Parametrer Snort

[Nemric]

Bonjour,
A la suite d'un post sur le côté uniquement informatif de Snort j'ai potassé la doc. Mais je suis pas sur d'avoir tout compris alors je vais tenté de vous interressé au sujet. http://www.snort.org/docs/snort_htmanuals/htmanual_232/node23.html#SECTION00473000000000000000

il serait possible de demander la fermeture d'une connexion lors d'une attaque (sans bloqué l'ip) et pour ce faire il faut ajouter dans une regle snort (pour l'exemple, dans etc/snort/web-misc.rules) trouvez la ligne a propos de robots.txt ("# Verify that the robots.txt does not include any sensitive information.
")

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC robots.txt access"; flow:to_server,established; uricontent:"/robots.txt"; nocase; reference:nessus,10302; classtype:web-application-activity; sid:1852; rev:3;)

The resp keyword is used attempt to close sessions when an alert is triggered. In Snort, this is called flexible response

partant de la je me demande comment modifier une regle en ajoutant une occurence "resp" pour qu'ipcop demande la fermeture de la connexion lors d'un acces a ce fichier
par exemple :

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC robots.txt access"; flow:to_server,established; uricontent:"/robots.txt"; nocase; reference:nessus,10302; classtype:web-application-activity; sid:1852; rev:3;resp:rst_all;)

je voudrais savoir si quelqu'un a deja tester ce genre de solution et si cela fonctionne, dans quel mesure ...

Si cette fonction fait ce que je pense qu'elle fait (je serais en droit de penser ce que je pense )
ce serait une bonne alternative a guardian non ?
il serait possible de fermer une connexion lors d'un acces interdit ! voir même avec l'option "icmp_net" envoyer la reponse "Send a ICMP_NET_UNREACH to the sender", et il y a d'autres options ...

il y a aussi, comme "resp" une option "react" ... laquel choisir ?

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC robots.txt access"; flow:to_server,established; uricontent:"/robots.txt"; nocase; reference:nessus,10302; classtype:web-application-activity; sid:1852; rev:3;react:Block;)

Si quelqu'un a bien compris la doc (et peut être plus particulierement la page en lien au debut du post) peut être pourrait il m'aider a bien comprendre comment ajouter une option "resp" ou "react" a une regle snort.

peut être aussi quelqu'un pourrait "casser mon trip" en m'expliquant pourquoi je suis si naïf vis a vis de cette doc

Merci
[/b]

[Gesp]

snort n'est pas compilé avec --enable-flexresp parce que cette fonctionalité est qualifiée de alpha donc on ne peut pas songer l'inclure en production.

--enable-flexresp Flexible Responses on hostile connection attempts

3.7.3.2 Warnings
This functionality is not built in by default. Use the -enable-flexresp flag to configure when building Snort to enable this functionality.

Be very careful when using Flexible Response. It is quite easy to get Snort into an infinite loop by defining a rule such as:


alert tcp any any -> any any (resp:rst_all;)

It is easy to be fooled into interfering with normal network traffic as well.

[Nemric]

Merci Gesp, et aux autres aussi

Cette histoire promet d'être compliqué pour moi, debutant linux en voie de guerison, mais je compte sur vous ...

J'aimerais bien essayer cette fonction ("resp" "react") tout en tenant compte des risques liés a l'augmentation de traffic, ou trafic en boucle, ... ainsi de suite.

La situation est la suivante
ipcop 1.4.4
snort 2.1.3

Sur snort.org il y a une version 2.3.2, comment puis je l'installer sur ipcop sachant qu'il y a des dependances et autres programmes requis :

Voisi ce que j'obtient en tapant : ./configure pour snort 2.3.2

checking for a BSD-compatible install... /bin/install -c
checking whether build environment is sane... yes
checking for gawk... gawk
checking whether make sets ${MAKE}... no
checking for style of include used by make... ./configure: line 1: fgrep: comman
d not found
none
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH

Ca commence mal je sais pas ce que cela signifie, ou au moin ce qu'il faut faire pour installer, sauf erreur : gcc, cc, cl, la commande fgrep, et ce ${MAKE} , enfin, pour remplacer les "no" par des "yes"

ensuite il faut "libpcap", c'est installé dans ipcop (trouvé dans /lib) est ce correct ?

