Страница 3 из 3
Re: Snort на FreeBSD
Добавлено: 2010-09-24 10:20:09
deniss
/usr/local/etc>oinkmaster -o /usr/local/etc/snort/rules -C oinkmaster.conf -C autodisable.conf
Код: Выделить всё
Loading /usr/local/etc/oinkmaster.conf
Loading /usr/local/etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gz. Output from wget follows:
http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.4.tar.gzРаспознаётся www.snort.org... 68.177.102.20
Устанавливается соединение с www.snort.org|68.177.102.20|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 403 Forbidden
2010-09-24 10:20:39 ОШИБКА 403: Forbidden.
Oink, oink. Exiting...
в чем может быть проблема?
Re: Snort на FreeBSD
Добавлено: 2010-09-24 17:28:28
rg45
Ставим разрешения на изменения конфигурационных файлов в директории BASE
А можно по подробнее ? какие разрешения для какого юзеря , как ставить
?
Re: Snort на FreeBSD
Добавлено: 2010-10-01 10:29:25
rg45
c разрешениями туплю, разобрался ...
теперь возникла проблема
Not Using PCAP_FRAMES
libPCAP и snort стоит из портов , последней версии ...
нашел выход пишу :
setenv PCAP_FRAMES max
но так приходиться делать каждый раз и руками .
что при этом происходит вообще не понятно , что делать чтоб ошибка не выскакивала уже ?
п.с. тут вообще есть люди на форуме ?
Re: Snort на FreeBSD
Добавлено: 2010-10-02 17:25:32
Alex Keda
хто здеся?
Re: Snort на FreeBSD
Добавлено: 2010-10-04 14:47:03
rg45
Очень приятно вместо подсказки слышать глум.
Re: Snort на FreeBSD
Добавлено: 2010-10-05 16:46:22
Alex Keda
а ваше последнее предложение - что было?
по сабжу - непонятно что и куда вы пишете
Re: Snort на FreeBSD
Добавлено: 2010-12-14 18:53:44
avax_org
Подскажите есть ли возможность мониторить через snort+base изменения MAC адресов и пар mac-ip.
Или может как-то можно Arpwatch log втиснуть в отчеты base?
Задачка стоит отслеживать изменение внутри сети маков и айпишников с записью в логи для последующей кары.
Посоветуйте люди добрые что использовать для такого
Re: Snort на FreeBSD
Добавлено: 2011-05-23 14:00:54
may
Storoge писал(а):Сделал все как в статье, при запуске snortsam пишет следующее:
Код: Выделить всё
Copyright (c) 2001-2008 Frank Knobbe <frank@knobbe.us>. All rights reserved.
Plugin 'fwsam': v 2.5, by Frank Knobbe
Plugin 'fwexec': v 2.7, by Frank Knobbe
Plugin 'pix': v 2.9, by Frank Knobbe
Plugin 'ciscoacl': v 2.12, by Ali Basel <alib@sabanciuniv.edu>
Plugin 'cisconullroute': v 2.3, by Frank Knobbe
Plugin 'netscreen': v 2.9, by Frank Knobbe
Plugin 'ipf': v 2.16, by Erik Sneep <erik@webflex.nl>
Plugin 'ipfw2': v 2.4, by Robert Rolfe <rob@wehostwebpages.com>
Plugin 'watchguard': v 2.6, by Thomas Maier <thomas.maier@arcos.de>
Plugin 'email': v 2.12, by Frank Knobbe
Plugin 'email-blocks-only': v 2.12, by Frank Knobbe
Plugin 'snmpinterfacedown': v 2.2, by Ali BASEL <ali@basel.name.tr>
Plugin 'forward': v 2.5, by Frank Knobbe
Parsing config file /usr/local/etc/snortsam/snortsam.conf...
Linking plugin 'ipfw2'...
Error: [/usr/local/etc/snortsam/snortsam.conf: 739] Inbound block table (1) not defined!
Linking plugin 'fwexec'...
Parsing config file /usr/local/etc/snortsam/rootservers.cfg...
Linking plugin 'email'...
Checking for existing state file "/var/db/snortsam.state".
Found. Reading state file.
Starting to listen for Snort alerts.
В файерволе вроде все есть:
Код: Выделить всё
00023 0 0 deny ip from table(1) to any via em0
00024 0 0 deny ip from any to table(2) via em0
Что-то ему таблица не нравиться, так и должно быть?
Такая же беда, что делать?
Re: Snort на FreeBSD
Добавлено: 2011-05-23 14:02:54
may
max1991 писал(а):помогите плиз...
сделал пос татье, все работает, BASE показывает события, но snortsam при старте системы пишет
Starting to listen for Snort alerts.
И на этом загрузка системы останавливается и не продолжается пока по Ctrl+C не отменить данное действие.
Разве так и должно быть, что я пропустил?
нужно просто раскомментировать #daemon в конфиге, тогда все будет норм, но при этом выводит такой еррор:
Inbound block table (1) not defined
кто нибудь знает что это?
Re: Snort на FreeBSD
Добавлено: 2011-07-01 13:13:18
Dober
Доброго времени суток!
Поставил снорт. Запускается из командной строки нормально, но при добавлении в rc.conf и перезагрузки выдает snort can`t connect to local MySQL server through socket /tmp/mysql.sock
Подскажите, плс, в чем проблема??
Re: Snort на FreeBSD
Добавлено: 2011-07-05 14:08:20
Dober
Сам себе отвечу... Порядок загрузки поменяй! Сначала MySQL потом Snort...
Re: Snort на FreeBSD
Добавлено: 2011-07-05 14:09:00
Dober
Сам себе спасибо скажу: "Спасибо, Dober"
Re: Snort на FreeBSD
Добавлено: 2011-09-06 11:47:11
Andr-232
Thrasher писал(а):При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'
И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.
P.S. : Поисковики ответа не знают
Кто-нибудь подскажите как лечить?
Re: Snort на FreeBSD
Добавлено: 2011-09-13 12:03:05
Andr-232
Andr-232 писал(а):Thrasher писал(а):При срабатывания snortsam, пишет :
Blocking host 92.255.хх.хх inbound for 300 seconds (Sig_ID: 1111111).
ipfw: bad command `sam'
И ессно, ничего в таблицу не добавляет. Насколько я понимаю snortsam при добавлении узла не соблюдает синтаксис ipfw, только как это лечить не очень понятно.
P.S. : Поисковики ответа не знают
Кто-нибудь подскажите как лечить?
Может кому пригодится: лечится комментированием в snortsam.conf параметра fwexec /sbin/ipfw.
Остальное - по мануалу.
FreeBSD 7.4 порты обновлены, все пакеты устанавливались из портов.
Респект автору статьи.
Re: Snort на FreeBSD
Добавлено: 2011-12-28 14:57:39
Hoper
Поставил Snort 2.9.2 из свежих потов на FreeBSD 8.2
в snort.conf есть пункт куда писать логи
Код: Выделить всё
output database: log, mysql, dbname=snort user=snortusr password=123 host=localhost
на что при запуске он ругается вот таким образом:
Код: Выделить всё
>snort -c /usr/local/etc/snort/snort.conf -T
.....
Log directory = /var/log/snort
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! WARNING: The database output plugins are considered deprecated as
!! of Snort 2.9.2 and will be removed in Snort 2.9.3.
!! The recommended approach to logging is to use unified2 with
!! barnyard2 or similar.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
database: must enter database name in configuration file
......
,,_ -*> Snort! <*-
o" )~ Version 2.9.2 IPv6 GRE (Build 78) FreeBSD
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2011 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 8.20 2011-10-21
Using ZLIB version: 1.2.3
Их чего понятно что в версии 2.9.3 логирование в базу данных уберут и советуют пользоваться unified2.
А есть ли читатель этого дела с вебмордой?
Re: Snort на FreeBSD
Добавлено: 2012-07-09 18:03:05
arykalin
День добрый, кто нибудь настраивал снорт как отдельный сервер на которыый копируется (например нетграфом) трафик с других серверов?
