IDS startet nicht in der Version IPFIRE 2.5

flo90
Posts: 26
Joined: May 2nd, 2009, 8:31 am

IDS startet nicht in der Version IPFIRE 2.5

Post by flo90 » June 23rd, 2009, 3:41 pm

Hallo, leider habe ich bereits einen Bug in der neuen IPFIRE Version gefunden. Das IDS startet nicht. Ich habe es bereits über die Konsole versucht, die Ausgabe lautet:
./snort start
Starting Intrusion Detection System on green0...                      [ FAIL ]
chmod: cannot access `/var/run/snort_green0.pid': No such file or directory
Starting Intrusion Detection System on blue0...                        [ FAIL ]
chmod: cannot access `/var/run/snort_blue0.pid': No such file or directory
Starting Intrusion Detection System on ppp0...                        [ FAIL ]
chmod: cannot access `/var/run/snort_ppp0.pid': No such file or directory

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by Maniacikarus » June 23rd, 2009, 3:53 pm

bitte mal snort auf der console starten ich hatte da einen fehler mit den community bot rules festgestellt bin aber noch nicht ganz dahiner gekommen, evtl. passt ihm auch eine andere rule nicht die Fehlermeldung ist etwas gemein, snort startet nicht deswegen geht auch das chmod auf die pid nicht

Code: Select all

/usr/sbin/snort -c /etc/snort/snort.conf -i $DEVICE -l /var/log/snort --create-pidfile --nolock-pidfile --pid-path /var/run/
Last edited by Maniacikarus on June 23rd, 2009, 4:09 pm, edited 1 time in total.
Image

flo90
Posts: 26
Joined: May 2nd, 2009, 8:31 am

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by flo90 » June 23rd, 2009, 4:26 pm

Jo, da stimmt etwas mit den Rules nicht, ausgeführt habe ich:
snort -c /etc/snort/snort.conf -i ppp0 -l /var/log/snort --create-pidfile --nolock-pidfile --pid-path /var/run/

bekommen habe ich zum Schluss:
Initializing rule chains...
ERROR: /etc/snort/rules/community-smtp.rules(13) => !any is not allowed
Fatal Error, Quitting..

Bei den "community-virus.rules(19)" ist das gleiche Problem, habe sie jetzt deaktiviert und schon funktioniert es. Aber kannst du mir erklären, warum man die Rules auswählen kann und weshalb steht überall "No description available" darunter, ist das normal?

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by Maniacikarus » June 23rd, 2009, 5:05 pm

Die community rules sind alt und ich hab so dass Gefühl dass die zum Teil nicht mehr funktionieren mit neueren Snort, dh die müssen wir sicher bald entfernen, die Description ist leer weil da halt nichts drin steht, sind halt keine offiziellen sourcefire rules.
Image

Swans

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by Swans » June 26th, 2009, 6:27 pm

Ja, ohne diese beiden Rules
- community-smtp.rules
- community-virus.rules
läuft alles einwandfrei. Habt Ihr schon die Fehler in diesen Rules herausgefunden?
->gruß

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by MichaelTremer » June 27th, 2009, 7:51 am

Ihr könntet euch bei Sourcefire registrieren (kostenlos) und dann die aktuelleren Regeln benutzen. Ich schätze nicht, dass die Communityregel halbwegs up2date sind und somit kaum noch die neuesten Angriffe finden.

Michael
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by Maniacikarus » June 27th, 2009, 8:41 am

Soweit ich das  gelesen habe werden diese Regeln nicht mehr gepflegt und sind somit nicht mehr völlig kompatibel mit neueren Snort Version, man sollte also auf die registered rules setzen, ich werde ggf. fürs core29 die community rules entfernen, sodass snort auch nur noch registered und subscriped geht.
Image

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by MichaelTremer » June 27th, 2009, 8:42 am

Jo, das hätte ich auch vorgeschlagen.

Snort ist leider ein kommerzielles Produkt und die müssen halt auch irgendwie Geld verdienen :D
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

cyke

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by cyke » July 3rd, 2009, 7:57 am

Ich bekomme irgendtwie keine "registered" Regeln runter geladen. Ich bekomme immer nur die Meldung "Regeln sind schon aktuell". Der Oinkcode ist aber ok. Hatte zuvor die Community Rules von Hand gelöscht.

Grüße
Christian

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by Maniacikarus » July 3rd, 2009, 10:06 am

Mit core29 werden wir am snort nochmal nachjustieren, sourcefire hat in letzter Zeit leider sehr häufig etwas geändert, wenn Du ins git oder in den Bugtracker schaust siehst Du das sich da schon was getan hat
Image

rowie
Mentor
Mentor
Posts: 1196
Joined: April 9th, 2006, 3:33 pm
Location: Oberoesterreich
Contact:

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by rowie » July 4th, 2009, 8:31 am

Ich habe die Änderungen vom git übernommen aber trotzdem das selbe problem, da ich die "Sourcefire VRT Zertifizierte Regeln" nicht laden kann!
Image

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by Maniacikarus » July 4th, 2009, 5:31 pm

Ja also dass ihr das nicht 5mal nacheinander machen kannst ist euch klar oder? Vielleicht hat Sourcefire auch wieder Probleme mit dem Download das hatten sie nämlich letzten als ich das debuggen wollte. Ich kanns mir zu Hause nochmal anschauen, aber bei mir ging das Update problemlos!
Image

unheilig666

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by unheilig666 » July 11th, 2009, 4:45 pm

hallo leute!

ich wollte nur sagen das ich das selbe problem hatte... konnte eben nicht alle regelsätze aktivieren... aber das problem wird sicher in nächster version gelöst... freu mich schon drauf!

bin übrigens auch einer von denen die vom IPCop zu IPfire gewechselt sind... ein unterschied wie tag und nacht... ipfire ist um einiges moderner und bereits ohne addons mächtiger... bei IPCop steht momentan alles still, updates gab es seit nem' 3/4 jahr nicht mehr und die entwickler sowie das forum generell ist alles andere als hilfsbereit, um es mal freundich auszudrücken... das snort-versions-problem und der kommentar der entwickler dazu "tja pech, wenns nicht geht, nutz es eben nicht!" haben dann schließlich das fass zum überlaufen gebracht und ich bin zu ipfire gewechselt... vielen dank das ihr euch die mühe macht snort weiterzupflegen obwohl das sicher nicht einfach ist!


P.S.: schön das man hier im forum keinen duden neben der tastatur liegen haben muss... im ipcop forum wird man für nachlässige rechtschreib-sorgfalt gleich gelyncht!  ::)

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by Maniacikarus » July 11th, 2009, 6:39 pm

Jup an snort sind wir dran, müsste auch im bugtracker stehen, sourcefire is da manchmal etwas schwierig
Image

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: IDS startet nicht in der Version IPFIRE 2.5

Post by MichaelTremer » July 11th, 2009, 10:21 pm

unheilig666 wrote:...-sorgfalt gleich gelyncht!  ::)


Ach das schreibt man so?!
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Post Reply