detection d'intrusion desactivé

par **grome** » 07 Mai 2004 10:30

Bonjour à tous...

J'ai un souci avec la détection d'intruxion elle est desactivée et j'arrives pas à la réactivée.

J'ai la case correspondante en rouge sur la page information -> statut
mais la case est cochée dans systeme -> systeme de detection des intrusions

Que puis je faire ?

Merci d'avance

Jérôme

par **carbone** » 07 Mai 2004 10:38

j'ai déjà constaté ce genre de problèmes,

causes:

* problème hardware, j'avais une barette de ram défectueuse, après un restart deu firewall, le problème ne se posait plus pendant un certain temps (indéterminé). Mais cela a été définitvment réglé suite au changement de la barette en question.

* manques de place sur le HD, suite à l'install d'addon, ... le disque dur était full. Solution, installation d'un autre DD et repartitionnement via Partition Magic.

* pas d'ip sur la carte red, problème de DHCP chez mon fournisseur, ma carte red n'ayant pas d ip, et bien pas de snort non plus.

* problème avec les libpcap suite à l'installation de ipfmla et des fix 8 je pense. solution cf le post suivant:
viewtopic.php?t=12660&highlight=

par **grome** » 07 Mai 2004 10:54

sinon j'ai modifié le rc.firewall
le snmp.rules
et le icmp.rules

est ce que çà peut venir de là ?

merci d'avance
jerome

par **boards** » 07 Mai 2004 17:07

j'ai exactement le meme problème !!!

par **grome** » 12 Mai 2004 20:40

et c'est suite à des modifications de regles ou pas.

Est ce que cela peut venir d'une attaque ?

Jerome

par **micjack** » 12 Mai 2004 20:54

Salut,

A tu pensé de rafraichir la page dans ton explorateur, au pire vider le cache de ton navigateur?

Bien souvant, la page d'administration affichée correspond à la page en cours dans le cache et donc la config prend en concideration celle ci... :wink:

par **carbone** » 13 Mai 2004 08:55

As tu vérifié les points que j'ai cité????
si oui, il reste une autre possibilité pour voir ou est le problème, tu lance un putty pour avoir un mode console (ou tu vas direct sur la machine) et tu tape snort pour le lancer et la tu devrais voir le message d'erreur si il y en a!

par **grome** » 17 Mai 2004 08:51

Bon

J'ai un message d'erreur quand dans /etc/snort
je lance un snort ./snort.conf.

Le message est le suivant.

"Initializing network interface Eth0
ERROR : openpcap() FSM compilation failed
PCAP command: %s

Je suis en IPCOP 1.3 patch 9. Le problème est apparu après avoir appliqué le patch 8 et 9.

par **batman** » 17 Mai 2004 10:32

grome a écrit:Bonjour à tous...

J'ai un souci avec la détection d'intruxion elle est desactivée et j'arrives pas à la réactivée.

J'ai la case correspondante en rouge sur la page information -> statut
mais la case est cochée dans systeme -> systeme de detection des intrusions

Que puis je faire ?

Merci d'avance

Jérôme

J'ai le même problème en dhcp chez free :/var/log/snort/* : la commande 'll' met plus de 30 minutes à afficher quoique ce soit !!!

donc, pas le choix : shell qui fait le menage (rm -fr /var/log/snort n'aime pas qd y a trop de fichiers)

rm -fR 80.1* ; rm -fR 80.2* ; rm -fR 80.3* ; rm -fR 80.4* ; ....

:-/, je sais pas comment désactiver proprement cette surcharge de logs en dhcp

par **grome** » 19 Mai 2004 09:01

En ce qui me concerne m'a détection d'intrusion est de nouveau active.

J'ai remis le bad-trafic.rules d'origine et çà marche. J'ai rebooté et la l'IDS était actif.

Yes, bon maintenant il faut trouver ce qui allait pas dans le bad-traffic.rules...

detection d'intrusion desactivé

detection d'intrusion desactivé

desactivation detection d'intrusion

Re: detection d'intrusion desactivé

J'ai trouvé

Qui est en ligne ?