Snort на FreeBSD

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
deniss
рядовой
Сообщения: 33
Зарегистрирован: 2010-02-02 10:56:55
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение deniss » 2010-09-24 10:20:09

/usr/local/etc>oinkmaster -o /usr/local/etc/snort/rules -C oinkmaster.conf -C autodisable.conf

Код: Выделить всё

Loading /usr/local/etc/oinkmaster.conf
Loading /usr/local/etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz. Output from wget follows:

 http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gzРаспознаётся www.snort.org... 68.177.102.20
Устанавливается соединение с www.snort.org|68.177.102.20|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 403 Forbidden
2010-09-24 10:20:39 ОШИБКА 403: Forbidden.


Oink, oink. Exiting...

в чем может быть проблема?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rg45
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-11-18 17:31:25

Re: Snort на FreeBSD

Непрочитанное сообщение rg45 » 2010-09-24 17:28:28

Ставим разрешения на изменения конфигурационных файлов в директории BASE

А можно по подробнее ? какие разрешения для какого юзеря , как ставить :oops: ?

rg45
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-11-18 17:31:25

Re: Snort на FreeBSD

Непрочитанное сообщение rg45 » 2010-10-01 10:29:25

c разрешениями туплю, разобрался ...

теперь возникла проблема
Not Using PCAP_FRAMES

libPCAP и snort стоит из портов , последней версии ...

нашел выход пишу :
setenv PCAP_FRAMES max

но так приходиться делать каждый раз и руками .
что при этом происходит вообще не понятно , что делать чтоб ошибка не выскакивала уже ?

п.с. тут вообще есть люди на форуме ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35284
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение Alex Keda » 2010-10-02 17:25:32

хто здеся? :shock:
Убей их всех! Бог потом рассортирует...

rg45
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-11-18 17:31:25

Re: Snort на FreeBSD

Непрочитанное сообщение rg45 » 2010-10-04 14:47:03

Очень приятно вместо подсказки слышать глум.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35284
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение Alex Keda » 2010-10-05 16:46:22

а ваше последнее предложение - что было?

по сабжу - непонятно что и куда вы пишете
Убей их всех! Бог потом рассортирует...

avax_org
проходил мимо
Сообщения: 1
Зарегистрирован: 2010-12-14 18:34:38

Re: Snort на FreeBSD

Непрочитанное сообщение avax_org » 2010-12-14 18:53:44

Подскажите есть ли возможность мониторить через snort+base изменения MAC адресов и пар mac-ip.
Или может как-то можно Arpwatch log втиснуть в отчеты base?

Задачка стоит отслеживать изменение внутри сети маков и айпишников с записью в логи для последующей кары.
Посоветуйте люди добрые что использовать для такого :)

may
рядовой
Сообщения: 13
Зарегистрирован: 2011-05-23 13:57:04

Re: Snort на FreeBSD

Непрочитанное сообщение may » 2011-05-23 14:00:54

Storoge писал(а):Сделал все как в статье, при запуске snortsam пишет следующее:

Код: Выделить всё

Copyright (c) 2001-2008 Frank Knobbe <frank@knobbe.us>. All rights reserved.

Plugin 'fwsam': v 2.5, by Frank Knobbe
Plugin 'fwexec': v 2.7, by Frank Knobbe
Plugin 'pix': v 2.9, by Frank Knobbe
Plugin 'ciscoacl': v 2.12, by Ali Basel <alib@sabanciuniv.edu>
Plugin 'cisconullroute': v 2.3, by Frank Knobbe
Plugin 'netscreen': v 2.9, by Frank Knobbe
Plugin 'ipf': v 2.16, by Erik Sneep <erik@webflex.nl>
Plugin 'ipfw2': v 2.4, by Robert Rolfe <rob@wehostwebpages.com>
Plugin 'watchguard': v 2.6, by Thomas Maier <thomas.maier@arcos.de>
Plugin 'email': v 2.12, by Frank Knobbe
Plugin 'email-blocks-only': v 2.12, by Frank Knobbe
Plugin 'snmpinterfacedown': v 2.2, by Ali BASEL <ali@basel.name.tr>
Plugin 'forward': v 2.5, by Frank Knobbe

Parsing config file /usr/local/etc/snortsam/snortsam.conf...
Linking plugin 'ipfw2'...
Error: [/usr/local/etc/snortsam/snortsam.conf: 739] Inbound block table (1) not defined!
Linking plugin 'fwexec'...
Parsing config file /usr/local/etc/snortsam/rootservers.cfg...
Linking plugin 'email'...
Checking for existing state file "/var/db/snortsam.state".
Found. Reading state file.
Starting to listen for Snort alerts.
В файерволе вроде все есть:

Код: Выделить всё

00023        0           0 deny ip from table(1) to any via em0
00024        0           0 deny ip from any to table(2) via em0

Что-то ему таблица не нравиться, так и должно быть?
Такая же беда, что делать?

may
рядовой
Сообщения: 13
Зарегистрирован: 2011-05-23 13:57:04

Re: Snort на FreeBSD

Непрочитанное сообщение may » 2011-05-23 14:02:54

max1991 писал(а):помогите плиз...
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?
нужно просто раскомментировать #daemon в конфиге, тогда все будет норм, но при этом выводит такой еррор:
Inbound block table (1) not defined
кто нибудь знает что это?

Dober
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Dober » 2011-07-01 13:13:18

Доброго времени суток!
Поставил снорт. Запускается из командной строки нормально, но при добавлении в rc.conf и перезагрузки выдает snort can`t connect to local MySQL server through socket /tmp/mysql.sock
Подскажите, плс, в чем проблема??

Dober
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Dober » 2011-07-05 14:08:20

Сам себе отвечу... Порядок загрузки поменяй! Сначала MySQL потом Snort...

Dober
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Dober » 2011-07-05 14:09:00

Сам себе спасибо скажу: "Спасибо, Dober"

Andr-232
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Andr-232 » 2011-09-06 11:47:11

Thrasher писал(а):При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'

И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.

P.S. : Поисковики ответа не знают


Кто-нибудь подскажите как лечить?

Andr-232
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Andr-232 » 2011-09-13 12:03:05

Andr-232 писал(а):
Thrasher писал(а):При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'

И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.

P.S. : Поисковики ответа не знают


Кто-нибудь подскажите как лечить?
Может кому пригодится: лечится комментированием в snortsam.conf параметра fwexec /sbin/ipfw.
Остальное - по мануалу.
FreeBSD 7.4 порты обновлены, все пакеты устанавливались из портов.
Респект автору статьи.

Аватара пользователя
Hoper
рядовой
Сообщения: 34
Зарегистрирован: 2008-04-29 17:11:23

Re: Snort на FreeBSD

Непрочитанное сообщение Hoper » 2011-12-28 14:57:39

Поставил Snort 2.9.2 из свежих потов на FreeBSD 8.2
в snort.conf есть пункт куда писать логи

Код: Выделить всё

output database: log, mysql, dbname=snort user=snortusr password=123 host=localhost
на что при запуске он ругается вот таким образом:

Код: Выделить всё

>snort -c /usr/local/etc/snort/snort.conf -T
.....
Log directory = /var/log/snort
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! WARNING: The database output plugins are considered deprecated as
!!          of Snort 2.9.2 and will be removed in Snort 2.9.3.
!!          The recommended approach to logging is to use unified2 with
!!          barnyard2 or similar.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
database: must enter database name in configuration file

......

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.2 IPv6 GRE (Build 78) FreeBSD
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2011 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 8.20 2011-10-21
           Using ZLIB version: 1.2.3
Их чего понятно что в версии 2.9.3 логирование в базу данных уберут и советуют пользоваться unified2.
А есть ли читатель этого дела с вебмордой?
money is good servant but a bad master

arykalin
проходил мимо
Сообщения: 3
Зарегистрирован: 2012-05-18 14:34:52

Re: Snort на FreeBSD

Непрочитанное сообщение arykalin » 2012-07-09 18:03:05

День добрый, кто нибудь настраивал снорт как отдельный сервер на которыый копируется (например нетграфом) трафик с других серверов?

