voilà, j’ai un petit problème très simple : je bosse sur les logs de iptables, et à partir de ces logs je dois récupérer des informations sur d’éventuelles activités suspectes (en gros). On nous a dit notamment de récupérer et faire des stats sur les paquets malformés, par exemple.
On a donc demandé conseil à un prof de sécu info qui nous a dit que de base, on pouvait pas capter grand chose d’intéressant pour notre projet à partir des logs qu’on avait (forme imposée), mais qu’en plus selon certains critères, parfois ben les paquets n’étaient tout simplement pas loggés par iptables…et je cherche justement ces « critères ». Il a dit que y’avait de la doc sur le site de iptables, je n’ai pas trouvé quoi que ce soit d’intéressant de ce côté. Google est aussi resté muet (et pourtant je suis allé jusqu’à chercher « iptables ne logge pas tout », c’est pour dire).
Donc si quelqu’un avait un ou deux éléments de réponse, une p’tite URL, une documentation de trop…
[quote name=‹ EvilGuinness › date=’ 21 Feb 2005, 02:59’]voilà, j’ai un petit problème très simple : je bosse sur les logs de iptables, et à partir de ces logs je dois récupérer des informations sur d’éventuelles activités suspectes (en gros). On nous a dit notamment de récupérer et faire des stats sur les paquets malformés, par exemple.
On a donc demandé conseil à un prof de sécu info qui nous a dit que de base, on pouvait pas capter grand chose d’intéressant pour notre projet à partir des logs qu’on avait (forme imposée), mais qu’en plus selon certains critères, parfois ben les paquets n’étaient tout simplement pas loggés par iptables…et je cherche justement ces « critères ». Il a dit que y’avait de la doc sur le site de iptables, je n’ai pas trouvé quoi que ce soit d’intéressant de ce côté. Google est aussi resté muet (et pourtant je suis allé jusqu’à chercher « iptables ne logge pas tout », c’est pour dire).
[right][post=« 334664 »]<{POST_SNAPBACK}>[/post][/right][/quote]
Ben ce que iptable log ou pas, ca depend completement de la conf iptable que tu as definit
Apres si iptable est pas assez precis pour toi (si par exemple tu veux loger tous les packets dont le Xeme bit est a 1 ou ce genre de choses), tu peux toujours utiliser libipq pour recuperer certains packets et les faire analyser par ton programme et en faire ce que tu veux (les droper par exemple).
Sinon ca ressemble quand meme pas mal a un IDS ce que tu decris, regarde si snort par exemple ne fait pas ce dont tu as besoin plutot que recoder un truc.
[quote name=‹ BokLM › date=’ 22 Feb 2005, 07:02’]Ben ce que iptable log ou pas, ca depend completement de la conf iptable que tu as definit
Apres si iptable est pas assez precis pour toi (si par exemple tu veux loger tous les packets dont le Xeme bit est a 1 ou ce genre de choses), tu peux toujours utiliser libipq pour recuperer certains packets et les faire analyser par ton programme et en faire ce que tu veux (les droper par exemple).[/quote]
Je ne sais pas si c’est tout à fait la même chose : je parlais en-dehors de toute conf’ des tables, quelque chose de vraiment interne au programme qui fait qu’il ne logge pas certains paquets malformés de base (je me souviens vaguement d’une histoire de paquets trop gros ou du genre).
Sinon, je ne dois me servir vraiment que de iptables, justement…sinon je n’aurais aucun problème.
[quote name=‹ BokLM › date=’ 22 Feb 2005, 07:02’]Sinon ca ressemble quand meme pas mal a un IDS ce que tu decris, regarde si snort par exemple ne fait pas ce dont tu as besoin plutot que recoder un truc.
[right][post=« 334932 »]<{POST_SNAPBACK}>[/post][/right][/quote]
Sans le savoir tu es le Devin
C’est dans le cadre d’un projet technique, et le sujet à l’origine revient effectivement à de la détection d’intrusion sur des logs de firewall comme tu l’as deviné…on n’a pas mis trop longtemps à découvrir que ce n’était pas possible. Je passe les péripéties et les modifications du sujet au fur et à mésure qu’on s’est rendu compte que les logs iptables ne permettaient VRAIMENT pas de faire ce qu’on voulait à la base. Mais c’est comme ça, on ne doit bosser qu’avec ça.
J’avais bossé avec snort, c’est impecc’, c’est clair…j’ai même bossé sur les logs snort+tables qui permettent de faire un tas de trucs marrants quand on les compare, et qd on compare les logs à différents endroits d’un réseau d’entreprise.
En tout cas, merci de ton aide. On doit rendre le truc pour dans 15 jours, et pour info on s’est basés sur Firewall Eyes qui nous mâchait de manière sympathique le boulot en matière de présentation.
Vivil - actuellement en DESS réseau et qui recherche un stage de 3 à 6 mois à compter du 1er avril prochain…hésitez pas je suis preneur d’un peu tout
