Snort на FreeBSD

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Pro
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Pro » 2009-10-09 13:58:14

С правами все ОК. В BASE все по нолям, и лог пустой. Ошибок при запуске снорта нет.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Pro
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Pro » 2009-10-19 12:47:52

Со всем разобрался. Спс за подсказки.
Есть еще 1 вопрос, можно ли в BASE дать пользователям права только на чтение, ведь подключение к базе происходит под конкретным пользователем с конкретными правами?

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-10-20 16:17:37

Pro писал(а):Со всем разобрался. Спс за подсказки.
Есть еще 1 вопрос, можно ли в BASE дать пользователям права только на чтение, ведь подключение к базе происходит под конкретным пользователем с конкретными правами?
Расскажите остальным что за мистика у вас была..

и не понятно каким пользователям давать права на чтения? В статье, base подключается пользователем "snort"...
Создайте другого пользователя с правами на чтения, и подключайтесь им...
P.S
паранойя, она такая.... неопределенная ;-)

Аватара пользователя
Storoge
рядовой
Сообщения: 44
Зарегистрирован: 2007-09-19 12:04:14
Откуда: Брянск
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение Storoge » 2009-11-03 22:10:20

Сделал все как в статье, при запуске snortsam пишет следующее:

Код: Выделить всё

Copyright (c) 2001-2008 Frank Knobbe <frank@knobbe.us>. All rights reserved.

Plugin 'fwsam': v 2.5, by Frank Knobbe
Plugin 'fwexec': v 2.7, by Frank Knobbe
Plugin 'pix': v 2.9, by Frank Knobbe
Plugin 'ciscoacl': v 2.12, by Ali Basel <alib@sabanciuniv.edu>
Plugin 'cisconullroute': v 2.3, by Frank Knobbe
Plugin 'netscreen': v 2.9, by Frank Knobbe
Plugin 'ipf': v 2.16, by Erik Sneep <erik@webflex.nl>
Plugin 'ipfw2': v 2.4, by Robert Rolfe <rob@wehostwebpages.com>
Plugin 'watchguard': v 2.6, by Thomas Maier <thomas.maier@arcos.de>
Plugin 'email': v 2.12, by Frank Knobbe
Plugin 'email-blocks-only': v 2.12, by Frank Knobbe
Plugin 'snmpinterfacedown': v 2.2, by Ali BASEL <ali@basel.name.tr>
Plugin 'forward': v 2.5, by Frank Knobbe

Parsing config file /usr/local/etc/snortsam/snortsam.conf...
Linking plugin 'ipfw2'...
Error: [/usr/local/etc/snortsam/snortsam.conf: 739] Inbound block table (1) not defined!
Linking plugin 'fwexec'...
Parsing config file /usr/local/etc/snortsam/rootservers.cfg...
Linking plugin 'email'...
Checking for existing state file "/var/db/snortsam.state".
Found. Reading state file.
Starting to listen for Snort alerts.
В файерволе вроде все есть:

Код: Выделить всё

00023        0           0 deny ip from table(1) to any via em0
00024        0           0 deny ip from any to table(2) via em0

Что-то ему таблица не нравиться, так и должно быть?

flexbert
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-12-02 12:01:42

Re: Snort на FreeBSD

Непрочитанное сообщение flexbert » 2009-11-04 16:29:32

В конфиге написано как он хочет видеть таблицы:

Код: Выделить всё

#   Example:   ipfw2 ep0 1 2
#
#   With tables rules like:
#              00010 deny ip from any to table(1) via ep0
#              00011 deny ip from table(2) to any via ep0
В правилах поменяйте таблицы местами и все заработает. Или в конфиге измените на "ipfw2 em0 2 1" - тоже заработает.

Аватара пользователя
Storoge
рядовой
Сообщения: 44
Зарегистрирован: 2007-09-19 12:04:14
Откуда: Брянск
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение Storoge » 2010-01-20 19:49:42

С файерволом все нормально, как быть с базой snort'а.
У меня после недели работы она занимает почти 3 Гига.
Нет ли какого-нибудь инструмента чтобы почищать время от времени базу?

HEDG_SS
сержант
Сообщения: 198
Зарегистрирован: 2008-11-22 20:37:07

Re: Snort на FreeBSD

Непрочитанное сообщение HEDG_SS » 2010-01-21 11:28:52

Я просто комментировал действия которые слишком часто встречаются или не несут особой угрозы, но все равно база пухнет на глазах :(.

Аватара пользователя
tray.irk
сержант
Сообщения: 266
Зарегистрирован: 2008-10-22 8:21:36
Откуда: Иркутск
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение tray.irk » 2010-01-25 8:15:16

Вопрос такой ... сделал все по статье ...
я так понял он должен ловить при такой ситуации ... тоесть есть комп в локалке, он сканит на порты другой комп в локалке ... я так понимаю комп со снортом должен ловить ... а он не ловит (((
Числа не управляют миром, но могут показать как управляется мир

flexbert
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-12-02 12:01:42

Re: Snort на FreeBSD

Непрочитанное сообщение flexbert » 2010-01-25 9:25:31

Комп со снортом это один из этих двух? Или он третий?
Если третий, то будет показывать скан только при условии прохождения трафика через него, т.е. те два компа должны быть в разных подсетях, а комп со снортом будет шлюзом между ними.

Аватара пользователя
tray.irk
сержант
Сообщения: 266
Зарегистрирован: 2008-10-22 8:21:36
Откуда: Иркутск
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение tray.irk » 2010-01-25 10:27:55

Комп со снортом это один из этих двух? Или он третий?
Если третий, то будет показывать скан только при условии прохождения трафика через него, т.е. те два компа должны быть в разных подсетях, а комп со снортом будет шлюзом между ними.
комп является "третьим"


нет, ответ не верный ...
так как в манах некоторых написанно, что все работает при таком раскладе ... просто при этом нужно перевести сетевуху в селективный режим ... и тогда ловить будет все!
Числа не управляют миром, но могут показать как управляется мир

flexbert
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-12-02 12:01:42

Re: Snort на FreeBSD

Непрочитанное сообщение flexbert » 2010-01-25 10:42:11

Если знаете ответ, то зачем тогда задаете вопрос?
По поводу селективного режима: как у вас построена сеть между этими тремя компами?
Соединяйте компьютеры через hub, тогда в селективном режиме теоретически снорт будет ловить опасный трафик. А если компьютеры соединены через switch, то теоретически "третий" комп со снортом не видит трафик между теми двумя компьютерами.

Thrasher
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Thrasher » 2010-02-19 12:44:24

При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'

И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.

P.S. : Поисковики ответа не знают

Lexxxxx
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Lexxxxx » 2010-04-23 13:33:14

Доброго дня!

Проблема со сборкой Snort с SnortSAM на FreeBSD 7.2-RELEASE i386

Код: Выделить всё

root@gw:>cat /usr/ports/security/snort/distinfo
MD5 (snort-2.8.5.3.tar.gz) = ef02aaad54746603f2cb3236fe962128
SHA256 (snort-2.8.5.3.tar.gz) = a7d9eb16427514d00926e9892c4a92b6ff1fd0f79555d8f8dce91dfa14112e6a
SIZE (snort-2.8.5.3.tar.gz) = 4730637
MD5 (snortsam-2.8.5.diff.gz) = 5adbf37ed30b7e7b06dcb763310654c7
SHA256 (snortsam-2.8.5.diff.gz) = f23fd04749b4ec3028a35c8db8c2ce0d14beac9c95b52f232229e13930b341f0
SIZE (snortsam-2.8.5.diff.gz) = 29150
после запуска make ошибка при патче:

Код: Выделить всё

root@gw:>make
===>  Found saved configuration for snort-2.8.5.3_1
===>  Extracting for snort-2.8.5.3_1
=> MD5 Checksum OK for snort-2.8.5.3.tar.gz.
=> SHA256 Checksum OK for snort-2.8.5.3.tar.gz.
=> MD5 Checksum OK for snortsam-2.8.5.diff.gz.
=> SHA256 Checksum OK for snortsam-2.8.5.diff.gz.
===>  Patching for snort-2.8.5.3_1
===>  Applying distribution patches for snort-2.8.5.3_1
1 out of 1 hunks failed--saving rejects to etc/snort.conf.rej
*** Error code 1

Stop in /usr/ports/security/snort.
*** Error code 1

Stop in /usr/ports/security/snort.

Есть ли варианты, как это исправить?

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2010-04-23 13:58:13

я так понимаю, вы его пересобираете
может
#make deinstall clean
#make config
#make install clean
Difficile est proprie communia dicere

Lexxxxx
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Lexxxxx » 2010-04-23 17:31:15

Нет, первая установка, я пробовал разные варианты... отключаю snortsam - сборка проходит успешно.
Включаю поддержку - патч не накладывается. Такая проблема на двух серверах под семеркой.
Пробовал более старые релизы snort в пределах 2.8.5 - все аналогично.

