Bonjour à tous,
Inutile de s'enflammer sur la place de snort sur le firewall ou non, je connais les positions de chacun et il est inutile de se répéter ...
Donc j'applique rigoureusement les patches de Vehrsey (merci beaucoup pour le travail) et les màj sont nickel (règles v 2.8.5.3) sauf que snort ne démarre plus !!!
Le problème vient de l'introduction d'un nouveau paramètre dans les règles qui n'est pas connu par la version de snort (2.6) sur IPCop (1.4.21). Il s'agit du mot clé : detection_filter qui est utilisé dans les règles : smtp scada pop3 misc imap exploit dos dns dans le répertoire /etc/snort/rules
Il suffit de commenter ces règles puis /usr/local/bin/restartsnort red (dans mon cas snort est actif sur red seulement) et dans /var/log/messages vous ne vous faites plus injurier.
J'entends déjà les pourfendeurs de snort sur le firewall se moquer car il manque quelques règles qui pourraient être importante mais le forum snort apporte la réponse :
remplacer "detection_filter" par "threshold:type threshold"
Ensuite n'essayez pas de passer à la 2861 car là ça se complique car la version de pcre n'est pas à niveau avec celle attendue c'est du moins ce que j'ai compris sinon expliquez moi.
Est-ce que quelqu'un a eu et contourné ce problème ?
Merci d'avance de votre aide et bon travail à tous.
Plantage de Snort avec les règles 2.8.5.3
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
Re: Plantage de Snort avec les règles 2.8.5.3
par betienne » 30 Sep 2010 17:46
Je n'ai pas été assez précis dans le remplacement à effectuer :
detection_filter:track à remplacer par threshold:type threshold, track
Là ça fonctionne vraiment bien ...
Bon travail à tous.
detection_filter:track à remplacer par threshold:type threshold, track
Là ça fonctionne vraiment bien ...
Bon travail à tous.
Bernard ETIENNE
- betienne
- Second Maître
- Messages: 32
- Inscrit le: 09 Jan 2010 15:34
- Localisation: Toulouse
Re: Plantage de Snort avec les règles 2.8.5.3
par Vehrsey » 30 Sep 2010 20:43
betienne a écrit:...
Le problème vient de l'introduction d'un nouveau paramètre dans les règles qui n'est pas connu par la version de snort (2.6) sur IPCop (1.4.21).
...
C'est normal que tu as cette erreur.
Tu as oublié de mettre d'abord à jour snort 2.6 en 2.8.5.3 comme indiqué dans la procédure pour Ipcop 1.4.21.
La réponse se trouve en bas de cette page :
viewtopic.php?t=41886&postdays=0&postorder=asc&start=30
- Vehrsey
- Quartier Maître
- Messages: 16
- Inscrit le: 17 Sep 2009 17:04
Re: Plantage de Snort avec les règles 2.8.5.3
par betienne » 01 Oct 2010 08:47
Bonjour à tous,
Je confirme que j'ai bien passé le patch très bien fait d'ailleurs.
Merci d'avance de votre aide et bon travail à tous.
Je confirme que j'ai bien passé le patch très bien fait d'ailleurs.
Merci d'avance de votre aide et bon travail à tous.
Bernard ETIENNE
- betienne
- Second Maître
- Messages: 32
- Inscrit le: 09 Jan 2010 15:34
- Localisation: Toulouse
4 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité