Plantage de Snort avec les règles 2.8.5.3

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Plantage de Snort avec les règles 2.8.5.3

Messagepar betienne » 30 Sep 2010 17:33

Bonjour à tous,

Inutile de s'enflammer sur la place de snort sur le firewall ou non, je connais les positions de chacun et il est inutile de se répéter ...

Donc j'applique rigoureusement les patches de Vehrsey (merci beaucoup pour le travail) et les màj sont nickel (règles v 2.8.5.3) sauf que snort ne démarre plus !!!

Le problème vient de l'introduction d'un nouveau paramètre dans les règles qui n'est pas connu par la version de snort (2.6) sur IPCop (1.4.21). Il s'agit du mot clé : detection_filter qui est utilisé dans les règles : smtp scada pop3 misc imap exploit dos dns dans le répertoire /etc/snort/rules

Il suffit de commenter ces règles puis /usr/local/bin/restartsnort red (dans mon cas snort est actif sur red seulement) et dans /var/log/messages vous ne vous faites plus injurier.

J'entends déjà les pourfendeurs de snort sur le firewall se moquer car il manque quelques règles qui pourraient être importante mais le forum snort apporte la réponse :
remplacer "detection_filter" par "threshold:type threshold"

Ensuite n'essayez pas de passer à la 2861 car là ça se complique car la version de pcre n'est pas à niveau avec celle attendue c'est du moins ce que j'ai compris sinon expliquez moi.

Est-ce que quelqu'un a eu et contourné ce problème ?

Merci d'avance de votre aide et bon travail à tous.
Bernard ETIENNE
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Re: Plantage de Snort avec les règles 2.8.5.3

Messagepar betienne » 30 Sep 2010 17:46

Je n'ai pas été assez précis dans le remplacement à effectuer :
detection_filter:track à remplacer par threshold:type threshold, track

Là ça fonctionne vraiment bien ...

Bon travail à tous.
Bernard ETIENNE
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Re: Plantage de Snort avec les règles 2.8.5.3

Messagepar Vehrsey » 30 Sep 2010 20:43

betienne a écrit:...
Le problème vient de l'introduction d'un nouveau paramètre dans les règles qui n'est pas connu par la version de snort (2.6) sur IPCop (1.4.21).
...


C'est normal que tu as cette erreur.
Tu as oublié de mettre d'abord à jour snort 2.6 en 2.8.5.3 comme indiqué dans la procédure pour Ipcop 1.4.21.

La réponse se trouve en bas de cette page :
viewtopic.php?t=41886&postdays=0&postorder=asc&start=30
Vehrsey
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 17 Sep 2009 17:04

Re: Plantage de Snort avec les règles 2.8.5.3

Messagepar betienne » 01 Oct 2010 08:47

Bonjour à tous,

Je confirme que j'ai bien passé le patch très bien fait d'ailleurs.

Merci d'avance de votre aide et bon travail à tous.
Bernard ETIENNE
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité