Nouvelle version de Prewikka sur debian testing

Plop à tous …

ça fait déjà depuis quelques temps que la version 1.0 de prewikka (le frontend python de l’IDS prelude) est présente dans les dépôts de testing, mais comme je viens seulement de faire la mise à jour … ^^. (Au passage, prelude a aussi été mise à jour 😉 et OSSEC est passé en 2.4 le mois dernier … il était donc temps de mettre à jour l’architecture de mon système de sécurité).

Et oui les loupzeurs, la seule espèce de geek au monde à déployer un HIDS, un PKI, un IPS, un système de portknocking et un VPN pour les accès public pour sécuriser un blog visité par 110 personnes par jour !!!!!!! (lol je blague … en fait le PKI n’est pas encore en place xD).

Bref, pourquoi s’intéresser à la version 1.0.0 de prewikka ? Un truc tout bête qui existait sur pas mal d’autres outils, l’affichage de statistiques sur les attaques répertoriées par le prelude-manager (le « centralisateur » des données que peuvent lui envoyer OSSEC-agent, prelude-lml et plein d’autres (h|n)IDS/IPS ou système de logs). Et les statistiques avec plein de couleur et tout et tout, ça fait toujours classe.

Et donc voilà la tête de quelques stats pas forcément utiles (surtout dans mon cas) :

Les adresses focus pour les attaques … (genre on attaque mon NS … mon ‘dnstunnel’ n’est pas là ;))

Les sources d’attaques, en mettant à jour certaine règles, d’autres types d’erreurs sont désormais loggés d’où les pics d’attaques à la fin. (On remarque un petit rigolo attaquant 24h/24h mon serveur ^^).

Le plus important : les types d’attaques, on remarque un login session closed et opened qui prennent à eux seul 85% des types d’attaques … il s’agit de la config par défaut d’OSSEC qui log un peu tout et n’importe quoi … (j’ai désactivé la chose il y a quelques mois, mais mes stats sont quant même pourri par ce truc :s).

Au final, en analysant la chose, les plus grosses attaques se trouvent être des trucs super naze, en 1 an de service, ces systèmes n’auront été utiles qu’une vingtaines de fois (pour 2 SQL Injection, 1 ploucs avec acunetix 1 noob avec un script perl de type nikto et des tentatives de comments flooding par des bots russes …).

Trop de sécurité tue l’insécurité ^^. Donc voilà, profitez bien de vos mise à jour ;).

8 réflexions sur « Nouvelle version de Prewikka sur debian testing »

  1. Plop,

    Avec la mise à jour de prélude et de ses amis, ton tuto sur son installation tient toujours ?
    (J’aimerais le mettre en place avec OSSEC, prelude LML, prelude correlator pour avoir mes retour d’erreur directement dans nagios.)

  2. Je n’utilise plus la suite de logiciels prelude, donc je ne sais pas si la méthode a changée. Au moment de la création de cet article, je n’ai eu aucun problème.

  3. tu as remplacé la suite des logiciels prelude par quelque chose de précis ?

    Comme je commence la dessus, rien n est encore fixé.

  4. Pour ma part je suis sur Ossec tout court et quelques scripts, je trouvais la suite complète de prelude redondante avec ossec (prelude manager et correlator aurait pu faire un bon mix avec ossec/snort et le rendu de stats avec prewikka), mais bon les infrastructures que je « protège » ne nécessite pas tant de sécurité ;).

  5. Ouais, j’ai cru comprendre que tu étais un adepte des lances roquettes anti-mouches ^^

  6. Bonjour,

    Suite a la mis en place de prelude et ses amis, j’ai installé prewikka.

    Je suis en debian squeeze avec python 2.6, et j’ai énormément d erreurs python sur prewikka, est ce aussi ton cas ?

Les commentaires sont fermés.