mischa
Poziom 17
Joined: 05 Jun 2003
Posts: 387
Location: Swornegacie/Smołdzino
|
 #1
 17 Mar 2010 13:53 IPCop 1.4.21 + SNORT |
|
|
|
Witam
Od dłuższego czasu nie mogłem znaleźć odpowiedzi na pytanie jak uruchomić SNORT-a na wersji IPCop 1.4.21 (właściwie upgrade 1.4.21 na 1.4.20).
Przy podaniu OINK kodu i próbie pobrania nowych reguł pojawia się błąd:
Program pomocniczy zwrócił błąd wykonania: HTTP::Response=HASH(0x85e069c)->code registered md5
Żeby to naprawić wystarczy w pliku:
/usr/local/bin/snortrules.pl
zmienić:
my $rulesbranch="2.6";
na
my $rulesbranch="2.8";
Teraz można już odświeżyć i pobrać reguły, ale przy próbie uruchomienia "Zastosuj teraz" pojawia się komunikat:
1 Snort failure(s) to start
(1) gdy tylko uruchamiany dla Green, (2) gdy Red+Green
Problem jest z uruchamianiem niektórych reguł. Lista ładowanych modułów SNORT jest w pliku:
/etc/snort/ruleslist.conf
Domyślny nie wszystkie moduły się uruchamiają. Dałem sobie czas i metodą prób i błędów sprawdziłem co rusza, co nie. Tym sposobem uzyskałem własną listę działających modułów:
include $RULE_PATH/content-replace.rules
include $RULE_PATH/deleted.rules
include $RULE_PATH/content-replace.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/policy.rules
include $RULE_PATH/porn.rules
include $RULE_PATH/info.rules
include $RULE_PATH/icmp-info.rules
include $RULE_PATH/virus.rules
include $RULE_PATH/chat.rules
include $RULE_PATH/multimedia.rules
include $RULE_PATH/p2p.rules
include $RULE_PATH/experimental.rules
#include $RULE_PATH/smtp.rules
#include $RULE_PATH/open-test.conf
#include $RULE_PATH/scada.rules
#include $RULE_PATH/specific-threats.rules
#include $RULE_PATH/spyware-put.rules
#include $RULE_PATH/voip.rules
#include $RULE_PATH/web-activex.rules
#include $RULE_PATH/exploit.rules
#include $RULE_PATH/scan.rules
#include $RULE_PATH/telnet.rules
#include $RULE_PATH/rpc.rules
#include $RULE_PATH/dos.rules
#include $RULE_PATH/ddos.rules
#include $RULE_PATH/dns.rules
#include $RULE_PATH/tftp.rules
#include $RULE_PATH/web-misc.rules
#include $RULE_PATH/web-client.rules
#include $RULE_PATH/web-php.rules
#include $RULE_PATH/sql.rules
#include $RULE_PATH/netbios.rules
#include $RULE_PATH/misc.rules
#include $RULE_PATH/oracle.rules
#include $RULE_PATH/mysql.rules
#include $RULE_PATH/snmp.rules
#include $RULE_PATH/spyware-put.rules
#include $RULE_PATH/specific-threats.rules
Gdy plik będzie tak wyglądał SNORT ruszy.
Włączenie któregokolwiek z wyłączonych przez "#" modułów powoduje, że SNORT nie ruszy.
Dlaczego - na razie nie wiem, nie znam się :) Ważne, że chociaż parę modułów działa.
Aby wyedytować pliki najprościej włączyć w System->Dostęp przez SSH i używać programu WinSCP.
Pozdrawiam
|
|
