PhenIXUS

[Vehrsey]

Salut,

Voici l'adaptation de l'add-on Snort 2.9.2.0 pour ipcop version 2 que j'ai réalisé. L'installation se fait à partir d'un Ipcop version 2.0.6, langue disponible : anglais et français.

Download Snort addon pour Ipcop V2.0.6 - (dernière mise à jour au 03/11/12).

MD5: 6a480755b36339f4961c1de012139209

La procédure d'installation :

Transférer le fichier sur Ipcop :
Activer SSL sur Ipcop à l'aide de votre navigateur, puis transférer le fichier sur Ipcop à l'aide de la commande SCP.

scp -P 8022 /home/votre_user/snort292-ipcopV2.0.6.tar.gz root@VOTRE_IP_IPCOP:/home

Sur Ipcop V2 se loger en root, décompresser le fichier puis installer le patch :

# cd /home
# tar zxvf snort292-ipcopV2.0.6.tar.gz
# ./setup

Pour désinstaller Snort :

# ./uninstall



---------------------------- Snort inline Version ---------------------------

Ci-dessous une version expérimentale de Snort en mode inline (IPS).

Test - Experimental Snort-inline add-on (Last update : 03/11/12) :

Download Snort-inline add-on Ipcop v2

...

[Argenlos]

Bonjour Vehrsey,

Peux-tu nous faire quelques captures pour que cela soit vendeur ?
Est-ce une adaptation de la version 1.4.21?
Même fonctionnalités?

Cordialement,

[Franck78]

Je rapelle que j'ai pondu un patch pour IPCop 1.4 qui entre autre fixe 'snort'.
Dispo sur mon site, aller un lien pour google
Patch IPcop 1.4.23

bye

[Vehrsey]

@Argenlos : Il s'agit bien d'une adaptation de la 1.4.21 vers la version 2 d'Ipcop.Les fonctionnalités sont les mêmes que la 1.4.21, seules quelques modifications ont été apportées : compilation vers noyau 2.6, mise à jour de Snort plus récente vers Snort 2.9.2. La team Ipcop n'indique pas sur leur site s'ils ont l'intention d'ajouter l'addon Snort sur leur "Road Map". C'est pourquoi, pour ceux à qui cela intéresse, cet addon est gratuitement disponible pour Ipcop V2.

D'ici peu, j'ajouterais une mise à jour, pour ceux qui souhaiteraient désinstaller cet Addon Snort.
Ci-dessus les captures de Snort Ipcop V2.

[Bobm]

Bonjour Vehrsey,

je suis actuellement en train de tester un IPCOP V2.0.2
j'ai récupéré ton addon snort V2

- l'install via le setup se fait OK
- Dans le GUI d'IPCOP j'ai positionné un Oink code puis téléchargé les règles : OK
- ensuite je fais Appliquer maintenant
- je ne vois pas d'erreur concernant l'application des règles Snort par contre, dans la fenêtre en haut j'ai un message d'erreur qui me dit :

"1 défaut : Snort n'a pas démarré, causes posibles : une ou plusieurs règles téléchargées ne sont pas adaptées"

En final Snort reste dans l'état ARRETE sur tous les interfaces !!

as tu une idée ?

Merci

[Vehrsey]

Re-télécharge l'addon Snort car j'ai mis à jour hier soir pour corriger ce défaut. Re-faire la procédure d'installation.
Normalement cela devrait fonctionner. Sinon, revenir ici pour en discuter et essayer de trouver une solution.

[Argenlos]

Bonjour,

Merci pour les précisions. Beau travail.

Cordialement,

[Vehrsey]

A chaque redémarrage d'Ipcop vous remarquerez que seul le réseau "RED" est arrêté (pour ceux qui ont coché RED), en attendant il faudra le relancer manuellement en appuyant sur "Appliquer maintenant". Ou bien, pour les experts en ligne de commande: "restartsnort red".

Cela est dû au nouveau Ipcop V2, l'interface RED démarre en dernier à l'initialisation. En attendant de trouver une solution, normalement tous devraient fonctionner.

[Bobm]

bravo pour ta réactivité verhsey !

- La nouvelle version contient maintenant un .uninstall : OK
- après mise a jour des règles via oink code, les services sont biens EN FONCTION : OK
- après reboot, le snort du RED repasse ARRETE, il faut refaire APPLIQUER. Tu connais semble t-il la correction : OK, on attend la correction


J'ai 2 autres points à te soumettre, car pour tout te dire, j'ai actuellement un IPCOP en prod en 1.4.21 qui fonctionne comme un IPS : avec snort + l'addon GUARDIAN (addon téléchargé sur http://www.mhaddons.tk/). Et là c'est top par ce que snort joue son role d'IDS et GUARDIAN bloque automatiquement les adresses IP identifiées par snort.
J'essaye donc d'atteindre ce niveau de fonctionnalité avec IPCOP V2. Et là c'est pas gagné car les développeurs IPCOP ne veulent pas entendre parler de snort ...
Je suis donc très interressé par ton addon et ta démarche ...

A priori, je vois encore 2 problèmes pour arriver à mes fins (cad un IPCOP V2 qui fonctionne comme un IPS) :

1) une fois les règles snort installées avec ton addon, on ne peut plus (comme avant en 1.4.21) cocher /décocher les catégories et les sous-catégories : en pratique, c'est pas du luxe car il est souvent nécessaire de désactiver certaines sous-catégories
2) il n'existe pas encore d'addon type GUARDIAN pour IPCOP V2

qu'en penses tu ?

[Vehrsey]

Pour Guardian, je n'est jamais testé cet addon. Cet addon à l'air intéressant, si j'ai du temps devant moi, je vais voir ce que je peux faire s'il est possible de le transférer sur la V2. Mais je ne promets rien.