Firewall references aide

Merci Mamie Mando

Mais Je cherche plus des informations sur la référence de l'attaque SID: 2402000

Pas sur les ip a proprement parler.

Comme stipuler ci-dessus

Date: 09/04 08:49:13 Nom: ET DROP Dshield Block Listed Source group 1
Priorité: 2 type: Misc Attack
Info IP: 208.100.26.228:51661 -> 192.168.1.80:15672
Références: http://feed.dshield.org/block.txt
SID: 2402000


ça montre un flux qui a été bloquer provenant de L'IP 208.100.26.228, snort voie ça comme une attaque ou un scan suspect, peu importe ce n'est pas cela qui m'intéresse, si vous regarder bien il met une référence qui est forcément liée à snort http://feed.dshield.org/block.txt identifier dans les rules avec le numéro 2402000.

Comme je les dis plus haut les informations lier à L'IP ne m’intéresse pas, je s ce n'est pas si vous avez eu snort entre les mains et regarder vos logs, mais ça m'étonnerait, car vous serriez comme moi à vous demander ce que cela signifie cette référence qui ne correspond pas grand chose dans l'imédiat.

C'est exactement ça MamieMando c'est pour ça que je sollicite votre aide mon objectif est de coder un petit site en Php qui va référencer toutes ces références et dire à quoi cela correspond chaque SID, vus que le site snort apparemment n'a plus ça base de données sur les SID ou que c'est en anglais et bien je voudrais faire une traduction pour tout ça.

Et je suis sur que plein de personne qui on des firewall linux/unix comme ipcop ou autre avec ces historie de logs veule savoir ce qui se passe et a quoi correspond ce logue un autre exemple de logs :

Date: 09/04 14:12:23 Nom: ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
Priorité: 2 type: Attempted Information Leak
Info IP: 209.222.99.42:5095 -> 192.168.1.80:5060
Références: https://doc.emergingthreats.net/2011716
https://www.rtcsec.com/
https://github.com/EnableSecurity/sipvicious
SID: 2011716


Là on comprend bien tous! qu'il y a eu tentative de scan suspect mais ! quoi exactement, je ne sais pas si vous comprenez l'objectif justement de détaillée tout ça de façon plus claire et surtout l'utilité car, je mets justement aux défis des personnes qui on Ipcop de me retourner en détail les informations et de savoir exactement ce qu'il advient de ces logs avec snort, la plupart ne savent pas puisque c'est jute c'est très mal documenter ou alors, auront une vague idée de ce à quoi cela correspond.

Le truc c'est que je ne sais pas où tu peux trouver cette information, donc à part chercher sur Internet (ce dont tu es capable) ou regarder le code source / la configuration de snort, je ne vois pas trop comment t'aider...

Ok pour faire cours juste comme ça à tu un firewall ? et si c'est le qu'a, quelle information te permet de connaitre exactement ce que signifient tes logs par ce que savoir lire UDP/TCP et utiliser Nmap pour comprendre les attaques et scan ok c’est bien mais concrètement les logs ne te donnent qu'un descriptif minimaliste .

et ça :
l’ICMP - UDP etc.


Ok chapeaux ta listé les protocoles et après? là tu me sors une information minimaliste au pire montre-moi STP un log détaillé d'une de tes règles voir si c'est si bien détaillé, car j'en suis sûr que tu regarde tes logs tu n'as qu'une vague idée car techniquement parlant il te faut plus que 2 protocoles j'espère que tu me comprends.

Si maintenant ton Netfilter UFW ne référencerait en aucun qu'à ce que signifient tes logs tu ne pourrais savoir ce que veulent dire les logs, Nmap pour le scan certes et très bien met pas suffisant en lui-même pour faire des attaques il faut une multitude d'outils avec pour enfin arriver à quelque chose, alors certes les informations minimalistes donnent des indications pour savoir à quoi cela correspond mais justement c'est le tout le problème pour moi ce n'est pas assez détaillé.

Alors montre-nous un de tes logs pour voir exactement si c'est plus détaillé.

D'après ce que j'ai vu dans les codes source de snort celui-ci filtre les ports, suivant ces ports il les classe par catégories ce qui déclenche le descriptif minimaliste des logs, la catégorie en elle-même contient des numéros lier à un descriptif qui va se déclencher quand le rule sera lancer avec snort.

Et le plus troublant c'est que je ne voie aucune mention des NUMÉRO SID quelque part en fait j'ai regarder en long en large le code source grosso modo la catégorie regroupe un ensemble ports qui correspondent par exemple au mail, au SIP etc .

cette catégorie est liée à un numéro qui lieur même est lier un descriptif de cette catégorie mais voilà ce n'est tout rien d'autre, je me suis dit quand analysant les sources je verrais forcement leur base à donner SID mais que Nini.

Je crois que tu n'as décidément pas compris la question. La question n'est pas sur l'utilité de snort ou son utilisation (ni ufw d'ailleurs). La question réside sur comment documenter des règles snort.

Et quoi qu'il en soit, même si quelqu'un de déterminé arrivera peut-être à contourner snort mais; si ça permet d'éliminer la plupart des kiddies et des bots ce sera déjà ça de pris.

Et enfin sa discussion sur ufw était juste une manière de te faire comprendre ce dont il avait besoin : ici aussi, la raison pour laquelle telle ou telle règle ufw a été configurée n'est pas toujours "évidente" et est une réponse à une attaque. La question n'est pas qu'est ce qu'elle bloque, mais pourquoi elle a été mise en place.

Si tu veux disserter sur l'utilité de ufw et de snort, je t'invite à ouvrir ton propre fil de discussion ; si tu veux poster ici, merci de bien vouloir de concentrer sur le problème posé.

Merci je vais regarder ça :-)