Snort на FreeBSD

[deniss]

/usr/local/etc>oinkmaster -o /usr/local/etc/snort/rules -C oinkmaster.conf -C autodisable.conf

Код: Выделить всё

Loading /usr/local/etc/oinkmaster.conf
Loading /usr/local/etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz. Output from wget follows:

 http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gzРаспознаётся www.snort.org... 68.177.102.20
Устанавливается соединение с www.snort.org|68.177.102.20|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 403 Forbidden
2010-09-24 10:20:39 ОШИБКА 403: Forbidden.


Oink, oink. Exiting...

в чем может быть проблема?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[rg45]

Ставим разрешения на изменения конфигурационных файлов в директории BASE

А можно по подробнее ? какие разрешения для какого юзеря , как ставить ?

[rg45]

c разрешениями туплю, разобрался ...

теперь возникла проблема
Not Using PCAP_FRAMES

libPCAP и snort стоит из портов , последней версии ...

нашел выход пишу :
setenv PCAP_FRAMES max

но так приходиться делать каждый раз и руками .
что при этом происходит вообще не понятно , что делать чтоб ошибка не выскакивала уже ?

п.с. тут вообще есть люди на форуме ?

[Alex Keda]

хто здеся?

[rg45]

Очень приятно вместо подсказки слышать глум.

[Alex Keda]

а ваше последнее предложение - что было?

по сабжу - непонятно что и куда вы пишете

[avax_org]

Подскажите есть ли возможность мониторить через snort+base изменения MAC адресов и пар mac-ip.
Или может как-то можно Arpwatch log втиснуть в отчеты base?

Задачка стоит отслеживать изменение внутри сети маков и айпишников с записью в логи для последующей кары.
Посоветуйте люди добрые что использовать для такого

[may]

Сделал все как в статье, при запуске snortsam пишет следующее:

Код: Выделить всё

Copyright (c) 2001-2008 Frank Knobbe <frank@knobbe.us>. All rights reserved.

Plugin 'fwsam': v 2.5, by Frank Knobbe
Plugin 'fwexec': v 2.7, by Frank Knobbe
Plugin 'pix': v 2.9, by Frank Knobbe
Plugin 'ciscoacl': v 2.12, by Ali Basel <alib@sabanciuniv.edu>
Plugin 'cisconullroute': v 2.3, by Frank Knobbe
Plugin 'netscreen': v 2.9, by Frank Knobbe
Plugin 'ipf': v 2.16, by Erik Sneep <erik@webflex.nl>
Plugin 'ipfw2': v 2.4, by Robert Rolfe <rob@wehostwebpages.com>
Plugin 'watchguard': v 2.6, by Thomas Maier <thomas.maier@arcos.de>
Plugin 'email': v 2.12, by Frank Knobbe
Plugin 'email-blocks-only': v 2.12, by Frank Knobbe
Plugin 'snmpinterfacedown': v 2.2, by Ali BASEL <ali@basel.name.tr>
Plugin 'forward': v 2.5, by Frank Knobbe

Parsing config file /usr/local/etc/snortsam/snortsam.conf...
Linking plugin 'ipfw2'...
Error: [/usr/local/etc/snortsam/snortsam.conf: 739] Inbound block table (1) not defined!
Linking plugin 'fwexec'...
Parsing config file /usr/local/etc/snortsam/rootservers.cfg...
Linking plugin 'email'...
Checking for existing state file "/var/db/snortsam.state".
Found. Reading state file.
Starting to listen for Snort alerts.

В файерволе вроде все есть:

Код: Выделить всё

00023        0           0 deny ip from table(1) to any via em0
00024        0           0 deny ip from any to table(2) via em0

Что-то ему таблица не нравиться, так и должно быть?

Такая же беда, что делать?

[may]

помогите плиз...
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?

нужно просто раскомментировать #daemon в конфиге, тогда все будет норм, но при этом выводит такой еррор:
Inbound block table (1) not defined
кто нибудь знает что это?

[Dober]

Доброго времени суток!
Поставил снорт. Запускается из командной строки нормально, но при добавлении в rc.conf и перезагрузки выдает snort can`t connect to local MySQL server through socket /tmp/mysql.sock
Подскажите, плс, в чем проблема??

[Dober]

Сам себе отвечу... Порядок загрузки поменяй! Сначала MySQL потом Snort...

[Dober]

Сам себе спасибо скажу: "Спасибо, Dober"

[Andr-232]

При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'

И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.

P.S. : Поисковики ответа не знают

Кто-нибудь подскажите как лечить?

[Andr-232]

При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'

И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.

P.S. : Поисковики ответа не знают

Кто-нибудь подскажите как лечить?

Может кому пригодится: лечится комментированием в snortsam.conf параметра fwexec /sbin/ipfw.
Остальное - по мануалу.
FreeBSD 7.4 порты обновлены, все пакеты устанавливались из портов.
Респект автору статьи.

[Hoper]

Поставил Snort 2.9.2 из свежих потов на FreeBSD 8.2
в snort.conf есть пункт куда писать логи

Код: Выделить всё

output database: log, mysql, dbname=snort user=snortusr password=123 host=localhost

на что при запуске он ругается вот таким образом:

Код: Выделить всё

>snort -c /usr/local/etc/snort/snort.conf -T
.....
Log directory = /var/log/snort
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! WARNING: The database output plugins are considered deprecated as
!!          of Snort 2.9.2 and will be removed in Snort 2.9.3.
!!          The recommended approach to logging is to use unified2 with
!!          barnyard2 or similar.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
database: must enter database name in configuration file

......

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.2 IPv6 GRE (Build 78) FreeBSD
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2011 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 8.20 2011-10-21
           Using ZLIB version: 1.2.3

Их чего понятно что в версии 2.9.3 логирование в базу данных уберут и советуют пользоваться unified2.
А есть ли читатель этого дела с вебмордой?

[arykalin]

День добрый, кто нибудь настраивал снорт как отдельный сервер на которыый копируется (например нетграфом) трафик с других серверов?

[Laterport]

Код: Выделить всё

localhost# oinkmaster -o snort/rules -C oinkmaster.conf -C autodisable.conf
Loading /usr/local/etc/oinkmaster.conf
Loading /usr/local/etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gz. Output from wget follows:

 http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gzResolving www.snort.org (www.snort.org)... 23.23.170.170
Connecting to www.snort.org (www.snort.org)|23.23.170.170|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
2012-07-19 05:50:55 ERROR 403: Forbidden.


Oink, oink. Exiting...
localhost#

В конфиге снорта указана ссылка с моим оинккодом. Может это потому что я не заплатил им?

[ya_flomaster]

Всем доброго времени суток!
Возникла необходимость установить Snort, вроде как ничего не предвещало беды, но..
Когда решил воспользоваться сией статьей, то остановился на этом моменте:

Код: Выделить всё

#cd /usr/ports/security/snort/ && make install clean

все идет норм, но в конце вываливается следующее:

Код: Выделить всё

===>   snort-2.9.4.6 depends on package: daq>=2.0.0 - found
===>   snort-2.9.4.6 depends on file: /usr/local/lib/libnet11/libnet.a - not found
===>    Verifying install for /usr/local/lib/libnet11/libnet.a in /usr/ports/net/libnet
===>  Building for libnet11-1.1.6_1,1
Making all in include
make  all-recursive
Making all in libnet
Making all in win32
Making all in src
/bin/sh /usr/local/bin/libtool --tag=CC    --mode=compile cc -DHAVE_CONFIG_H -I. -I../include -I../include     -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c -o libnet_link_pf.lo libnet_link_pf.c
libtool: compile:  cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c  -fPIC -DPIC -o .libs/libnet_link_pf.o
libnet_link_pf.c:36:35: error: ../include/low_libnet.h: No such file or directory
libnet_link_pf.c:62:23: warning: unknown escape sequence '\y'
libnet_link_pf.c: In function \libnet_close_link_interface':
libnet_link_pf.c:137: error: dereferencing pointer to incomplete type
libnet_link_pf.c: At top level:
libnet_link_pf.c:151: error: expected ';', ',' or ')' before '*' token
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6/src.
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/security/snort.
*** Error code 1
Stop in /usr/ports/security/snort.

иду в /usr/ports/net/libnet
make install clean
и тут следующее:

Код: Выделить всё

===>  Building for libnet11-1.1.6_1,1
Making all in include
make  all-recursive
Making all in libnet
Making all in win32
Making all in src
/bin/sh /usr/local/bin/libtool --tag=CC    --mode=compile cc -DHAVE_CONFIG_H -I. -I../include -I../include     -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c -o libnet_link_pf.lo libnet_link_pf.c
libtool: compile:  cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c  -fPIC -DPIC -o .libs/libnet_link_pf.o
libtool: compile:  cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c  -fPIC -DPIC -o .libs/libnet_link_pf.o
libnet_link_pf.c:36:35: error: ../include/low_libnet.h: No such file or directory
libnet_link_pf.c:62:23: warning: unknown escape sequence '\y'
libnet_link_pf.c: In function \libnet_close_link_interface':
libnet_link_pf.c:137: error: dereferencing pointer to incomplete type
libnet_link_pf.c: At top level:
libnet_link_pf.c:151: error: expected ';', ',' or ')' before '*' token
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6/src.
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/net/libnet.

Пожалуйста, подскажите в чем косяк, а то уже голова болит =(

Код: Выделить всё

FreeBSD 8.3-RELEASE GENERIC i386

Заранее всем спасибо.