Lexxxxx
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Lexxxxx » 2010-04-23 19:30:29

Вот вывод

Код: Выделить всё

root@gw:>cat /usr/ports/security/snort/work/snort-2.8.5.3/etc/snort.conf.rej
***************
*** 883,888 ****
   # redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \
   #   (msg:"Someone is being LEET"; flags:A+;)

   #
   # Include classification & priority settings
   # Note for Windows users:  You are advised to make this an absolute path,
--- 883,913 ----
   # redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \
   #   (msg:"Someone is being LEET"; flags:A+;)

+ # In order to cause Snort to send a blocking request to the SnortSam agent,
+ # that agent has to be listed, including the port it listens on,
+ # and the encryption key it is using. The statement for that is:
+ #
+ # output alert_fwsam: {SnortSam Station}:{port}/{password}
+ #
+ #  {SnortSam Station}: IP address or host name of the host where SnortSam is running.
+ #  {port}:             The port the remote SnortSam agent listens on.
+ #  {password}:         The password, or key, used for encryption of the
+ #                      communication to the remote agent.
+ #
+ # At the very least, the IP address or host name of the host running SnortSam
+ # needs to be specified. If the port is omitted, it defaults to TCP port 898.
+ # If the password is omitted, it defaults to a preset password.
+ # (In which case it needs to be omitted on the SnortSam agent as well)
+ #
+ # More than one host can be specified, but has to be done on the same line.
+ # Just separate them with one or more spaces.
+ #
+ # Examples:
+ #
+ # output alert_fwsam: firewall/idspassword
+ # output alert_fwsam: fw1.domain.tld:898/mykey
+ # output alert_fwsam: 192.168.0.1/borderfw  192.168.1.254/wanfw
+
   #
   # Include classification & priority settings
   # Note for Windows users:  You are advised to make this an absolute path,

Правильно ли я понял, что поддержка SnortSam осуществляется только на уровне конфига snort.conf, и нигде более никакие изменения не нужны?

Lexxxxx
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Lexxxxx » 2010-04-23 19:33:13

Хотя видимо не только:

Код: Выделить всё

root@gw:>make
===>  Patching for snort-2.8.5.3_1
===>  Applying distribution patches for snort-2.8.5.3_1
Ignoring previously applied (or reversed) patch.
1 out of 1 hunks ignored--saving rejects to src/Makefile.am.rej
Ignoring previously applied (or reversed) patch.
1 out of 1 hunks ignored--saving rejects to src/output-plugins/Makefile.am.rej
Ignoring previously applied (or reversed) patch.
2 out of 2 hunks ignored--saving rejects to src/plugbase.c.rej
Ignoring previously applied (or reversed) patch.
1 out of 1 hunks ignored--saving rejects to src/plugin_enum.h.rej
1 out of 1 hunks failed--saving rejects to etc/snort.conf.rej
*** Error code 6

Stop in /usr/ports/security/snort.
*** Error code 1

Stop in /usr/ports/security/snort.

Lexxxxx
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Lexxxxx » 2010-04-23 19:40:30

Посмотрел я эти патчики http://www.snortsam.net/files/snort-plu ... .5.diff.gz
А они идут для snort-2.8.4.1.... хм странно однако...

Остается ставить соответствующую версию снорта :pardon:

Lexxxxx
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Lexxxxx » 2010-04-23 20:01:23

Встала успешно:

Код: Выделить всё

=========================================================================
===> Installing rc.d startup script(s)
===>   Compressing manual pages for snort-2.8.4.1_1
===>   Running ldconfig
/sbin/ldconfig -m /usr/local/lib
===>   Registering installation for snort-2.8.4.1_1
А что у других вариантов нет?

Lexxxxx
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Lexxxxx » 2010-04-27 13:27:25

В общем разобрался, есть вариант:

Т.к. в портах используется старый патчик, нужно заменить его новым.

