Plus d'update snort?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Plus d'update snort?

Messagepar ahlala » 02 Fév 2009 11:49

Bonjour

IPCOP v 1.4.21
oink code OK donc règles VRT sourcefire pour users enregistrés

Celà fait quelques semaines je n'ai plus de MAJ pour snort comme avant. Je vérifie sur snort.org et je vois passer plein de MAJ depuis un bout de temps.... serai-je puni?

Je me log sur mon ipcop:
-->Services -->IDS -->Actualiser : 2009-02-02 10:12:57
-->Telecharger de nouvelles règles : 2009-02..;etc.
-->Appliquer maintenant...... çà mouline

Le résultat tout à 0, aucune modif, rien de changé, alors que d'habitude, il me liste tous les changements qu'il à fait.. et comme je vérifie mes MAJ toutes les 2 semaines, je suis habitué...
L'uptime de cette machine est de 1 an... donc y a truc qui colle pas.
Pour infos il y a 8 ipcop identiques avec exactement la mm config depuis donc 1 an sur 8 sites distants..mm pb partout...

J'ai googlé, j'ai bien vu des pbs en version 1.4.15, mais moi j'ai installé en 1.4.18 et upgradé au fur et à mesure.

Une idée? merci pour l'aide
ahlala
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 02 Fév 2009 11:33

Messagepar alomamabobo » 02 Fév 2009 23:41

SI le bug est depuis 2009 ET que l'addon guardian est installé il peut y avoir des problèmes de mise à jour des règles dus à l'ajout de guardian, j'avais vu un post à ce sujet sur le site mhaddons: voir le site de l'éditeur de cet addon.

Bonne continuation.
-=IPCop 1.4.21 Red/Green=-
alomamabobo
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 16 Avr 2004 00:06

Messagepar ahlala » 03 Fév 2009 12:12

L'erreur n'est pas depuis 2009, elle existait déjà depuis octobre/novembre 2008.
Guardian n'est pas installé, il y a en revanche squidguard et cet addon est présent depuis l'installation initiale (janvier/février 2008).
J'ai bien cherché si il y avait des pbs addons/config de base ipcop (j'avais essuyé des plâtres bien connus de tous lors d'upgrade des précédents ipcop) mais rien...

J'ai vu traîner des choses sur des pbs de droits mais qui ne concernaient que IPCOP 1.4.15, or j'ai démarré ces déploiements directement en 1.4.18.

Merci pour votre aide
ahlala
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 02 Fév 2009 11:33

Messagepar PengouinPdt » 08 Fév 2009 23:50

Ce problème m'intéresse ...
J'ai remarqué la même chose sur mon IPCop (1.4.21), et le seul addon que j'y ai foutu est BOT (v 3.0.0 build 3).
Ca me parait tout autant bizarre !

+=<
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar ahlala » 09 Fév 2009 14:39

Oui étrange n'est-ce pas?

BOT est installé aussi mais non utilisé, mais pareil depuis 2008, et jamais de conflit.

Je n'arrive pas à percuter ce qui a pu se passer, à moins que le Team de snort ait changé des choses? J'ai regardé, je n'ai pas trouvé d'éléments significatifs abondant en ce sens, mais j'ai peut-être mal regardé?
ahlala
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 02 Fév 2009 11:33

Messagepar Gesp » 09 Fév 2009 16:13

Je pense qu'il faut que j'upgrade la version de snort et modifie la source des règles en conséquence pour correspondre à la nouvelle version. La version que l'on utilise actuellement commence à dater.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Fernand_G » 09 Fév 2009 18:11

Bonjour, Bonsoir,

J'ai aussi remarqué que je n'avais plus de mise à jour snort depuis pas mal de temps sur l'ensemble de tous les IPCop que je gère (6).

Dans l'historique des règles, j'ai l'impression d'être toujours à un total de 11881 (all IPCop). J'attends la prochaine mise à jour de la team pour vérifier. La dernière datant du 03/02/2009.

Pour tester, j'ai même monté vite fait un IPCop virtuel, à partir d'une version 1.4.20. J'ai mis à jour snort avec le téléchargement des nouvelles règles et je me retrouve aussi à 11881.

J'ai l'impression qu'il download toujours les mêmes règles et par conséquent rejoint le message de Gesp, la source des règles a été modifiée ?!?

Bonne soirée.
Avatar de l’utilisateur
Fernand_G
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 11 Juin 2002 00:00
Localisation: France

Messagepar PengouinPdt » 09 Fév 2009 19:17

Gesp a écrit:Je pense qu'il faut que j'upgrade la version de snort et modifie la source des règles en conséquence pour correspondre à la nouvelle version. La version que l'on utilise actuellement commence à dater.


Déjà, on sait qu'on a attirer l'attention du "Grand Maître" :p
C'est appréciable :wink:
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar psykoside » 09 Fév 2009 22:29

Bonsoir a tout le monde,

j'ai egalement ce probleme sur mon firewall ipcop 1.4.21.

J'ai BOT installé mais je ne l'utilise pas encore.

Je surveillle le sujet :roll:

"Grand maitre" on t'attend (est par ailleur merci pour ce superbe taf !!!) :wink:

A bientôt
psykoside
Matelot
Matelot
 
Messages: 2
Inscrit le: 09 Fév 2009 22:25

Messagepar ahlala » 09 Fév 2009 22:41

A Gesp et à tous,

J'ai tenté les modifs en changeant les droits et permissions sur le /etc/snort et /etc/snort/rules, comme préconisé dans le post relatif à la 1.4.15, histoire de voir, même si on nos versions sont plus récentes, rien n'y a fait
ahlala
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 02 Fév 2009 11:33

Messagepar Fernand_G » 11 Fév 2009 12:46

Bonjour à tous,

Je viens de vérifier avec la nouvelle mise à jour de Snort mise en ligne hier. Aucune mise à jour d'IPCop. Le nombre de règles reste à un total de 11881.

Processing downloaded rules... disabled 0 enabled 0 modified 0 total=11881


Bonne journée.
Avatar de l’utilisateur
Fernand_G
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 11 Juin 2002 00:00
Localisation: France

Messagepar profwalken » 11 Fév 2009 21:31

Bonjour à tous,

Ipcop installé hier , tout neuf en 1.4.21 et juste url filter et advproxy.

Je viens de vérifier avec la nouvelle mise à jour de Snort mise en ligne hier. Aucune mise à jour d'IPCop. Le nombre de règles reste à un total de 11881.

Processing downloaded rules... disabled 0 enabled 0 modified 0 total=11881

Même situation après la demande de mise à jour.
profwalken
Matelot
Matelot
 
Messages: 5
Inscrit le: 07 Oct 2007 11:03

Messagepar ahlala » 18 Fév 2009 01:50

De mon côté toujours aucune news, j'ai réessayé des updates mais rien de rien.

Celà devient un problème "bloquant".

Comment pouvons-nous garantir l'efficacité et la sécurité d'un SI et de notre distro avec ce genre de bugs?

Cette remarque n'est pas un troll.

Je pense que nous devons trouver une solution rapidement afin de garantir notre crédibilité.

A bientôt
ahlala
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 02 Fév 2009 11:33

Messagepar PengouinPdt » 18 Fév 2009 19:50

Apparemment le fonctionnement de Snort change, il intégre un nouveau préprocesseur donc les règles Snort sont modifiées, elles aussi ...

Ci-dessous, le mail d'info reçu :

(...) we wanted to ensure that you were aware of some important upcoming changes in Snort and Sourcefire VRT rules. Scheduled for release in late March 2009, Snort 2.8.4 will introduce a new dcerpc preprocessor (dcerpc2). This new preprocessor will bring about some major changes in the way that NetBIOS traffic is handled.



Dcerpc2 will handle all the decoding functions that were previously managed using rules and flowbits. The improvement provided by dcerpc2 is that the number of netbios rules released for any vulnerability that can be exploited over dcerpc is going to be reduced greatly. The number of netbios rules previously released is also going to be reduced in a similar manner. The downside is that this functionality is only available in Snort 2.8.4 with the dcerpc2 preprocessor. There is no backwards compatibility. Also, a number of netbios rules will be deleted and replaced.



In order for Snort users to keep up with current detection, upgrading Snort is the only option. A release candidate (RC) version of Snort 2.8.4 was released on February 10, 2009. The RC period will give you a preview of what is going to happen with the rules and provide an opportunity for you to plan an upgrade of your existing Snort implementation. For the RC period, the VRT has provided a replacement netbios.rules file to be used in place of the existing netbios.rules. For more details on this file or how to use it please visit the VRT blog at: http://vrt-sourcefire.blogspot.com/2009 ... lable.html. Once Snort 2.8.4 is released, this file will become the new netbios.rules.



It is very important to note that the dcerpc2 preprocessor will have to be used in order for detection to function using these rules. The old preprocessor will be completely deprecated, all new rules moving forward will use the new preprocessor and the keywords it provides.



In order to stay current with detection, you will have to upgrade to Snort 2.8.4 once it is released and use the dcerpce2 preprocessor. The Sourcefire VRT will not be maintaining the old rules from the netbios category and the VRT will not release any new detection using the old format.



Mike Guiterman

Snort Community Manager

Sourcefire, Inc.


Cela a-t-il une incidence ?!

+=<
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar Zone80 » 18 Fév 2009 19:51

Bonsoir

Je ne pense pas qu'il s'agisse d'un bogue mais simplement de la version employée de snort qui est 2.6.

Peut-être que les dev estiment que la version 2.6 est trop ancienne et décident de ne plus suivre cette version. La vérification faite avec le Oink Code semble ne plus s'effectuer de la même façon.

Gesp explique le problème en date du 09/02.
Zone80
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 18 Fév 2009 19:32
Localisation: 42.700 42° 42'N | 2.900 2° 54'E

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 0 invité(s)

cron