Bonjour à tous,
Je ne veux surtout pas relancer le débat sur snort ou pas, si c'est là qu'il le faut ou non, etc ...
J'ai activé snort sur l'interface rouge et j'ai appliqué les règles VRT. Je souhaite maintenant installer Guardian !
Est-ce que quelqu'un a installé l'addon Guardian sur cette version ?
Quel est le bénéfice apporté ?
Je précise que c'est pour une petite entreprise de 30 PC dans un secteur sensible mais pas trop. Je précise aussi que j'ai déjà installé Bot et qu'il existe, sur un serveur distinct, un Squid+SquidGuard (avec les blacklists de l'université de Toulouse/Mirail) mais ça n'a pas grand chose à voir avec la question.
Merci d'avance de vos réponses.
Bon travail à tous.
IPCop 1.4.21 + Guardian
Modérateur: modos Ixus
5 messages
• Page 1 sur 1
IPCop 1.4.21 + Guardian
par betienne » 14 Jan 2010 15:57
- betienne
- Second Maître
- Messages: 32
- Inscrit le: 09 Jan 2010 15:34
- Localisation: Toulouse
par fleib » 11 Fév 2010 09:52
Salut,
Si tu as déjà un squid+squiguard sur une autre machine, pourquoi vouloir l'installer aussi sur le parefeu? Il a déjà été dit sur ce forum que le proxy doit être séparé du parefeu... Je ne comprends pas bien ta demande...
FL
Si tu as déjà un squid+squiguard sur une autre machine, pourquoi vouloir l'installer aussi sur le parefeu? Il a déjà été dit sur ce forum que le proxy doit être séparé du parefeu... Je ne comprends pas bien ta demande...
FL
-
fleib - Lieutenant de vaisseau
- Messages: 205
- Inscrit le: 28 Mai 2009 14:50
- Localisation: St Paul / La Réunion
par jdh » 11 Fév 2010 11:35
C'est évidemment la bonne réponse.
Si on parcourt le site de DansGuardian, on comprend qu'il s'appuie sur Squid. (Sur le site, 2 clicks suffisent à voir le lien avec Squid !)
Donc, forcément DansGuardian doit être installé sur le proxy (Squid) et non sur le firewall.
Donc "ça n'a pas grand chose à voir avec la question" est strictement l'inverse : cela a justement à voir avec Squid !
Par ailleurs, DansGuardian n'a rien à voir avec Snort : pourquoi relancer alors la question du positionnement de celui-ci ?
Si on parcourt le site de DansGuardian, on comprend qu'il s'appuie sur Squid. (Sur le site, 2 clicks suffisent à voir le lien avec Squid !)
Donc, forcément DansGuardian doit être installé sur le proxy (Squid) et non sur le firewall.
Donc "ça n'a pas grand chose à voir avec la question" est strictement l'inverse : cela a justement à voir avec Squid !
Par ailleurs, DansGuardian n'a rien à voir avec Snort : pourquoi relancer alors la question du positionnement de celui-ci ?
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par betienne » 12 Fév 2010 18:29
Bonjour à tous,
Je dois mal me faire comprendre ...
1 - Je ne veux pas installer Squid+SquidGuard sur IPCop puisque je l'ai déjà ailleurs.
2 - Ensuite il me semble bien que Guardian exploite les détections de Snort. La meilleure preuve c'est que si on trouve un faux positif de Guardian il suffit de désactiver la règle correspondante dans Snort pour régler le problème.
Le message de Guardian comprend, en majuscule, la rubrique (ex SMTP rules) et le titre de la règle (ex: ClamAV recipient command injection attempt). C'est exactement la tentative d'intrusion que détecte Snort.
Enfin ce message n'a absolument rien à voir avec Squid ou SquidGuard.
Donc la question est simplement : est-ce que quelqu'un a un retour d'expérience des addons de Snort+Guardian sur IPCop.
Bon travail à tous.
Je dois mal me faire comprendre ...
1 - Je ne veux pas installer Squid+SquidGuard sur IPCop puisque je l'ai déjà ailleurs.
2 - Ensuite il me semble bien que Guardian exploite les détections de Snort. La meilleure preuve c'est que si on trouve un faux positif de Guardian il suffit de désactiver la règle correspondante dans Snort pour régler le problème.
Le message de Guardian comprend, en majuscule, la rubrique (ex SMTP rules) et le titre de la règle (ex: ClamAV recipient command injection attempt). C'est exactement la tentative d'intrusion que détecte Snort.
Enfin ce message n'a absolument rien à voir avec Squid ou SquidGuard.
Donc la question est simplement : est-ce que quelqu'un a un retour d'expérience des addons de Snort+Guardian sur IPCop.
Bon travail à tous.
- betienne
- Second Maître
- Messages: 32
- Inscrit le: 09 Jan 2010 15:34
- Localisation: Toulouse
par jdh » 12 Fév 2010 23:50
Mea culpa : il existe un "addons" nommé Guardian pour Snort, et il existe DansGuardian "addpns" de Squid.
Mon post concernait donc DansGuardian et non Guardian.
Je stoppe donc là puisque ce fil tourne autour d'un sujet qui ne m'intéresse absolument pas car, de mon point de vue, Snort n'a quasi aucun intérêt pratique et opérationnel sur Ipcop.
(D'ailleurs si on dispose de l'expertise, un, on ne place pas Snort sur Ipcop, deux, on sait comment mettre en place l'intégralité du système ...)
Mon post concernait donc DansGuardian et non Guardian.
Je stoppe donc là puisque ce fil tourne autour d'un sujet qui ne m'intéresse absolument pas car, de mon point de vue, Snort n'a quasi aucun intérêt pratique et opérationnel sur Ipcop.
(D'ailleurs si on dispose de l'expertise, un, on ne place pas Snort sur Ipcop, deux, on sait comment mettre en place l'intégralité du système ...)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
5 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité