Snort на FreeBSD
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
Re: Snort на FreeBSD
С правами все ОК. В BASE все по нолям, и лог пустой. Ошибок при запуске снорта нет.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
Re: Snort на FreeBSD
Со всем разобрался. Спс за подсказки.
Есть еще 1 вопрос, можно ли в BASE дать пользователям права только на чтение, ведь подключение к базе происходит под конкретным пользователем с конкретными правами?
Есть еще 1 вопрос, можно ли в BASE дать пользователям права только на чтение, ведь подключение к базе происходит под конкретным пользователем с конкретными правами?
- Zemskov
- рядовой
- Сообщения: 29
- Зарегистрирован: 2009-07-29 14:02:16
Re: Snort на FreeBSD
Расскажите остальным что за мистика у вас была..Pro писал(а):Со всем разобрался. Спс за подсказки.
Есть еще 1 вопрос, можно ли в BASE дать пользователям права только на чтение, ведь подключение к базе происходит под конкретным пользователем с конкретными правами?
и не понятно каким пользователям давать права на чтения? В статье, base подключается пользователем "snort"...
Создайте другого пользователя с правами на чтения, и подключайтесь им...
P.S
паранойя, она такая.... неопределенная
- Storoge
- рядовой
- Сообщения: 44
- Зарегистрирован: 2007-09-19 12:04:14
- Откуда: Брянск
- Контактная информация:
Re: Snort на FreeBSD
Сделал все как в статье, при запуске snortsam пишет следующее:
В файерволе вроде все есть:
Что-то ему таблица не нравиться, так и должно быть?
Код: Выделить всё
Copyright (c) 2001-2008 Frank Knobbe <frank@knobbe.us>. All rights reserved.
Plugin 'fwsam': v 2.5, by Frank Knobbe
Plugin 'fwexec': v 2.7, by Frank Knobbe
Plugin 'pix': v 2.9, by Frank Knobbe
Plugin 'ciscoacl': v 2.12, by Ali Basel <alib@sabanciuniv.edu>
Plugin 'cisconullroute': v 2.3, by Frank Knobbe
Plugin 'netscreen': v 2.9, by Frank Knobbe
Plugin 'ipf': v 2.16, by Erik Sneep <erik@webflex.nl>
Plugin 'ipfw2': v 2.4, by Robert Rolfe <rob@wehostwebpages.com>
Plugin 'watchguard': v 2.6, by Thomas Maier <thomas.maier@arcos.de>
Plugin 'email': v 2.12, by Frank Knobbe
Plugin 'email-blocks-only': v 2.12, by Frank Knobbe
Plugin 'snmpinterfacedown': v 2.2, by Ali BASEL <ali@basel.name.tr>
Plugin 'forward': v 2.5, by Frank Knobbe
Parsing config file /usr/local/etc/snortsam/snortsam.conf...
Linking plugin 'ipfw2'...
Error: [/usr/local/etc/snortsam/snortsam.conf: 739] Inbound block table (1) not defined!
Linking plugin 'fwexec'...
Parsing config file /usr/local/etc/snortsam/rootservers.cfg...
Linking plugin 'email'...
Checking for existing state file "/var/db/snortsam.state".
Found. Reading state file.
Starting to listen for Snort alerts.
Код: Выделить всё
00023 0 0 deny ip from table(1) to any via em0
00024 0 0 deny ip from any to table(2) via em0
Что-то ему таблица не нравиться, так и должно быть?
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2008-12-02 12:01:42
Re: Snort на FreeBSD
В конфиге написано как он хочет видеть таблицы:
В правилах поменяйте таблицы местами и все заработает. Или в конфиге измените на "ipfw2 em0 2 1" - тоже заработает.
Код: Выделить всё
# Example: ipfw2 ep0 1 2
#
# With tables rules like:
# 00010 deny ip from any to table(1) via ep0
# 00011 deny ip from table(2) to any via ep0
- Storoge
- рядовой
- Сообщения: 44
- Зарегистрирован: 2007-09-19 12:04:14
- Откуда: Брянск
- Контактная информация:
Re: Snort на FreeBSD
С файерволом все нормально, как быть с базой snort'а.
У меня после недели работы она занимает почти 3 Гига.
Нет ли какого-нибудь инструмента чтобы почищать время от времени базу?
У меня после недели работы она занимает почти 3 Гига.
Нет ли какого-нибудь инструмента чтобы почищать время от времени базу?
-
- сержант
- Сообщения: 198
- Зарегистрирован: 2008-11-22 20:37:07
Re: Snort на FreeBSD
Я просто комментировал действия которые слишком часто встречаются или не несут особой угрозы, но все равно база пухнет на глазах .
- tray.irk
- сержант
- Сообщения: 266
- Зарегистрирован: 2008-10-22 8:21:36
- Откуда: Иркутск
- Контактная информация:
Re: Snort на FreeBSD
Вопрос такой ... сделал все по статье ...
я так понял он должен ловить при такой ситуации ... тоесть есть комп в локалке, он сканит на порты другой комп в локалке ... я так понимаю комп со снортом должен ловить ... а он не ловит (((
я так понял он должен ловить при такой ситуации ... тоесть есть комп в локалке, он сканит на порты другой комп в локалке ... я так понимаю комп со снортом должен ловить ... а он не ловит (((
Числа не управляют миром, но могут показать как управляется мир
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2008-12-02 12:01:42
Re: Snort на FreeBSD
Комп со снортом это один из этих двух? Или он третий?
Если третий, то будет показывать скан только при условии прохождения трафика через него, т.е. те два компа должны быть в разных подсетях, а комп со снортом будет шлюзом между ними.
Если третий, то будет показывать скан только при условии прохождения трафика через него, т.е. те два компа должны быть в разных подсетях, а комп со снортом будет шлюзом между ними.
- tray.irk
- сержант
- Сообщения: 266
- Зарегистрирован: 2008-10-22 8:21:36
- Откуда: Иркутск
- Контактная информация:
Re: Snort на FreeBSD
комп является "третьим"Комп со снортом это один из этих двух? Или он третий?
Если третий, то будет показывать скан только при условии прохождения трафика через него, т.е. те два компа должны быть в разных подсетях, а комп со снортом будет шлюзом между ними.
нет, ответ не верный ...
так как в манах некоторых написанно, что все работает при таком раскладе ... просто при этом нужно перевести сетевуху в селективный режим ... и тогда ловить будет все!
Числа не управляют миром, но могут показать как управляется мир
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2008-12-02 12:01:42
Re: Snort на FreeBSD
Если знаете ответ, то зачем тогда задаете вопрос?
По поводу селективного режима: как у вас построена сеть между этими тремя компами?
Соединяйте компьютеры через hub, тогда в селективном режиме теоретически снорт будет ловить опасный трафик. А если компьютеры соединены через switch, то теоретически "третий" комп со снортом не видит трафик между теми двумя компьютерами.
По поводу селективного режима: как у вас построена сеть между этими тремя компами?
Соединяйте компьютеры через hub, тогда в селективном режиме теоретически снорт будет ловить опасный трафик. А если компьютеры соединены через switch, то теоретически "третий" комп со снортом не видит трафик между теми двумя компьютерами.
-
- проходил мимо
Re: Snort на FreeBSD
При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'
И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.
P.S. : Поисковики ответа не знают
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'
И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.
P.S. : Поисковики ответа не знают
-
- проходил мимо
Re: Snort на FreeBSD
Доброго дня!
Проблема со сборкой Snort с SnortSAM на FreeBSD 7.2-RELEASE i386
после запуска make ошибка при патче:
Есть ли варианты, как это исправить?
Проблема со сборкой Snort с SnortSAM на FreeBSD 7.2-RELEASE i386
Код: Выделить всё
root@gw:>cat /usr/ports/security/snort/distinfo
MD5 (snort-2.8.5.3.tar.gz) = ef02aaad54746603f2cb3236fe962128
SHA256 (snort-2.8.5.3.tar.gz) = a7d9eb16427514d00926e9892c4a92b6ff1fd0f79555d8f8dce91dfa14112e6a
SIZE (snort-2.8.5.3.tar.gz) = 4730637
MD5 (snortsam-2.8.5.diff.gz) = 5adbf37ed30b7e7b06dcb763310654c7
SHA256 (snortsam-2.8.5.diff.gz) = f23fd04749b4ec3028a35c8db8c2ce0d14beac9c95b52f232229e13930b341f0
SIZE (snortsam-2.8.5.diff.gz) = 29150
Код: Выделить всё
root@gw:>make
===> Found saved configuration for snort-2.8.5.3_1
===> Extracting for snort-2.8.5.3_1
=> MD5 Checksum OK for snort-2.8.5.3.tar.gz.
=> SHA256 Checksum OK for snort-2.8.5.3.tar.gz.
=> MD5 Checksum OK for snortsam-2.8.5.diff.gz.
=> SHA256 Checksum OK for snortsam-2.8.5.diff.gz.
===> Patching for snort-2.8.5.3_1
===> Applying distribution patches for snort-2.8.5.3_1
1 out of 1 hunks failed--saving rejects to etc/snort.conf.rej
*** Error code 1
Stop in /usr/ports/security/snort.
*** Error code 1
Stop in /usr/ports/security/snort.
Есть ли варианты, как это исправить?
