shorewall: blocage dynamique d'adresses IP

bonjour, j'ai installé un script(1) pour que Shorewall bloque dynamiquement les adresses IP qui font remonter des alertes SNORT: - j'ai installé le script dans /usr/local/SnortShorewall comme indiqué dans l'INSTALL - ce script examine le fichier /var/log/snort/alert pour activer sh

Re: etch et snort-inline

On Wed, Oct 10, 2007 at 08:32:36AM +0200, pascal wrote: > patrick a écrit : > > bonjour, > Bonjour > > Connaîtriez vous un tuto pour installer snort-inline > Oui...et configurer aussi : > http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/117/lg117-G.html &

Re: etch et snort-inline

patrick a écrit : > bonjour, Bonjour > Connaîtriez vous un tuto pour installer snort-inline Oui...et configurer aussi : http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/117/lg117-G.html et la suite là : http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/118/lg118-F.html sous etch/

etch et snort-inline

bonjour, Connaîtriez vous un tuto pour installer snort-inline sous etch/stable ? J'ai déjà snort-mysql+base: - j'aimerais que mon install soit davantage IPS que IDS... Merci de vos avis/conseils. -- --- Ma c

Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

Le Mercredi 17 Janvier 2007 17:58, [EMAIL PROTECTED] a écrit : > Personnellement c'est aussi une installation local (1 seul post) que > j'aurais à faire, > je ne sais pas si je peux te demandé un petit morceau de log (histoire > de voir si il est aussi performant qu'il en a l'aire) > avec les sorte

Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

/www.ossec.net/fr/manual.html c'est vraiment parfait (en français en plus) merci d'avance ;) Laurent Besson a écrit : Le Mercredi 17 Janvier 2007 03:37, [EMAIL PROTECTED] a écrit : mais j'ai eu un très bonne avis sur http://www.ossec.net/fr/manual.html OSSEC HIDS (j'

Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

Le Mercredi 17 Janvier 2007 03:37, [EMAIL PROTECTED] a écrit : > mais j'ai eu un très bonne avis sur > http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et > celui ci maintenant) Un petit retour... L'installation (type local) un bonheur !!! :) D'

Re: RE : question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

Je te remercie, j'avais quelque rétissance sur Snort (par sa popularité, et son système de régle de filtrage à mettre à jours) j'ai lu sur différent site que Snort été vraiment bien, mais j'ai des doutes, si par exemple une personnes utilise une attaque maison, l'éffic

Snort et IP source

Bonjour, J'utilise Snort juste pour la curiosité en conjonction avec Acidbase pour visualiser tout ça. Je remarque que l'interface me signale pas mal de chose avec mon adresse IP comme source pour ce genre de "signature" : #0-(45-108) [snort] (portscan) TCP Portswe

snort et logrotate (cron weekly cron monthly)

Bonjour, Après chaque lot de tâches cron hebdo ou mensuelles, je constate que le fichier de log de snort n'appartient pas à l'utilisateur approprié (user: snort) : - je change donc l'user manuellement avec chown (l'user est root alors que snort attend un user 'snort'

Re: snort et blocage des ports

manop a écrit : bonjour, je me disais, même si je suis sous linux, plus sous windows (je me souviens de zonealarm), qu'il faudrait que j'installe un firewall. J'ai installé snort, qui tourne en permanence, très bien. Qui détecte bien des intrusions (par exemple un Ms SQL wo

snort et blocage des ports

bonjour, je me disais, même si je suis sous linux, plus sous windows (je me souviens de zonealarm), qu'il faudrait que j'installe un firewall. J'ai installé snort, qui tourne en permanence, très bien. Qui détecte bien des intrusions (par exemple un Ms SQL worms), très

Re: snort archive

b a vraiment besoin d'une mise à jour ... et d'un développeur upstream :( Alban PS: je compatis pour avoir mis en place ce type d'installation. Par contre je regrette de ne pas avoir envoyé de rapport de bug à cette époque :-/ Maintenant... Si on essaie d'installer acidlab ET sn

Re: snort archive

> pascal a écrit : > Oui, c'est ce que j'ai fait aussi cependant la config d'acidlab impose > une base d'archiver donc > tu comprend ma perplexité. surtout que je ne vois pas de script qui > permettent un rapatriement dans une base d'archiver. > Bon ça fonctionne, mais j'aimerai éclaircir le troub

Re: snort archive

Georges Roux a écrit : Oui, c'est ce que j'ai fait aussi cependant la config d'acidlab impose une base d'archiver donc tu comprend ma perplexité. Pas trop...Mais c'est pas grave... surtout que je ne vois pas de script qui permettent un rapatriement dans une base d'archiver. Bon ça fonctionne,

Re: snort archive

pascal a écrit : > > Salut, > Acidlab propose de creer une base d'archive à l'installation. > Je ne sais pas si c'est la solution idéale mais pour ma part j'ai mis > la même base que la base d'alerte avec même utilisateur (celle crée à > l'i

update php snort-mysql et acidlab

Bonjour Suite à l'installation de libphp-adodb sous testing j'ai eu un message d'avertissement disant que le chemin d'include de php avait changé et que l'on devait modifier le php.ini (/usr/lib/adodb --> /usr/share/adodb) Ma question est simpleComment modifier ce fichier car je ne vois au

Re: snort archive

Georges Roux a écrit : J'ai installé snort-postgres sur Sarge, debconf me propose de créer une base de log sur postgres avec create_postgresql.gz c'est fait, par contre quand l'installation d'acidlab requiere aussi une base d'archive des log de snort. ou trouver la p

snort archive

J'ai installé snort-postgres sur Sarge, debconf me propose de créer une base de log sur postgres avec create_postgresql.gz c'est fait, par contre quand l'installation d'acidlab requiere aussi une base d'archive des log de snort. ou trouver la procédure pour créer cette

snort et mise à jour des regles

Bonjour J'aimerais savoir comment vous mettez à jour vos régles snort ? Est-ce que lorsque les régles de snort (à partir de leur site) sont mises à jour, le package snort-rules-default est lui aussi mis à jour. Dans ce cas là a quoi sert le paquet oinkmaster ? J'espère avoir

Re: Message snort: m'attaquerait-on ?

immédiatement stoppé samba qui tourne, qui > plus est, pour rien sur ma > machine. Est-ce que tu pourrais nous donner plus d'info sur ton architecture réseau : Quelle est ton adresse publique ? Est-ce que tu utilises un firewall ? Où est installé ton snort ? Et toutes informations qui n

Message snort: m'attaquerait-on ?

it au moins trois fois plus ! J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rien sur ma machine. Puis je suis allé voir du côté des messages de snort dont j'ai simplement installé les packages sans aucune configuration particulière autre que celle mise en place lors de

[HS] retour d'expérience de snort-inline

Bonjour à tous 4 petites questions concernant snort-inline : Est-ce qu'il existe un paquets stable ? Est-ce que son fonctionnement est identique à snort ? Est-ce qu'on peut utiliser Oinkmaster avec snort-inline et sans intervention humaine ? Qu'en pensez vous? On n'est pa

[HS] retour d'expérience de snort-inline

Bonjour à tous 4 petites questions concernant snort-inline : Est-ce qu'il existe un paquets stable ? Est-ce que son fonctionnement est identique à snort ? Est-ce qu'on peut utiliser Oinkmaster avec snort-inline et sans intervention humaine ? Qu'en pensez vous? On n'est pa

