par Bobm » 03 Sep 2014 13:25
1) En suivant tes instructions et en activant Snort via le GUI sur les réseaux VERT et ROUGE :
malheureusement, c'est toujours pareil : jamais aucun log de snort en téléchargeant le lien vers le .pdf de la 307
Du coup, pour voir, j'ai désactivé snort via le GUI et j'ai lancé snort par la ligne de commande
/usr/sbin/snort -c /etc/snort/snort.conf -A full -i wan-1
et ensuite, j'ai regardé les traces du lancement manuel
Je constate que j'ai plein d'erreurs du type
WARNING: /etc/snort/rules/file-pdf.rules(ii) GID 1 SID jjjjj in rule duplicates previous rule. Ignoring old rule
et pour chaque message d'erreur le Numéro de SID jjjjj change ...
Du coup je pense que ce test n'est pas significatif
2) j'ai enlevé la ligne 567 = "include /etc/snort/rules/file-pdf.rules"
J'ai relancé snort par la ligne de commande
/usr/sbin/snort -c /etc/snort/snort.conf -A full -i wan-1
et j'ai regardé les traces du lancement manuel. Tout me semble OK sauf les lignes suivantes :
+-------------------[Rule Port Counts]---------------------------------------
| tcp udp icmp ip
| src 1375 5 0 0
| dst 1475 585 0 0
| any 39 1 0 0
| nc 14 0 0 0
| s+d 1 1 0 0
Verifying Preprocessor Configurations!
ICMP tracking disabled, no ICMP sessions allocated
IP tracking disabled, no IP sessions allocated
Pour tous mes tests sur mon IPCOP de test (V2.1.5), tout se passe comme si Snort ne détectait rien avec les règles snort téléchargées (par contre c'est OK avec une règle du type alert icmp dans le fichier local)
En fait je constate que la plupart des attaques externes sont arrêtées en amont par le pare-feu.
Cela explique peut-être qu'en V2.1.5, snort ne détecte rien ...
En résumé, soit il y a vraiment un problème de détection des attaques par Snort OU alors en V2.1.5, pour une raison que j'ignore (nouveau kernel ??), il ne peut plus les détecter ...
De ton côté, peux tu me confirmer que tu as pu constater en V2.1.5 que Snort détecte bien les attaques associées aux règles snort téléchargées ?
Merci.