IPCop snort/MySQL/Acid

[ArchY]

Hello, <BR>J ai installé Snort avec MySQL et Acid sur un serveur linux mais est ce que l'un d'entre vous à déjà essayé (et/ou réussit) à recompiller tout ave IPCop ? <BR>Ca serait le pied si tout les logs Snort étaient dans MySQL nan? <IMG SRC="images/smiles/icon_rolleyes.gif">

[cyrille]

Vu que sur ipcop, il n'y a pas de compilateur, pas de mysql, je ne sais même pas si apache est compilé avec php ... Ca va étre dur. Mais c'est vrai que ce serait bien, il faudrait le suggérer aux développeur mais attention aux failles que ca peut occasionner, ipcop c'est d'abord un firewall.

[didier]

Depuis 2 jours j'esaaye de configurer snort sur ipcop pour qu'il écrive les logs dans une base myql contenue sur un serveur dans le réseau vert. <BR> <BR>Apparement cela doit etre possible puisque le fichier de conf permet de mettre ces options. <BR> <BR>Malheureusement cela ne fonctionne pas, mes logs n'apparaissent pas dans la db. <BR> <BR>Est-ce que qqun aurait déjà essayé de mettre dans un ipcop un binaire snort déjà compilé pour supporter l'écriture dans une db mysql?

[ArchY]

oui et c'est deux binaires differents, il y a un binaire snort et un autre snort+mysql, en fait il faudrait recompiler snort de IpCop avec la version mysql, ensuite dans ton fichier conf c'est tout simple, tu as juste à rajouter cette ligne : <BR> <BR><!-- BBCode Start --><B>output database: log, mysql, user=xxxxx dbname=snortdb host=192.168.0.4</B><!-- BBCode End -->

[didier]

en fait j'ai supposé que le support mysql était déjà inclus à cause des lignes dans le fichier de conf...Mais effectivement, les logs n'apparaissaient plus.... <BR> <BR>As tu déjà recompilé snort avec le support mysql pour le mettre sur ipcop? Si oui y'a t'il des options de coonf particulières? <BR> <BR>J'ai en projet de faire un package spécial pour ipcop pour permettre à d'autres de profiter de cet avantage. Y'en a pas pour longtemps mais ça aura le mérite d'exister.

[ArchY]

C'est clair, un package comme ca , si je savais le faire je l aurai fait, le soucis c'est que sur IPCop il n y a pas de compilateur...

[didier]

pas la peine! on compile sur une autre machine et on fout le binaire sur ipcop!

[ArchY]

Si tu le veux je te l envois <IMG SRC="images/smiles/icon_up.gif">

[NeoH]

c est en effet assez sympa, le prob c est qu apres tu peux t amuser a refaire les pages logs avec les requetes MySQL donc ca prends un peu plus de 10 sec et c est pas donné a tout le monde.

[ArchY]

comment ca c'est pas donné à tout le monde ? de faire de requette de 10 secondes ? je ne comrpend pas trop... <BR>Si tu as un probleme assez grave touchant à la securité de ton réseau, je ne pense pas que 10 secondes ca soit intolérable hein ? <IMG SRC="images/smiles/icon_wink.gif">

[didier]

cela partait d'une bonne intention mais Archy et moi n'avons pas réussi à faire fonctionner le binaire de snort avec support mysql sur ipcop... <BR> <BR>Si qqun a des idées...

[ArchY]

Didier ou quelqu un d autre vous avez deja téléchargé l ISO du cd source de IPCop ? si oui y a quoi dessus ? peut etre que d agir sur la compillation d IPCop à la source pourra nous donner une ouverture

[tetack]

Zavez un peu plus d'info pour cet histoire de snort / Sql <BR>parc que sur ma passerelle j'ai le strict minimum et j'arrive pas a lire les logs de snort <BR> <BR>Didier m'as deja parlé de sql pour les enregistrer mais g aps rouve gd chose la dessus <BR>un lien ?? ....

[didier]

sur debian: <BR> <BR>au préalable fo avoir un base mysql ds un coin <BR> <BR>pour la création des tables ça se fait à la fin <BR> <BR>> apt-get install snort-mysql <BR> <BR>ensuite ds /usr/share/doc/snort-mysql/contrib/ ya les table et ya marqué comment fo faire pour les mettre. <BR> <BR>et enfin on bidouille /etc/snort/snort.conf: <BR> <BR>on décommente la ligne suivante et on y met les bons renseignements. <BR> <BR># output database: log, mysql, user=root password=test dbname=db host=localhost <BR> <BR> <BR>et en dernier: à la fin de snort.conf ya les rules qu'il fo évidement décommenter pour les dernieres.