Re: snort - comprends pas

un sait-il ? C'est grave docteur ? Cordialement Nicolas Tu te serai fait sniffer ? Sinon j'ai trouvé ça, concernant les allertes de snort et ses 'bugs', aussi :' ? http://linuxgw.phj.hu/acidlab/acid_stat_alerts.php?caller=last_alerts&sort_order=last_d Note

snort - comprends pas

Bonjour, J'ai reçu ça ce matin (c'est la première fois que je reçois un tel message de mon pc) : Events between 07 21 01:30:26 and 07 21 02:50:46 Total events: 4 Signatures recorded: 2 Source IP recorded: 2 Destination IP recorded: 2 Events from same host to same destination using same method

snort

probleme avec snort (ss doute depuis maj -> V.2.1.1-1 relachee en mars) snort plante au lancement avec une erreur FATAL ERROR unknown preprocessor " ]^\^H_decode" (/var/log/daemon) j'ai fini par tout desinstaller, tout reinstaller (snort, snort-common, snort-rules-default)

Re: Snort 2.0.2

Re-bonsoir, En cherchant un peu dans le fichier de conf, j'ai pu trouver la variable à utiliser (pas super bien documenté quand même...). La ligne suivante permet d'éviter le problème que j'avais cité : preprocessor portscan2-ignorehosts: $ppp0_ADDRESS/32 Voila, ça pourra aider quelqu'un plus

Re: Snort 2.0.2

> ># > ># preprocessor portscan2-ignorehosts: 10.0.0.0/8 192.168.24.0/24 > ># > > Est ce que je devrais rajouter une ligne "preprocessor > portscan2-ignorehosts: " ? > Si oui, comment mettre l'ip de eth0 puisqu'il est dynamique ? portscan2-ignorehosts: localhost ne marche pas par hasard? Franç

Snort 2.0.2

Bonsoir, J'ai l'IDS Snort 2.0.2 installé sur une Debian SID. Il est configuré pour écouter tout ce qu'il se passe sur l'interface ppp0 qui possède un IP dynamique qui change donc régulièrement. Seulement voila, un logiciel de p2p est installé sur la machine et ping énormém

Re: snort-mysql et acidlab

hendrickx guy wrote: > bonjour > par soucis de securitée je voudrait installer snort et acidlab > (interface en php pour snort) > j'ai donc installé et configuré snort-mysql > puis acidlab lors de l'installation d'acidlab je doit definir les bases > de données rel

snort-mysql et acidlab

bonjour par soucis de securitée je voudrait installer snort et acidlab (interface en php pour snort) j'ai donc installé et configuré snort-mysql puis acidlab lors de l'installation d'acidlab je doit definir les bases de données relatives a snort mais elles ne sont pas encore crée

Re: [Limite HS] utilisation de snort

Mourad Jaber a écrit: Bonjour, je cherche à faire fonctionner snort, j'ai fait un apt-get du paquet, tout c'est bien passé, maintenant, je reçois des mails de "daily report" avec rien dedans : The log begins from: :: The log ends at: :: Total events: 0 Signature

[Limite HS] utilisation de snort

Bonjour, je cherche à faire fonctionner snort, j'ai fait un apt-get du paquet, tout c'est bien passé, maintenant, je reçois des mails de "daily report" avec rien dedans : The log begins from: :: The log ends at: :: Total events: 0 Signatures recorded: 0 S

Re: snort

dédé le homard wrote: bonjour tout le monde, bonsoir. à propos de snort, celui ci détecte les attaques , mais ensuite, est ce qu'il peut bloquer le ou les ports attaqués ainsi que les ordinateurs coupables, ou est ce juste un outil (très intéressant ) d'information ? Je ne sais p

snort

bonjour tout le monde, à propos de snort, celui ci détecte les attaques , mais ensuite, est ce qu'il peut bloquer le ou les ports attaqués ainsi que les ordinateurs coupables, ou est ce juste un outil (très intéressant ) d'information ? merci de vos réponses. ciao.

Configuration de Snort...