1. Качаем его по ссылке http://www.snortsam.net/files/snort-plu ... .3.diff.gz в /usr/ports/distfiles/

Код: Выделить всё

wget -O /usr/ports/distfiles/snortsam-2.8.5.3.diff.gz http://www.snortsam.net/files/snort-plugin/snortsam-2.8.5.3.diff.gz
2. Меняем в /usr/ports/security/snort/Makefile строку

Код: Выделить всё

PATCHFILES+=snortsam-2.8.5.diff.gz:snortsam
на

Код: Выделить всё

PATCHFILES+=snortsam-2.8.5.3.diff.gz:snortsam
3. Редактируем/заменяем /usr/ports/security/snort/distinfo

Код: Выделить всё

MD5 (snort-2.8.5.3.tar.gz) = ef02aaad54746603f2cb3236fe962128
SHA256 (snort-2.8.5.3.tar.gz) = a7d9eb16427514d00926e9892c4a92b6ff1fd0f79555d8f8dce91dfa14112e6a
SIZE (snort-2.8.5.3.tar.gz) = 4730637
MD5 (snortsam-2.8.5.3.diff.gz) = 9b6d44d8ea452132044b81a01886f18b
SHA256 (snortsam-2.8.5.3.diff.gz) = 777f21e192de511d586ac2f7d79b308d97cce843d84a4f24f2559f15070d665c
SIZE (snortsam-2.8.5.3.diff.gz) = 28880
Где указаны новые размер, md5 и sha26 суммы.

4. Устанавливаем

Код: Выделить всё

make install clean
:smile:

fedinly
рядовой
Сообщения: 10
Зарегистрирован: 2009-11-10 12:04:52
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение fedinly » 2010-04-28 7:57:07

Доброго времени суток.
Кто сталкивался, подскажите:

Код: Выделить всё

usr/local/bin/oinkmaster -o /usr/local/etc/snort/rules/
Loading /usr/local/etc/oinkmaster.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz. Output from wget follows:

 http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gzРаспознаётся www.snort.org... 68.177.102.20
Устанавливается соединение с www.snort.org|68.177.102.20|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 404 Not Found
2010-04-28 11:44:03 ОШИБКА 404: Not Found.


Oink, oink. Exiting...
ойнккод вроде получил на сайте, в oinkmaster.conf внес...

Аватара пользователя
Boomberbun
ефрейтор
Сообщения: 58
Зарегистрирован: 2009-12-06 0:58:50

Re: Snort на FreeBSD

Непрочитанное сообщение Boomberbun » 2010-05-18 16:37:00

Lexxxxx писал(а):В общем разобрался, есть вариант:

Т.к. в портах используется старый патчик, нужно заменить его новым.

1. Качаем его по ссылке http://www.snortsam.net/files/snort-plu ... .3.diff.gz в /usr/ports/distfiles/

Код: Выделить всё

wget -O /usr/ports/distfiles/snortsam-2.8.5.3.diff.gz http://www.snortsam.net/files/snort-plugin/snortsam-2.8.5.3.diff.gz
2. Меняем в /usr/ports/security/snort/Makefile строку

Код: Выделить всё

PATCHFILES+=snortsam-2.8.5.diff.gz:snortsam
на

Код: Выделить всё

PATCHFILES+=snortsam-2.8.5.3.diff.gz:snortsam
3. Редактируем/заменяем /usr/ports/security/snort/distinfo

Код: Выделить всё

MD5 (snort-2.8.5.3.tar.gz) = ef02aaad54746603f2cb3236fe962128
SHA256 (snort-2.8.5.3.tar.gz) = a7d9eb16427514d00926e9892c4a92b6ff1fd0f79555d8f8dce91dfa14112e6a
SIZE (snort-2.8.5.3.tar.gz) = 4730637
MD5 (snortsam-2.8.5.3.diff.gz) = 9b6d44d8ea452132044b81a01886f18b
SHA256 (snortsam-2.8.5.3.diff.gz) = 777f21e192de511d586ac2f7d79b308d97cce843d84a4f24f2559f15070d665c
SIZE (snortsam-2.8.5.3.diff.gz) = 28880
Где указаны новые размер, md5 и sha26 суммы.

4. Устанавливаем

Код: Выделить всё

make install clean
:smile:

СПАСИБО, добрый человек!

Kaylas
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Kaylas » 2010-05-24 14:52:06

Lexxxxx » 2010-04-27 14:27:25 :good:
Спасибо и низкий поклон за этот, пост здорово помог.

max1991
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение max1991 » 2010-05-24 15:19:43

помогите плиз...
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?

AlexandrKim
проходил мимо
Сообщения: 2
Зарегистрирован: 2010-09-13 10:04:54

Re: Snort на FreeBSD

Непрочитанное сообщение AlexandrKim » 2010-09-15 9:43:38

max1991 писал(а):помогите плиз...
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?
Добрый день!

Тоже делал все как тут описано, но столкнулся с такой же проблемой.

snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.

Кто смог победить это?