- Zemskov
- рядовой
- Сообщения: 29
- Зарегистрирован: 2009-07-29 14:02:16
Re: Snort на FreeBSD
я так понимаю, вы его пересобираете
может
#make deinstall clean
#make config
#make install clean
может
#make deinstall clean
#make config
#make install clean
Difficile est proprie communia dicere
-
- проходил мимо
Re: Snort на FreeBSD
Нет, первая установка, я пробовал разные варианты... отключаю snortsam - сборка проходит успешно.
Включаю поддержку - патч не накладывается. Такая проблема на двух серверах под семеркой.
Пробовал более старые релизы snort в пределах 2.8.5 - все аналогично.
Включаю поддержку - патч не накладывается. Такая проблема на двух серверах под семеркой.
Пробовал более старые релизы snort в пределах 2.8.5 - все аналогично.
-
- проходил мимо
Re: Snort на FreeBSD
Вот вывод
Правильно ли я понял, что поддержка SnortSam осуществляется только на уровне конфига snort.conf, и нигде более никакие изменения не нужны?
Код: Выделить всё
root@gw:>cat /usr/ports/security/snort/work/snort-2.8.5.3/etc/snort.conf.rej
***************
*** 883,888 ****
# redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \
# (msg:"Someone is being LEET"; flags:A+;)
#
# Include classification & priority settings
# Note for Windows users: You are advised to make this an absolute path,
--- 883,913 ----
# redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \
# (msg:"Someone is being LEET"; flags:A+;)
+ # In order to cause Snort to send a blocking request to the SnortSam agent,
+ # that agent has to be listed, including the port it listens on,
+ # and the encryption key it is using. The statement for that is:
+ #
+ # output alert_fwsam: {SnortSam Station}:{port}/{password}
+ #
+ # {SnortSam Station}: IP address or host name of the host where SnortSam is running.
+ # {port}: The port the remote SnortSam agent listens on.
+ # {password}: The password, or key, used for encryption of the
+ # communication to the remote agent.
+ #
+ # At the very least, the IP address or host name of the host running SnortSam
+ # needs to be specified. If the port is omitted, it defaults to TCP port 898.
+ # If the password is omitted, it defaults to a preset password.
+ # (In which case it needs to be omitted on the SnortSam agent as well)
+ #
+ # More than one host can be specified, but has to be done on the same line.
+ # Just separate them with one or more spaces.
+ #
+ # Examples:
+ #
+ # output alert_fwsam: firewall/idspassword
+ # output alert_fwsam: fw1.domain.tld:898/mykey
+ # output alert_fwsam: 192.168.0.1/borderfw 192.168.1.254/wanfw
+
#
# Include classification & priority settings
# Note for Windows users: You are advised to make this an absolute path,
Правильно ли я понял, что поддержка SnortSam осуществляется только на уровне конфига snort.conf, и нигде более никакие изменения не нужны?
-
- проходил мимо
Re: Snort на FreeBSD
Хотя видимо не только:
*** Error code 1
Stop in /usr/ports/security/snort.
Код: Выделить всё
root@gw:>make
===> Patching for snort-2.8.5.3_1
===> Applying distribution patches for snort-2.8.5.3_1
Ignoring previously applied (or reversed) patch.
1 out of 1 hunks ignored--saving rejects to src/Makefile.am.rej
Ignoring previously applied (or reversed) patch.
1 out of 1 hunks ignored--saving rejects to src/output-plugins/Makefile.am.rej
Ignoring previously applied (or reversed) patch.
2 out of 2 hunks ignored--saving rejects to src/plugbase.c.rej
Ignoring previously applied (or reversed) patch.
1 out of 1 hunks ignored--saving rejects to src/plugin_enum.h.rej
1 out of 1 hunks failed--saving rejects to etc/snort.conf.rej
*** Error code 6
Stop in /usr/ports/security/snort.
Stop in /usr/ports/security/snort.
-
- проходил мимо
Re: Snort на FreeBSD
Посмотрел я эти патчики http://www.snortsam.net/files/snort-plu ... .5.diff.gz
А они идут для snort-2.8.4.1.... хм странно однако...
Остается ставить соответствующую версию снорта
А они идут для snort-2.8.4.1.... хм странно однако...
Остается ставить соответствующую версию снорта
-
- проходил мимо
Re: Snort на FreeBSD
Встала успешно:
А что у других вариантов нет?
Код: Выделить всё
=========================================================================
===> Installing rc.d startup script(s)
===> Compressing manual pages for snort-2.8.4.1_1
===> Running ldconfig
/sbin/ldconfig -m /usr/local/lib
===> Registering installation for snort-2.8.4.1_1
-
- проходил мимо
Re: Snort на FreeBSD
В общем разобрался, есть вариант:
Т.к. в портах используется старый патчик, нужно заменить его новым.
