snort+snortsam

scheford

Госпада есть несколько вопросов:

Вообщем использую freebsd 8.0,обновил дерево портов стал устанавливать

(некоторые действия опущу)

-установил snort с опцией mysql
c поодержкой snortsam (изначльно были траблы при установки патча)

Короче установился после некоторых корректировки

-установил base из портов (версия 1.44),как потом выяснилось имеется некоторые проблемы связанные с php,установил версию 1.45

Итого все стало нормально в плане управления через web интерфейс

Установил snortsam,и прочие пакеты

Добавил в snort.conf для работы с snortsam

Код: Выделить всё

output alert_fwsam: 127.0.0.1/snortsam_key

перезагрузил snort и snortsam

А теперь к суте:

Когда я запустил тест:
snort -c /usr/local/etc/snort/snort.conf -T

Код: Выделить всё


Running in Test mode

        --== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/usr/local/etc/snort/snort.conf"
PortVar 'HTTP_PORTS' defined :  [ 80 ]
PortVar 'SHELLCODE_PORTS' defined :  [ 0:79 81:65535 ]
PortVar 'FTP_PORTS' defined :  [ 21 ]
Tagged Packet Limit: 256
Loading dynamic engine /usr/local/lib/snort/dynamicengine/libsf_engine.so... done
Loading all dynamic preprocessor libs from /usr/local/lib/snort/dynamicpreprocessor/...
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//libsf_ftptelnet_preproc.so... done
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//libsf_smtp_preproc.so... done
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//libsf_ssh_preproc.so... done
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//libsf_dcerpc_preproc.so... done
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//libsf_dns_preproc.so... done
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//libsf_ssl_preproc.so... done
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//libsf_dce2_preproc.so... done
  Loading dynamic preprocessor library /usr/local/lib/snort/dynamicpreprocessor//lib_sfdynamic_preprocessor_example.so... done
  Finished Loading all dynamic preprocessor libs from /usr/local/lib/snort/dynamicpreprocessor/
INFO => [Alert_FWsam](FWsamCheckIn) Connected to host .

немного пропущенно...............................

[ Port Based Pattern Matching Memory ]
+-[AC-BNFA Search Info Summary]------------------------------
| Instances        : 240
| Patterns         : 19924
| Pattern Chars    : 110237
| Num States       : 58181
| Num Match States : 9255
| Memory           :   2.04Mbytes
|   Patterns       :   0.56M
|   Match Lists    :   0.54M
|   Transitions    :   0.89M
+-------------------------------------------------

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.8.5.3 (Build 124)  FreeBSD
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2009 Sourcefire, Inc., et al.
           Using PCRE version: 8.00 2009-10-19

           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 1.12  <Build 17>
           Preprocessor Object: SF_Dynamic_Example_Preprocessor  Version 1.0  <Build 1>
           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 2>
           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 3>
           Preprocessor Object: SF_DNS  Version 1.1  <Build 3>
           Preprocessor Object: SF_DCERPC  Version 1.1  <Build 5>
           Preprocessor Object: SF_SSH  Version 1.1  <Build 2>
           Preprocessor Object: SF_SMTP  Version 1.1  <Build 8>
           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 12>

Snort successfully loaded all rules and checked all rule chains!
database: Closing connection to database "snort"
INFO => [Alert_FWsam](FWsamCheckOut) Disconnecting from host .
Snort exiting

Меня смущает строка INFO => [Alert_FWsam](FWsamCheckOut) Disconnecting from host .

Друзья если это ошибка то,где грабли я 80% уверен,что не пашет snortsam

И как он должен работать правельно,а логиrу ни как не уловлю пока, как snortsam работает

Если у кого то все корректно работает,подилитесь опытом подскажите
Так как все, что у меня получилась это загрузить правила сигнатур, настроить интерфейс,создать одно тестовое правилов local.rules типа:
alert tcp any any -> 1,1,1,1 11110 (msg:"TEST log 11110/tcp"; sid:1111110;) как пример
А затем подключивштсь к данному порту, я просмотрел данное собщения через web интерфейс base
Вообщем я хотел бы добить эту тему

-

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

scheford

вообщем я разобрался с проблемой

,подскажите плиз, как правельно настроить pf для snortsam,так как у меня полусилось только на данный момент с ipfw

princeps

ну и делай с ipfw

Как проблему-то решил? написал бы, чтоб если кто вдруг на те же грабли наткнётся.

scheford

princeps писал(а):ну и делай с ipfw
Как проблему-то решил? написал бы, чтоб если кто вдруг на те же грабли наткнётся.

Грабля банальна,неправельно пароль указал в snort.conf,поэтому snortsam был в ауте
И смутила строка INFO => [Alert_FWsam](FWsamCheckOut) Disconnecting from host .
А как потом оказалась это нормально
А так все пашет как часы,просто хотел добить snortsam для pf

max1991 · Непрочитанное сообщение **max1991** » 2010-05-20 11:34:39

>c поодержкой snortsam (изначльно были траблы при установки патча)
>
>Короче установился после некоторых корректировки

а что скорректировать нужно, столкнулся с проблемой, при установке снорта с снорсэм в опциях - не устанавливается ругаясь на патчи, может подскажите как решить?

max1991 · Непрочитанное сообщение **max1991** » 2010-05-24 13:17:37

Итак, для себя и для таких же как я, кто встретился с проблемой при установке snort с поддержкой snortsam из портов. Как оказалось, при установке snort версии 2.8.5.3 с поддержкой вышеописанного пакета используется патч для версии 2.8.5, на на сайте http://www.snortsam.net/ уже давно существует патч для нужной версии, в связи с этим необходимо произвести корректировку файлов Makefile и distinfo. В файле /usr/ports/security/snort/Makefile исправить

Код: Выделить всё

.if defined(WITH_SNORTSAM)
PATCH_SITES+=http://www.snortsam.net/files/snort-plugin/:snortsam
PATCHFILES+=snortsam-2.8.5.diff.gz:snortsam
.endif

на

Код: Выделить всё

.if defined(WITH_SNORTSAM)
PATCH_SITES+=http://www.snortsam.net/files/snort-plugin/:snortsam
PATCHFILES+=snortsam-2.8.5.3.diff.gz:snortsam
.endif

После этого отредактировать файл /usr/ports/security/snort/distinfo, изменить

Код: Выделить всё

MD5 (snortsam-2.8.5.diff.gz) = 5adbf37ed30b7e7b06dcb763310654c7
SHA256 (snortsam-2.8.5.diff.gz) = f23fd04749b4ec3028a35c8db8c2ce0d14beac9c95b52f232229e13930b341f0
SIZE (snortsam-2.8.5.diff.gz) = 29150

на

Код: Выделить всё

MD5 (snortsam-2.8.5.3.diff.gz) = 9b6d44d8ea452132044b81a01886f18b
SHA256 (snortsam-2.8.5.3.diff.gz) = 777f21e192de511d586ac2f7d79b308d97cce843d84a4f24f2559f15070d665c
SIZE (snortsam-2.8.5.3.diff.gz) = 28880

После этих манипуляций я выполнил команду make install clean, и у меня все установилось.

forum.lissyara.su

snort+snortsam

snort+snortsam

Услуги хостинговой компании Host-Food.ru

Re: snort+snortsam

Re: snort+snortsam

Re: snort+snortsam

Re: snort+snortsam

Re: snort+snortsam