Re: Snort на FreeBSD
Добавлено: 2012-07-19 6:23:55
Laterport
Код: Выделить всё
localhost# oinkmaster -o snort/rules -C oinkmaster.conf -C autodisable.conf
Loading /usr/local/etc/oinkmaster.conf
Loading /usr/local/etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gz...
/usr/local/bin/oinkmaster: Error: could not download from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gz. Output from wget follows:
http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2900.tar.gzResolving www.snort.org (www.snort.org)... 23.23.170.170
Connecting to www.snort.org (www.snort.org)|23.23.170.170|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
2012-07-19 05:50:55 ERROR 403: Forbidden.
Oink, oink. Exiting...
localhost#
В конфиге снорта указана ссылка с моим оинккодом. Может это потому что я не заплатил им?
Re: Snort на FreeBSD
Добавлено: 2013-05-28 16:28:54
ya_flomaster
Всем доброго времени суток!
Возникла необходимость установить Snort, вроде как ничего не предвещало беды, но..
Когда решил воспользоваться
сией статьей, то остановился на этом моменте:
Код: Выделить всё
#cd /usr/ports/security/snort/ && make install clean
все идет норм, но в конце вываливается следующее:
Код: Выделить всё
===> snort-2.9.4.6 depends on package: daq>=2.0.0 - found
===> snort-2.9.4.6 depends on file: /usr/local/lib/libnet11/libnet.a - not found
===> Verifying install for /usr/local/lib/libnet11/libnet.a in /usr/ports/net/libnet
===> Building for libnet11-1.1.6_1,1
Making all in include
make all-recursive
Making all in libnet
Making all in win32
Making all in src
/bin/sh /usr/local/bin/libtool --tag=CC --mode=compile cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c -o libnet_link_pf.lo libnet_link_pf.c
libtool: compile: cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c -fPIC -DPIC -o .libs/libnet_link_pf.o
libnet_link_pf.c:36:35: error: ../include/low_libnet.h: No such file or directory
libnet_link_pf.c:62:23: warning: unknown escape sequence '\y'
libnet_link_pf.c: In function \libnet_close_link_interface':
libnet_link_pf.c:137: error: dereferencing pointer to incomplete type
libnet_link_pf.c: At top level:
libnet_link_pf.c:151: error: expected ';', ',' or ')' before '*' token
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6/src.
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/security/snort.
*** Error code 1
Stop in /usr/ports/security/snort.
иду в /usr/ports/net/libnet
make install clean
и тут следующее:
Код: Выделить всё
===> Building for libnet11-1.1.6_1,1
Making all in include
make all-recursive
Making all in libnet
Making all in win32
Making all in src
/bin/sh /usr/local/bin/libtool --tag=CC --mode=compile cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c -o libnet_link_pf.lo libnet_link_pf.c
libtool: compile: cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c -fPIC -DPIC -o .libs/libnet_link_pf.o
libtool: compile: cc -DHAVE_CONFIG_H -I. -I../include -I../include -O2 -pipe -fPIC -fno-strict-aliasing -std=gnu89 -c libnet_link_pf.c -fPIC -DPIC -o .libs/libnet_link_pf.o
libnet_link_pf.c:36:35: error: ../include/low_libnet.h: No such file or directory
libnet_link_pf.c:62:23: warning: unknown escape sequence '\y'
libnet_link_pf.c: In function \libnet_close_link_interface':
libnet_link_pf.c:137: error: dereferencing pointer to incomplete type
libnet_link_pf.c: At top level:
libnet_link_pf.c:151: error: expected ';', ',' or ')' before '*' token
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6/src.
*** Error code 1
Stop in /usr/ports/net/libnet/work/libnet-1.1.6.
*** Error code 1
Stop in /usr/ports/net/libnet.
*** Error code 1
Stop in /usr/ports/net/libnet.
Пожалуйста, подскажите в чем косяк, а то уже голова болит =(
Заранее всем спасибо.