Bonjour à tous. Je tente de configurer actuellement SNORT sur une woody. L'installation de base fonctionne correctement mais je voudrais apporter deux modifications qui me pose probléme. Si l'un d'entre vous avait rencontré et résolu ces problèmes... 1. Une de mes stations util

Re: Snort + ppp0

Le Wed, 12 Mar 2003 16:40:55 +0100, "Fabrice Grelaud" <[EMAIL PROTECTED]> a écrit : > > > > > Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour > > > écouter sur l'interface connecté à l'Internet (ppp0) en adsl. > > L

Re: Snort + ppp0

> > Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour > > écouter sur l'interface connecté à l'Internet (ppp0) en adsl. L'objectif est que snort écoute seulement sur l'interface Internet. L'autre interface qui est une adr

Re: Snort + ppp0

Le mercredi 12 mars 2003, Fabrice Grelaud a écrit... bonjour, > Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour > écouter sur l'interface connecté à l'Internet (ppp0) en adsl. > Et comment s'assurer qu'il redémarrera après le chgt d'

Snort + ppp0

Bonjour la liste, voilà j'ai un souci avec la config de snort. Ce dernier est installé sur ma passerelle ou ce trouve aussi mon fw netfilter. Comment dois-je configurer snort (snort.conf, snort.debian.conf) pour écouter sur l'interface connecté à l'Internet (ppp0) en adsl. Et co

Re: Snort

Le mardi 11 février 2003, Mathias a écrit... bonjour, > J'ai installé snort mais j'ai un problème : si je le lance > (/etc/init.d/snort start) je n'ai pas de message d'erreur mais rien ne > se lance. > D'autre part je n'ai pas trop compris les f

Re: Snort

On 11 Feb 2003 02:43:00 + Mathias <[EMAIL PROTECTED]> wrote: > J'ai installé snort mais j'ai un problème : si je le lance > (/etc/init.d/snort start) je n'ai pas de message d'erreur mais rien ne > se lance. Comme au début il y a "test $DEBIAN_SC

Re: Snort

On 11 Feb 2003 02:43:00 + Mathias <[EMAIL PROTECTED]> wrote: > > Si je lance snort : snort -c /etc/snort/snort.conf ça marche alors que > snort -c /etc/snort.debian.conf ne marche pas, et pourtant dans > /etc/init.d/snort il y a un lien vers /etc/snort/snort.debian.conf.

Snort

J'ai installé snort mais j'ai un problème : si je le lance (/etc/init.d/snort start) je n'ai pas de message d'erreur mais rien ne se lance. D'autre part je n'ai pas trop compris les fichiers de config : dans /etc/snort j'ai (entre autres) snort.conf et snort

SNORT

Bonsoir, J'ai quelques petits problemes avec snort. J'utilise 2 interfaces reseau: pppoe et eth1 Vous l'aurez deviné, ma débian sert de passerelle. J'ai installé snort et il tourne à merveille. Cependant, la configuration (bien que j'aie essayé plein de trucs do

Re: problem installation snort-acid

On Tue, Sep 24, 2002 at 01:23:32PM -0300, mdwax wrote: > Bonjours, > > Je souhaite installe snort-mysql et acid sur ma woody toute propre. > > Lors de l'install par apt-get j'ai : > > dmahot:/home/mdwax# apt-get install --reinstall snort-mysql > Readin

problem installation snort-acid

Bonjours, Je souhaite installe snort-mysql et acid sur ma woody toute propre. Lors de l'install par apt-get j'ai : dmahot:/home/mdwax# apt-get install --reinstall snort-mysql Reading Package Lists... Done Building Dependency Tree... Done 0 packages upgraded, 0 newly installed, 1 rein

snort

Bonjour, J'ai dû réinstaller snort, mais il ne se lance plus lors des connections ppp, bien que le pid soit présent. * FATAL ERROR: Failed to lookup for interface: no suitable switch found. Please specify one with -i switch * Je n'ai rien vu dans les archives ni dans les bogues. J

snort et CVE

bonjour, voila, je sais que snort a possibilite de fournir le numero CVE, cert ou sans can de l'attaque loggee...il faut que je recupere ce(s) numero(s), mais pas moyen dans les logs! En ultime solution, j'ai lance nessus sur la cible avec toutes les attaques possibles (y comp

