[RESOLU] addon snort et IPCOP V2.1.2

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

[RESOLU] addon snort et IPCOP V2.1.2

Message par Bobm » 19 Mars 2014 18:03

Bonjour à tous

Au mois de janvier 2010, Vehrsey avait créé et mis a disposition une version des 2 addons Snort et Guardian pour IPCOP V2.0.6.
L'ensemble marchait très bien (on avait un vrai IPS).

Là je viens d'upgrader mon IPCOP de la version 2.0.6 à 2.1.2. L'upgrade a été laborieux, et j'ai été obligé de désinstaller snort et Guardian.
Ensuite j'ai installé l'addon snort pour IPCOP V2.0.6 ... l'install se passe bien (pas de message d'erreur).

mon problème :
Dans le GUI, je vais dans Services / Détection Intrusion et là j'ai beau cocher la case Red Snort : le service SNORT reste ARRETE.

De plus, je positionne un Oink Code, le bouton Actualiser la liste des mises à jour me donne la date.
mais le bouton télécharger de nouvelles règles reste désespérément inopérant : je n'ai aucun message d'erreur, les règles ne sont pas téléchargées et je ne vois aucun flux (dans le journal du serveur mandataire) comme quoi une tentative de download a eu lieu ...
bref cela ne marche pas

Quelqu'un a t'il une idée ?
Cette version de snort est peut être incompatible avec IPCOP 2.1.2 ?

Merci pour vos réponses
Dernière édition par Bobm le 24 Oct 2014 16:30, édité 1 fois.
Bobm
 
Message(s) : 24
Inscription : 25 Jan 2012 10:35

Re: addon snort et IPCOP V2.1.2

Message par The cop » 21 Mars 2014 10:25

Salut,

je ne pense pas que ça va beaucoup t'aider, si ce n'est à garder espoirs ^^. Je suis sur une 2.1.2 avec une install de snort "snort2956-ipcopV2.1.1.tar.gz" qui est me semble t-il la dernière. En ce qui me concerne c'est tout vert sur les interfaces, et les mises à jours se font manifestement !

Voici le lien vers ma version [url]downloads.sourceforge.net/project/snortaddonipcop/snort2956-ipcopV2.1.1.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fsnortaddonipcop%2F&ts=1395393664&use_mirror=garr[/url]


Il semble pédaler dans la semoule ajrd pour moi, j'ai l'archive si c'est pareil pour toi, j'peux te la mettre sur mon serveur web si vraiment.
The cop
 
Message(s) : 8
Inscription : 10 Fév 2012 21:44

Re: addon snort et IPCOP V2.1.2

Message par Bobm » 31 Mars 2014 10:39

Merci The cop pour l'info : effectivement c'est mieux en allant chercher les sources sur Sourceforce !


Finalement, j'ai donc effectué les manips suivantes :

1) réinstallation d'un IPCOP 2.1.1 à partir d'un .ISO

2) récupération de snort pour 2.1.1 sur le site de sourceforge

3) installation de snort + Téléchargement des règles : OK ; par contre ce qui est bizarre c'est que la liste des règles Snort n'apparait pas explicitement

4) récupération de Guardian pour 2.1.1 sur le site de sourceforge

5) installation de Guardian : OK ; par contre ce qui est bizarre c'est que la liste des règles Snort apparait uniquement après l'installation de Guardian ...

6) activation / désactivation des règles Snort selon ce qu'on veut

7) Et ensuite : il ne se passe RIEN !!!!!!!!


Le journal de Snort reste totalement VIDE ; ainsi le fichier /var/log/snort/alert reste VIDE.
Le propriétaire de ce fichier log me semblait incorrect (=root root), j'ai donc fait un chown snort:snort puis redémarré le service Snort.


EN résumé, maintenant, on peut télécharger les règles snort, le service snort est démarré mais hélas Snort reste désespéramment inopérant : pas d'erreur mais RIEN. Cela est bien dommage car du coup Guardian reste lui aussi inopérant ...


Quelqu'un a-til une idée ?
Bobm
 
Message(s) : 24
Inscription : 25 Jan 2012 10:35

Re: addon snort et IPCOP V2.1.2

Message par Vehrsey » 05 Avr 2014 10:57

Bobm a écrit :- Le journal de Snort reste totalement VIDE ; ainsi le fichier /var/log/snort/alert reste VIDE.


Voir mise à jour vers 2.1.3 si ça résolve le problème de snort :
http://sourceforge.net/projects/snortad ... =directory
http://sourceforge.net/projects/guardia ... =directory

Bobm a écrit :installation de Guardian : OK ; par contre ce qui est bizarre c'est que la liste des règles Snort apparait uniquement après l'installation de Guardian ...


Répondu à cela il y a 2 ans mais tu t'en souviens plus; l'option de sélection des règles snort font partie du package Guardian qui ajoute cette option supplémentaire voulue par le développeur qui a abandonné la continuité de cette add-on Guardian. Moi, je n'ai fait qu'adapter Guardian ipcop 1.4.21 vers ipcop V2.

viewtopic.php?f=6&t=252&start=10
Vehrsey a écrit :Pour la sélection des règles cela fait partie de l'Addon Guardian parce que sur un Ipcop 1.4.20 ou 1.4.21 de base je n'ai jamais vu ces options.
Mais pour ce qui concerne l'adaptation de Guardian sur Ipcop V2 si un jamais cela abouti cela fera partie d'un autre nouveau topique.