Laterport
ефрейтор
Сообщения: 58
Зарегистрирован: 2012-03-30 13:00:17

Re: Snort на FreeBSD

Непрочитанное сообщение Laterport » 2012-07-19 6:23:55

Код: Выделить всё

localhost# oinkmaster -o snort/rules -C oinkmaster.conf -C autodisable.conf
Loading /usr/local/etc/oinkmaster.conf
Loading /usr/local/etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gz. Output from wget follows:

 http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gzResolving www.snort.org (www.snort.org)... 23.23.170.170
Connecting to www.snort.org (www.snort.org)|23.23.170.170|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
2012-07-19 05:50:55 ERROR 403: Forbidden.


Oink, oink. Exiting...
localhost#
В конфиге снорта указана ссылка с моим оинккодом. Может это потому что я не заплатил им?

ya_flomaster
проходил мимо
Сообщения: 5
Зарегистрирован: 2013-05-28 15:22:36

Re: Snort на FreeBSD

Непрочитанное сообщение ya_flomaster » 2013-05-28 16:28:54

Всем доброго времени суток!
Возникла необходимость установить Snort, вроде как ничего не предвещало беды, но..
Когда решил воспользоваться сией статьей, то остановился на этом моменте:

Код: Выделить всё

#cd /usr/ports/security/snort/ && make install clean
все идет норм, но в конце вываливается следующее:

Код: Выделить всё

===>   snort-2.9.4.6 depends on package: daq>=2.0.0 - found
===>   snort-2.9.4.6 depends on file: /usr/local/lib/libnet11/libnet.a - not found
===>    Verifying install for /usr/local/lib/libnet11/libnet.a in /usr/ports/net/libnet
===>  Building for libnet11-1.1.6_1,1
Making all in include
make  all-recursive
Making all in libnet
Making all in win32
Making all in src
/bin/sh /usr/local/bin/libtool --tag=CC    --mode=compile cc -DHAVE_CONFIG_H -I. -I../include -I../include     -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c -o libnet_link_pf.lo libnet_link_pf.c
libtool: compile:  cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c  -fPIC -DPIC -o .libs/libnet_link_pf.o
libnet_link_pf.c:36:35: error: ../include/low_libnet.h: No such file or directory
libnet_link_pf.c:62:23: warning: unknown escape sequence '\y'
libnet_link_pf.c: In function \libnet_close_link_interface':
libnet_link_pf.c:137: error: dereferencing pointer to incomplete type
libnet_link_pf.c: At top level:
libnet_link_pf.c:151: error: expected ';', ',' or ')' before '*' token
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6/src.
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/security/snort.
*** Error code 1
Stop in /usr/ports/security/snort.
иду в /usr/ports/net/libnet
make install clean
и тут следующее:

Код: Выделить всё

===>  Building for libnet11-1.1.6_1,1
Making all in include
make  all-recursive
Making all in libnet
Making all in win32
Making all in src
/bin/sh /usr/local/bin/libtool --tag=CC    --mode=compile cc -DHAVE_CONFIG_H -I. -I../include -I../include     -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c -o libnet_link_pf.lo libnet_link_pf.c
libtool: compile:  cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c  -fPIC -DPIC -o .libs/libnet_link_pf.o
libtool: compile:  cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c  -fPIC -DPIC -o .libs/libnet_link_pf.o
libnet_link_pf.c:36:35: error: ../include/low_libnet.h: No such file or directory
libnet_link_pf.c:62:23: warning: unknown escape sequence '\y'
libnet_link_pf.c: In function \libnet_close_link_interface':
libnet_link_pf.c:137: error: dereferencing pointer to incomplete type
libnet_link_pf.c: At top level:
libnet_link_pf.c:151: error: expected ';', ',' or ')' before '*' token
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6/src.
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/net/libnet.
Пожалуйста, подскажите в чем косяк, а то уже голова болит =(

Код: Выделить всё

FreeBSD 8.3-RELEASE GENERIC i386
Заранее всем спасибо.