Re: -- Snort --

Stef wrote: > > Bonsoir, > > J'ai quelques problemes avec snort. > > J'ai installé snort en faisant un apt-get install snort. Cela s'est tres > bien passé... > Je me suis vite rendu compte que malgré l'existence du script > /etc/init.d/snort sn

Re: -- Snort --

l'heure actuelle de faire un script qui va lire mon ip > sur ppp0 grâce au résultat de la commande ifconfig et de relancer snort > avec ces nouveaux parametres...) Sur ma vieille patate, il y a tout ce qu'il faut pour lancer snort à la connexion, mais j'ai certainement modifié

-- Snort --

Bonsoir, J'ai quelques problemes avec snort. J'ai installé snort en faisant un apt-get install snort. Cela s'est tres bien passé... Je me suis vite rendu compte que malgré l'existence du script /etc/init.d/snort snort ne démarre pas au boot, ni même après avoir fait tour

Re: champ ID des logs snort et iptables

bonjour, ok merci pour la confirmation. Le pire c'est que j'avais vu la page mais que je n'avais pas vu l'explication...comme quoi des fois, le cafe ne fait pas tt :) Effectivement, c'est pour faire du filtrage et de la comparaison : avec ce critere je n'ai donc plus qu'une chose a verifier.

Re: champ ID des logs snort et iptables

Bonjour, > j'aimerais juste avoir confirmation de ce que je pense : est ce que le > champ ID des logs snort et iptables represente bien pour un paquet un > identifiant unique ou alors est-ce un numero dependant du logiciel? > > Je crois que c'est dependant du

champ ID des logs snort et iptables

bonjour, j'aimerais juste avoir confirmation de ce que je pense : est ce que le champ ID des logs snort et iptables represente bien pour un paquet un identifiant unique ou alors est-ce un numero dependant du logiciel? Je crois que c'est dependant du paquet seulement, mais je n&#

Snort et subnet

Bonjour a tous, J'utilise snort avec mysql & demarc (outils web pour entre autre, exploiter les resultats de snort) sur un reseau contenant 2 classes C divisees en plusieurs sous reseau (8 par classes). Pour faire en sorte que snort arrive a "capter" tous les evenements se p

Re: snort (Etait: Re: [OT] Prelude)

rt.org te donnera tout ce que tu cherches sur snort et n'est pas vraiment dur à trouver (le logiciel libre dont il est question s'appelle *snort*, faut il le rappeler). A+ Amaury PS : Si suite il y a, faisons ca par mail perso plutôt que sur la liste.

Re: snort (Etait: Re: [OT] Prelude)

X-No-CC: do not CC me on replies : I subscribe to this list On Thu, Sep 06, 2001 at 04:59:59PM +0200, Amaury Amblard-Ladurantie wrote: > Si tu avais pris le temps de chercher 2 secondes, tu aurais également pu les > trouver. ho ! J'suis pas là pour me faire engueuler ! Môsieur le magicien... Je

Re: snort (Etait: Re: [OT] Prelude)

> > Les gros plus de snort sont > > - sa base d'utilisateur qui mettent à jour les signatures à vitesse V > tout ça m'intéresse bcp. Peux-tu également étayer ? ;) > mettent à jour ? The latest and greatest signatures from CVS checkout. This is a CVS snapshot of t

snort (Etait: Re: [OT] Prelude)

salut à toutes et à tous ;-) On Thu, Sep 06, 2001 at 04:19:46PM +0200, Amaury Amblard-Ladurantie wrote: > peux tu étayer une telle afirmation de quelques arguments soigneusement > choisis (par mail perso si nécessaire) ? > Les gros plus de snort sont > - sa base d'utilisat