Problème avec Snort - IPcop 1.4.16

[lavazzo]

Bonjour à tous,

J'ai effectué la mise à jour de IPcop 1.4.15 vers 1.4.16 hier soir, tout c'est bien passé à première vue.
J'ai ensuite voulu faire une mise a jour des règles de Snort (en notant au passage que l'interface web a été ameliorée pour Snort), voici les étapes que j'ai effectué:

-> Rafraîchir la liste des mises à jour ==> OK
-> Télécharger de nouvelles règles ==> OK
-> Appliquer maintenant

C'est à ce point que les choses se corsent, après que la page ait chargée pendant environ 1 minute le fond rouge indiquant une erreur apparaît et le message d'erreur suivant m'est donné:

"255 défaut(s) de Snort à démarrer" (bizarement tourné ce message d'erreur :S )

L'historique d'installation des règle me donne:

Mises à jour installées:

Loading /var/ipcop/snort/oinkmaster.conf
Copying file from /var/log/snort/rules.tar.gz... done.
done.
Setting up rules structures... done.
Processing downloaded rules... disabled 0 enabled 0 modified 0 total=9673
Setting up rules structures... done.
Comparing new files to the old ones... done.

[***] Results from Oinkmaster started 20070718 15:45:33 [***]

[*] Rules modifications: [*]
None.

[*] Non-rule line modifications: [*]
None.

Voilà voilà, je voudrais donc savoir si d'autre utilisateurs rencontrent le même problème.

PS: J'utilise Snort en mode "Règles VRT Sourcefire pour utilisateurs enregistrés" // Mon IPcop ne possède aucun addon // Snort est activé sur toutes les interfaces (GREEN+ORANGE+RED) // j'ai également essayer de faire la mise à jour Snort en désactivant Snort au préalable et rien n'y fait.

[Billou02]

Salut,

Je n'ai pas eu de soucis suite a cette mise a jour, encore moins sur les majs Snort.
tests effectués sur deux sites différents ce matin.

[Franck78]

Il y a ceci de relevé:
https://sourceforge.net/tracker/?func=d ... p_id=40604

Des perms defectueuses.

[lavazzo]

A prioris ce n'est pas ça non plus, j'ai même réinstallé IPcop et rien d'y fait, toujours le même problème.

[igo]

j'ai eu le même "problème"

c'est plus un avertissement qu'un problème en soit

chez moi cela était accompagné d'un message disant que je swapais et ke je n'avais pas assez de ram

je dois dire ke cela se serai probablement aussi produi en 1.4.15

ma machine n'est pas puissante et je n'utilisais pas snort

et du coup je ne l'utilise pas encore.

snort ne m'est d'occune utilité de toute maniere.

[Fernand_G]

Bonjour,

Je rencontre exactement le même souci lors de la mise à jour de Snort.

J'ai constaté que ce "bug" (!?) n'apparait que lorsque Snort est activé sur l'interface de la DMZ (Orange). En désactivant Snort d'Orange et en activant maintenant après avoir enregistré ma modification, le problème est inexistant. Par contre si je réactive Snort sur Orange, je me retrouve avec ce message de "255 défaut(s) de Snort à démarrer".

A l'inverse, sur quatre autres IPcop dépourvu d'interface Orange aucun message d'erreur, d'avertissement.

Peut être est-tu dans ce cas ?

Bonne journée.
FernandG

[lavazzo]

Effectivement en désactivant Snort sur la DMZ je peux faire les mises à jour correctement, et comme toi il me remet l'erreur en question lorsque que je réactive Snort sur la DMZ :S

[Bacchus156]

Autre problème: je n'ai plus la possibilité d'activer / désactiver les règles de mon choix. Avez-vous le même soucis, existe-t'il une autre solution que de revenir à la version 1.4.15?

[zorgh]

Il était effectivement avant possible d'activer / désactiver les règles. Ce n'est plus le cas.
A t-on des infos à ce sujet ?
L'activation/désactivation est utile pour des faux positifs.
Si le changement de version devait apporter des améliorations, cela n'en est pas une.

[Gesp]

Il était effectivement avant possible d'activer / désactiver les règles. Ce n'est plus le cas.
A t-on des infos à ce sujet ?

J'avais prévu la possibilité de sélectionner/déselectionner des .rules dans l'interface mais ce n'était pas tout à fait prêt pour 1.4.16.

Comment faisais tu pour déselectionner, en utilisant oinkmaster.conf ou directement?
C'est pour savoir oùi je peut récupérer ces valeurs lors de la mise incluant le sélecteur de règles.
Mon futur code fonctionne à partir de oinkmaster.conf.

