[Résolu] Snort + Guardian - Fatal Error

[old7]

Bonjour,

j'ai installé snort + oinkmaster + guardian suivant le howto de Sleepy SME, lancé oinkmaster pour télécharcher les règles Snort et sur la console SME j'ai le msg suivant :

Code: Tout sélectionner

...
ERROR: Warning: /etc/snort/rules/bleeding-drop-BLOCK.rules(40) => unknown keybord 'fwsam' in rule!
Fatal Error, Quitting

La ligne 40 du fichier bleeding-drop-block-rules est la première ligne de config du fichier ; en suit d'autres elles aussi avec le code 'fwsam'.

J'ai lancé une recherche google 'snortsam +SME' sans succès. J'ai lancé une recherche sur ce forum avec snortsam et une autre avec fwsam aussi sans succès ...

Que faire pour que l'instruction fwsam soit reconnue ?

Faut-il installer SnortSam ?

[edit]
la config : SME 7rc1
snort : smeserver-snort-2.4.3-1.i386.rpm
oinkmaster : smeserver-oinkmaster-1.2-1.noarch.rpm
guardian : smeserver-guardiand-1.7-1.noarch.rpm
base : smeserver-base-1.2.2-1.noarch.rpm
[/edit]

[MasterSleepy]

Salut,

Il y a un soucis avec les rules de bleeding.
Désactive les, efface le contenu du répertoire /etc/snort/rules et lance oinkmaster.

Je devrais changé ma contribs pour oinkmaster afin quelle ne prenne plus jamais en compte ces rules.
Bientôt...

Désolé du désagremement.
A+

[old7]

Il y a un soucis avec les rules de bleeding.
Désactive les, efface le contenu du répertoire /etc/snort/rules et lance oinkmaster.

Je devrais changé ma contribs pour oinkmaster afin quelle ne prenne plus jamais en compte ces rules.
Bientôt...

Désolé du désagremement.
A+

Salut,

1-
OK, bleeding disabled ; rules deleted ; rules oinkmastered ; snort restarted ; CPU load : 0,7%

Un grand merci de la part de mon CPU qui n'en pouvait plus de tourner à 99,5% sur ce maudit 'fwsam' unknowned.

Je ne suis pas encore très loin dans la recherche, mais je me demande si Guardian prend en charge les Bleeding ? Car l'instruction fwsam semble être une instruction fournie avec SnortSam ... et comme je n'ai pas encore eu le temps de voir comment compiler proprement sur SME, je ne sais pas vérifier la chose.

2-
Si tu n'as pas le tps de modifier ta contrib, et je peux te comprendre, modifie juste le howto pour disabler le bleebing. Comme ça, en attendant, ceux qui seront tentés par un Snort-Guardian sur leur SME7x n'auront pas à faire subir à leur CPU une charge inutile.

3-
Rassure-toi, Mastersleepy, y a pas de désagréments, ça fait partie du jeu

Ca me soulage de savoir que ce soucis est général et n'est pas uniquement lié à mon install. ouf!
Je pensais déjà à tout réinstaller ... j'ai bien fait de ne pas m'y lancer de suite

Merci pour l'info.
A+

[MasterSleepy]

Salut,

En faite Guardian se base sur les logs de snort pour bloquer les adresses ip suspectes.
Donc c'est snort qui decide de lever une alert selon certains critères qui sont définis dans les rules.
Donc on peut effectivement dire que guardian prend en compte les rules bleeding grace à snort

Pour fwsam, je sais pas trop se que c'est, mais ça à l'air d'être dans snort aussi.
Snortsam fait un peu se que fait Guardian, bloquer les adresses ip suspectes.

Pour le Howto, je viens de le modifier.

Merci pour le retour.
A+

[old7]

Salut,

En faite Guardian se base sur les logs de snort pour bloquer les adresses ip suspectes.
Donc c'est snort qui decide de lever une alert selon certains critères qui sont définis dans les rules.
Donc on peut effectivement dire que guardian prend en compte les rules bleeding grace à snort

Pour fwsam, je sais pas trop se que c'est, mais ça à l'air d'être dans snort aussi.
Snortsam fait un peu se que fait Guardian, bloquer les adresses ip suspectes.

Pour le Howto, je viens de le modifier.

Merci pour le retour.
A+

oops, en effet, c'est Snort qui ne comprend pas l'instruction 'fwsam' et qui plante ...
D'après mes recherches actuelles, la fonction 'fwsam' est implémentée par SnortSam ; mais je ne sais pas encore son utilité/action ... Bah, quid de l'utilité du bleeding's rules ?? .. la doc dit : pour ceux qui veulent être sur le bleeding edge mais pas indispensable pour assurer la sécu ... d'ailleur il semble y avoir un débat sur l'utilité de coupler Snort à Netfilter...

Pour le HowTo, merci pour ceux qui suivront.

Pour le retour, c'est la moindre des choses : y en a qui passent du temps à documenter, il faut bien qu'y en aient qui testent et qui donnent des nouvelles...

A+