1. Качаем его по ссылке http://www.snortsam.net/files/snort-plu ... .3.diff.gz в /usr/ports/distfiles/
2. Меняем в /usr/ports/security/snort/Makefile строку
на
3. Редактируем/заменяем /usr/ports/security/snort/distinfo
Где указаны новые размер, md5 и sha26 суммы.
4. Устанавливаем
Т.к. в портах используется старый патчик, нужно заменить его новым.
1. Качаем его по ссылке http://www.snortsam.net/files/snort-plu ... .3.diff.gz в /usr/ports/distfiles/
Код: Выделить всё
wget -O /usr/ports/distfiles/snortsam-2.8.5.3.diff.gz http://www.snortsam.net/files/snort-plugin/snortsam-2.8.5.3.diff.gz
Код: Выделить всё
PATCHFILES+=snortsam-2.8.5.diff.gz:snortsam
Код: Выделить всё
PATCHFILES+=snortsam-2.8.5.3.diff.gz:snortsam
Код: Выделить всё
MD5 (snort-2.8.5.3.tar.gz) = ef02aaad54746603f2cb3236fe962128
SHA256 (snort-2.8.5.3.tar.gz) = a7d9eb16427514d00926e9892c4a92b6ff1fd0f79555d8f8dce91dfa14112e6a
SIZE (snort-2.8.5.3.tar.gz) = 4730637
MD5 (snortsam-2.8.5.3.diff.gz) = 9b6d44d8ea452132044b81a01886f18b
SHA256 (snortsam-2.8.5.3.diff.gz) = 777f21e192de511d586ac2f7d79b308d97cce843d84a4f24f2559f15070d665c
SIZE (snortsam-2.8.5.3.diff.gz) = 28880
4. Устанавливаем
Код: Выделить всё
make install clean
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2009-11-10 12:04:52
- Контактная информация:
Re: Snort на FreeBSD
Доброго времени суток.
Кто сталкивался, подскажите:
ойнккод вроде получил на сайте, в oinkmaster.conf внес...
Кто сталкивался, подскажите:
Код: Выделить всё
usr/local/bin/oinkmaster -o /usr/local/etc/snort/rules/
Loading /usr/local/etc/oinkmaster.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz. Output from wget follows:
http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gzРаспознаётся www.snort.org... 68.177.102.20
Устанавливается соединение с www.snort.org|68.177.102.20|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 404 Not Found
2010-04-28 11:44:03 ОШИБКА 404: Not Found.
Oink, oink. Exiting...
- Boomberbun
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2009-12-06 0:58:50
Re: Snort на FreeBSD
Lexxxxx писал(а):В общем разобрался, есть вариант:
Т.к. в портах используется старый патчик, нужно заменить его новым.
1. Качаем его по ссылке http://www.snortsam.net/files/snort-plu ... .3.diff.gz в /usr/ports/distfiles/
2. Меняем в /usr/ports/security/snort/Makefile строкуКод: Выделить всё
wget -O /usr/ports/distfiles/snortsam-2.8.5.3.diff.gz http://www.snortsam.net/files/snort-plugin/snortsam-2.8.5.3.diff.gz
наКод: Выделить всё
PATCHFILES+=snortsam-2.8.5.diff.gz:snortsam
3. Редактируем/заменяем /usr/ports/security/snort/distinfoКод: Выделить всё
PATCHFILES+=snortsam-2.8.5.3.diff.gz:snortsam
Где указаны новые размер, md5 и sha26 суммы.Код: Выделить всё
MD5 (snort-2.8.5.3.tar.gz) = ef02aaad54746603f2cb3236fe962128 SHA256 (snort-2.8.5.3.tar.gz) = a7d9eb16427514d00926e9892c4a92b6ff1fd0f79555d8f8dce91dfa14112e6a SIZE (snort-2.8.5.3.tar.gz) = 4730637 MD5 (snortsam-2.8.5.3.diff.gz) = 9b6d44d8ea452132044b81a01886f18b SHA256 (snortsam-2.8.5.3.diff.gz) = 777f21e192de511d586ac2f7d79b308d97cce843d84a4f24f2559f15070d665c SIZE (snortsam-2.8.5.3.diff.gz) = 28880
4. Устанавливаем
Код: Выделить всё
make install clean
СПАСИБО, добрый человек!
-
- проходил мимо
Re: Snort на FreeBSD
Lexxxxx » 2010-04-27 14:27:25
Спасибо и низкий поклон за этот, пост здорово помог.
Спасибо и низкий поклон за этот, пост здорово помог.
-
- проходил мимо
Re: Snort на FreeBSD
помогите плиз...
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2010-09-13 10:04:54
Re: Snort на FreeBSD
Добрый день!max1991 писал(а):помогите плиз...
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?
Тоже делал все как тут описано, но столкнулся с такой же проблемой.
snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Кто смог победить это?