J'ai constaté que ce "bug" (!?) n'apparait que lorsque Snort est activé sur l'interface de la DMZ (Orange). En désactivant Snort d'Orange et en activant maintenant après avoir enregistré ma modification, le problème est inexistant

Merci je vais pouvoir reproduire sinon je manquais un peu d'éléments
Le message "255 défaut(s) de Snort à démarrer" est issu d'une boucle qui passe toutes les interfaces en revue et ajoute la somme des valeurs retournées par snort à chaque démarrage.

J'ai testé différents cas ou la valeur retournée était 1 quand une instance de snort ne démarre pas (plus de mémoire dispo ou règle invalide). Il doit y avoir d'autres cas.
Le cas ORANGE est particulier parce qu'il y a un bug dans snort-2.6 qui, quand il reçoit le signal d'arrêt ne s'arrête que si des données ont été reçues sur l'instance snort de l'interface. Or pour ORANGE, il est possible qu'aucun trafic ne soit passé. Normalement le bug devrait être contourné parce que en envoyant ensuite -KILL, snort s'arrête correctement (sans les stats et en silence).

[Franck78]

Il était effectivement avant possible d'activer / désactiver les règles. Ce n'est plus le cas.
A t-on des infos à ce sujet ?
L'activation/désactivation est utile pour des faux positifs.
Si le changement de version devait apporter des améliorations, cela n'en est pas une.

La prochaine version permettra de choisir les règles par l'interface+oinkmaster. Pour les fichiers de conf pas encore décidé comment excepté qu'il pourra y en avoir un adapté à chaque interface.
Par défaut c'est la même config avec toutes les options activées mais on pense fournir trois quatre modèles de config à choisir ou alors un dialogue compliqué pour activer/désactiver chaque option snort.

Pour la rentrée.

bye

[Gesp]

Pour les fichiers de conf pas encore décidé comment excepté qu'il pourra y en avoir un adapté à chaque interface.

Y ayant réfléchi, je pense que cela ne sert pas à grand chose d'avoir des config différentes par interface pour la configuration du moteur (pas pour les règles).

Soit on a assez de ressource machine, soit on veut faire fonctionner snort à l'économie.

Je ne vois pas trop de raison d'avoir une option 'perf max' sur une interface et 'ressources mini' sur une autre.

[Franck78]

Traduit en clair, ca veut dire: puisque j'ai de la ressource dispo, je peux la gaspiller?
Ca veut dire encore pour le gars qui possède une machine ni vraiment puissante ni vraiment ridicule:
-ou snort actif et alors plus vraiment réserve de ressource.
-ou pas de snort du tout.


Et comment modifier les listes de règles 'simplement' ?

-c <rules> Use Rules File <rules>

indique 'snort --help'. Pourtant -c référence bien le fichier de config entier (v2.6.15).

[Gesp]

Regarde dans ce que je t'ai envoyé sur ma modif snort. Ce n'était pas très clair dans la doc, j'ai dù faire des essais. La modif que j'avais fonctionnait sur ce point à priori.

Ca veut dire encore pour le gars qui possède une machine ni vraiment puissante ni vraiment ridicule:
-ou snort actif et alors plus vraiment réserve de ressource.
-ou pas de snort du tout.

snort réclame déjà 80Mo par interface en 2.6.1.5, ce qui est énorme, surtout en fonction de ce qui était nécessaire en 2.3 (environ 27 Mo).
Je n'ai pas trouvé de réglage permettant de faire varier la mémoire utilisée par chaque instance snort.

La configuration des options de snort est un gadget pour une utilisation IPCop actuellement.
snort est aussi un peu gadget tant que:
- on a pas du temps à consacrer à lire les logs,
- il n'y a pas possibilité de sélection des règles
- il n'a pas de rôle actif (avec guardian ou snort-inline)

[zorgh]

Je gère une plateforme d'enseignement à distance (Claroline).

Dans la mesure, où guardian+snort sont activés sur l'Ipcop et que je ne peux pas activer/désactiver telle ou telle règle du pare-feu, les utilisateurs se trouvent bloqués par telle action ou telle action sur l'interface de la plateforme.

En particulier, un blocage sur la règle :

Web-cgi Calendar Access

Le forum d'aide de Claroline botte en touche et en renvoie sur Ipcop et sur Snort.

Quel fichier de config peut-être modifié pour désactiver cette alerte ou comment dois-je m'y prendre pour assurer un service de qualité aux utilisateurs sans qu'ils soient bannis par Ipcop ?

Merci bien pour vos compléments d'infos.