Mais il faut aussi "libnet", même topo : ./configure

beginning autoconfiguration process for libnet-1.1.2.1...
checking build system type... i586-pc-linux-gnuoldld
checking host system type... i586-pc-linux-gnuoldld
checking target system type... i586-pc-linux-gnuoldld
checking for a BSD-compatible install... /bin/install -c
checking whether build environment is sane... yes
checking for gawk... gawk
checking whether make sets $(MAKE)... no
checking whether to enable maintainer-specific portions of Makefiles... no
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.

Voila ou j'en suis de toutes les docs que j'ai trouvé

j'ai besoin d'aide pour installer :
les fichiers requis demandés gcc, cc (2 fois ?), cl, make.

je voudrais savoir s'il y a des contre indications par rapport a la securité d'ipcop ...

croyez vous que snort 2.3.2 s'integrera bien dans ipcop 1.4.4 ? cad compatible menu "detecteur d'intrusion"

existe t il des installs au format rpm pour ipcop ? je n'en trouve pas ...

Merci beaucoup ...

[Nemric]

Salut, encore moi ...

Rien ne va plus !

pour installer "gcc" il faut avoir installé "make"
pour installer "make" il faut avoir installé "make"

les carottes sont cuites !

Que me reste t il comme solution pour installer snort 2.3.2 avec les bons arguments ( enable-flexresp entre autres) ? voir "rebuilder" la versions incluse dans ipcop avec cet argument ...

j'ai lu qu'avec une debian ou redhat on pouvait recompiler ipcop mais cette solution me semble trop compliqué, puisque je n'ai pas de "pc" en trop pour faire ca et que je suis deja certain que cette methode me posera plus de problemes qu'elle ne va en resoudre, n'oublions pas que je suis newbie en linux, je ne peux qd même pas commencer par recompiler une distrib deja que je me tape des bibliotheques de docs rien que pour faire un make ou un configure ... un jour je serais doué, promis, mais pas seul ...

ce sujet n'interresse t il personne ? (remplacer le "guardian" par une fonction prometteuse de snort, c'est interressant non ? si personne le test tout le monde continura a dire que snort n'est qu'informatif !! et qu'un detecteur d'intrusion ne sait que detecter http://forums.fr.ixus.net/viewtopic.php?t=26560 alors qu'il y a une fonction de blocage live !)

je suis plus pour utiliser un snort ameliorer que d'installer des modules supplementaire a ne plus savoir qu'en faire ...

donnez moi au moin un indice , un FM ( f&$#*g Manual )
qu'en est t il de l'instal de RPMs sur ipcop ?

cf lilou : please, help

[Gesp]

Pour compiler snort-2.3.2, c'est en CVS depuis vendredi

http://cvs.sourceforge.net/viewcvs.py/i ... iew=markup

Il faut compiler IPcop sur une autre machine.

Pour la mise à jour de l'interface web correspondant la v2.3.2, je devrais avoir fini ce soir mais je risque d'avoir à attendre que snort.org ait remis en service la signature md5 des fichiers de règles.

Si cela n'arrive pas rapidement je serais obligé de mettre en place un autre système en ne chargeant pas directement depuis le site mais depuis l'interface web.

[Nemric]

Merci Gesp

Une autre enquete pour moi --> CVS !

Qu'elle genre de machine faut il pour compiler snort ?
Est ce qu'un live CD suffirait genre knoppix ou un autre ? dans ce cas, faut il eviter le NTFS d'xp ?
Une fois compiler il faut le copier/coller sur ipcop ?

pourras tu m'aider "Gourou ES-ipcoP" ?

A bientôt ...