Bon ipcop. ;)
Vehrsey
 
Message(s) : 54
Inscription : 19 Jan 2012 23:15

Re: addon snort et IPCOP V2.1.2

Message par Bobm » 09 Avr 2014 16:52

Merci pour ta réponse Vehrsey.
Je suis d'accord avec toi sur le fait que les rules de Snort apparaissent uniquement après l'installation de Guardian ; OK pas de problème pour ça.
Ce que je dis c'est que snort (addon 2.1.3) est inopérant ; il y a beau avoir des attaques, snort ne détecte rien (le log de snort reste vide) : ça c'est le probléme pour Snort.

D'autre part, en plus de ce problème, je constate qu'après installation de Guardian (addon 2.1.3), le systeme est totalement instable.
En effet, ensuite, après reboot, j'ai systématiquement le message d'erreur "other app is holding the xtable lock perhaps you want to use the w option"
qui apparait sur la console système + le journal de Guardian.
Au second reboot, j'ai toujours ce message d'erreur sur la console système et IPCOP ne me rend même plus la main (pas de prompt "login") ; je ne pouvais donc plus désinstaller Guardian ; j'ai été obligé de tout réinstaller à partir du .iso.
Tiens moi au courant si tu as du nouveau ou si tu veux plus d'infos.

Pour info, les manips que j'ai effectuées sont donc :

1) réinstallation d'un IPCOP 2.1.1 à partir d'un .ISO
2) MAJ IPCOP en 2.1.2 puis 2.1.3
3) récupération de snort pour 2.1.3 sur le site de sourceforge
4) tar xvf dans le dossier /home pour installation de snort
5) Téléchargement des règles : OK
6) récupération de Guardian pour 2.1.3 sur le site de sourceforge
7) tar xvf dans le dossier /home pour installation de Guardian
8) installation de Guardian : OK ; la liste des règles Snort apparait uniquement après l'installation de Guardian : OK
9) activation / désactivation des règles Snort selon ce qu'on veut
Bobm
 
Message(s) : 24
Inscription : 25 Jan 2012 10:35

Re: addon snort et IPCOP V2.1.2

Message par Vehrsey » 25 Avr 2014 11:47

Essayer la version 2.1.4 si ça règle le problème.
En ce qui concerne les logs vides de snort, les attaques sont sur les interfaces "rouge", "vert" ou "orange" d'Ipcop.

Exemple de test tout simple :
Editer le fichier /etc/snort/local.rules
# nano -c /etc/snort/local.rules
et insérer cette ligne :

alert icmp any any -> any any (msg: "Test icmp snort"; sid:1000001;)

Ensuite faire un test ping vers la carte réseau rouge ou vert.
Vehrsey
 
Message(s) : 54
Inscription : 19 Jan 2012 23:15

Re: addon snort et IPCOP V2.1.2

Message par Bobm » 25 Août 2014 14:47

Je viens d'installer la version IPCOP 2.1.5. Je ne crée aucune règle dans le pare-Feu.
J'installe snort par la commande ./setup.

Je télécharge les règles Snort.
Dans le fichier /etc/snort/local.rules, je rajoute la ligne "alert icmp any any -> any any (msg: "Test icmp snort"; sid:1000001;)"

J'active snort pour les réseau Vert et Rouge : tout est OK, il n'y a aucun message d'erreur ; mais malheureusement, tout se passe comme si Snort ne détectait rien : le fichier /var/log/snort/alert reste désespéremment vide.

j'ai beau faire différentes attaques externes et interne, il ne se passe rien : le journal IDS reste vide !
En d'autres termes, Snort semble inopétrant.

Quelqu'un a -il une idée ?
Merci
Bobm
 
Message(s) : 24
Inscription : 25 Jan 2012 10:35

Re: addon snort et IPCOP V2.1.2

Message par Bobm » 26 Août 2014 15:03

Je crois qu'il y a un problème dans le package snort qui explique qu'il ne se passe rien :

J'ai IPCOP 2.1.5 + snort V2.1.5.
Je lance à la main snort (pour voir ce qui se passe) par la commande :

/usr/sbin/snort -c /etc/snort/snort.conf & et j'obtiens le message d'erreur suivant :


pcap DAQ configured to passive
Acquiring networg traffic from "nflog"
ERROR : Cannot decode data link type 239
Fatal Error, Quitting


Quelqu'un a -il une idée ?
Merci
Bobm
 
Message(s) : 24
Inscription : 25 Jan 2012 10:35

Re: addon snort et IPCOP V2.1.2

Message par Vehrsey » 27 Août 2014 10:08

Télécharger la dernière mise à jour :

http://sourceforge.net/projects/snortad ... =directory
Dernière édition par Vehrsey le 22 Oct 2014 09:49, édité 1 fois.
Vehrsey
 
Message(s) : 54
Inscription : 19 Jan 2012 23:15

Re: addon snort et IPCOP V2.1.2

Message par Bobm » 28 Août 2014 10:47

Je viens de faire une réinstallation complète : IPCOP 2.1.5 + snort du 27/8/2014 ; malheureusement, j'ai toujours le même comportement : les logs de Snort restent vides.

Test effectués :
. lien Google Guide utilisateur Peugeot 307 - Glinche-automobiles
. test sécurité avec site Zebulon

D'autre part , je ne sais pas si c'est normal mais
/usr/sbin/snort -c /etc/snort/snort.conf & donne toujours le message d'erreur suivant :

pcap DAQ configured to passive
Acquiring networg traffic from "nflog"
ERROR : Cannot decode data link type 239
Fatal Error, Quitting
Bobm
 
Message(s) : 24
Inscription : 25 Jan 2012 10:35

Suivant

Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron