SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

User avatar
neumeier
Posts: 23
Joined: July 30th, 2009, 6:38 am

SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by neumeier » February 28th, 2010, 9:18 pm

Hallo!

Dauerthema Snort...

Habe heute IPfire neu installiert, Version 2.5 - core 36.
Snort Regeln Update: VTR
Bin bei Snort registriert, habe Oinkcode, sogar auch neu.

Leider kann ich red und green nicht mit IDS aktivieren, da die RULES fehlen!
Es wird zwar unter Dienste angezeigt, dass Snort aktiv wäre, aber nur mit jeweils 4MB Speicherbedarf.
Aus Erfahrung weiss ich, dass Snort jeweil mind. 60MB verbraucht, es fehlt hier also gehörig was...

Zudem bekomme ich beim Update diese Meldung:
Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

An meinen Einstellungen liegt's nicht, kenne Snort schon von IPcop, SmoothWall und Vorgängerversionen von IPfire.

WAS NUN LOS MIT SNORT??
Wieder mal nicht updatfähig, wegen neuer Snort-Version, wie bei IPcop oder früheren IPfire?

Wäre um Lösung dankbar, zudem IDS in Verbindung mit Guardian zum IPS ein wichtiges Kriterium für die Verwendung von IPfire ist.


User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by Maniacikarus » March 1st, 2010, 7:02 am

Also dem schnellen Blick nach zu urteilen gibts die MD5 Files nicht mehr, die Rules selber kann man aber noch downloaden, daher meckert die CGI natürlich.

aus dem Code mal alles was md5 is rausnehmen, dann sollte die CGI wieder funktionieren

Code: Select all

if ($snortsettings{'ACTION'} eq $Lang::tr{'download new ruleset'}) {
   $md5 = &getmd5;
   if (($snortsettings{'INSTALLMD5'} ne $md5) && defined $md5 ) {
      chomp($md5);
      my $filename = &downloadrulesfile();
      if (defined $filename) {
         # Check MD5sum
         $realmd5 = `/usr/bin/md5sum $filename`;
         chomp ($realmd5);
         $realmd5 =~ s/^(\w+)\s.*$/$1/;
         if ( $md5 ne $realmd5 ) {
            $errormessage = "$Lang::tr{'invalid md5sum'} - $md5 - $realmd5";
         } else {
            $results = "<b>$Lang::tr{'installed updates'}</b>\n<pre>";
            $results .=`/usr/local/bin/oinkmaster.pl -s -u file://$filename -C /var/ipfire/snort/oinkmaster.conf -o /etc/snort/rules 2>&1`;
            $results .= "</pre>";
         }
         unlink ($filename);
      }
   }
}
Image

User avatar
neumeier
Posts: 23
Joined: July 30th, 2009, 6:38 am

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by neumeier » March 1st, 2010, 8:01 am

.

Hi danke erstmal,

...aber:

??? WIE bekomme ich die "snortrules-snapshot-2.8.tar.gz" in den IPfire?

(klar mit WinSCP, aber soll ich die gz entpacken, oder installieren und wie oder nur was extrahieren und dann bei IPfire wo in welchen Ordner einfügen?????)

??? Und WO in welchem Code soll ich MD5 rausnehmen?

Please a little bit more info... ::)

;D




.

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by Maniacikarus » March 1st, 2010, 8:16 am

Image

User avatar
neumeier
Posts: 23
Joined: July 30th, 2009, 6:38 am

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by neumeier » March 1st, 2010, 9:38 pm

.



Hallo!

Konnte nach der Beschreibung SNORT installieren. Die Updates funktionieren aber weiterhin nicht.

Zudem zeigt IDS in der Statusinformation ein sehr seltsames Verhalten!
Intrusion Detection System (GREEN) und Intrusion Detection System (RED) sollte eigentlich grün und damit aktiv sein (Status "Läuft").
Allerdings zeigt erst IDS GREEN einen ansteigenden Speicherbedarf und kippt dann bei etwa 30 Mb von "Läuft" auf "Angehalten" um dann das selbe Verhalten auf RED zu zeigen. Dann sind wieder beide auf "Angehalten" um dann bei GREEN wieder aufzulaufen.
Das Verhalten lässt sich beobachten, indem die GUI "Dienste" im 10 sek- Takt aktualisiert wird, das Kipp-Spiel dauert etwa 1-2 Minuten.

Was soll das??
Irgendwie ist Snort bzw. IDS nicht mehr das, was es vorher war.

Bitte dieses Modul entweder aus IPfire komplett entfernen oder so anbieten, dass es verwendbar ist!!

Kommt hier einer auf ein Lösung und kann jemand dieses seltsame Verhalten erklären?? ::)




???  ::)
.

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by Maniacikarus » March 9th, 2010, 9:00 pm

Die Probleme mit dem Download sollten behoben sein bzw. wurden von sourcefire gefixt.
Image

User avatar
traxxus
Mentor
Mentor
Posts: 574
Joined: April 28th, 2010, 4:51 pm

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by traxxus » May 27th, 2010, 2:55 pm

IRgendwie geht's wieder nicht:

Konnte die neuesten Updates nicht downloaden.


Was ist nun schief?

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by Maniacikarus » May 27th, 2010, 3:02 pm

Die Rules bitte manuell runterladen und per Oinkmaster laden, wenn man aktualisieren möchte, bitte aber auch darauf achten, dass diese Rules für die 2.8.5.3 sind und wir noch 2.8.4 verwenden

http://www.snort.org/snort-rules/?#rules

2.8-current gibts nicht mehr, mit IPFire 2.7 wird auf 2.8.6 geupdated, dann solltest das wieder passen, die rules heissen dann 2860, das ist zumindest Stand jetzt, vielleicht ändert sourcefire das aber morgen schonwieder
Image

omerk
Posts: 39
Joined: June 1st, 2010, 12:43 pm

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by omerk » June 11th, 2010, 9:30 am

Gibt's die snortrules-snapshot-2.8.tar.gz irgendwo anders zum download? snort bietet die ja seit Juni nicht mehr an. Ich möchte gerne meine core37 installation mit snort 2.8.4 mit (wenn auch älteren) Regeln befüllen....
Image

omerk
Posts: 39
Joined: June 1st, 2010, 12:43 pm

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by omerk » June 11th, 2010, 12:56 pm

Hab mich heute auch damit rumschlagen müssen: http://forum.ipfire.org//viewtopic.php?t=4

Kurz: Manuell runterladen, per oinkmaster installieren, Rechte anpassen und los gehts....

Wobei mich das letzte Posting von Maniacikarus nicht gerade glücklich macht. Ich hoffe 2.7 machts besser.
Image

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by Maniacikarus » June 11th, 2010, 1:00 pm

Ich habe diesen unqualifizierten Beitrag vom User neumeier gelöscht, wenn man keine Ahnung von den Hintergründen hat sollte man sich mit manch sinnlosen Beiträgen zurück halten, oder es selber anpacken und im Sinne von Open Source zur Verbesserung aktiv beitragen. Ich denke ein zwei Posts weiter oben steht ganz genau was das Problem mit snort ist.
Last edited by Maniacikarus on June 11th, 2010, 1:01 pm, edited 1 time in total.
Image

User avatar
neumeier
Posts: 23
Joined: July 30th, 2009, 6:38 am

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by neumeier » July 8th, 2010, 6:37 am

Hallo...

ich habe heute die neueste IPfire Version installiert und hatte gehofft, das Dauer-Snort-Problem wäre nun wie angekündigt gelöst... Pusteblume!

Nur die Emerging.rules lassen sich updaten bzw. überhaupt laden. Snort VTR werden wieder ignoriert, trotz richtigem Oinkcode.

Ich habe es zwar geschafft die Snort v2.8.6 Rules manuell zu integrieren, ist aber verdammt umständlich und nicht Sinne des Erfinders, wenn es einen Button "aktualisieren" gibt!!

Fraglich ist die Aktualisierung der preproc_rules.

Überhaupt vermisse ich bei IPfire in dem IDS-System diverse Modifikationsmöglichkeiten wie zB. Speichernutzung (AC-BNFA, ACS, AC-STD, LOWMEM etc.), Einstellung des PreProzessors (Ansprechschwelle, Porteinstellungen SSL etc..),
und und und ect ppt---

Kritik ist doch auch eine Form von aktiver Mitarbeit, oder? Beitrag also bitte nicht gleich wieder löschen!
SNORT ist richtig eingesetzt ein MÄCHTIGES Werkzeug - Warum wird es seit der Wurzel von IPcop so Stiefmütterlich behandelt?
Manche schalten Snort einfach ab und bemängel den "hohen" Speicherbedarf um die 60MB. Das ist lächerlich! Ein richtiges Snort braucht gut und gerne 1-2 GB-Ram!!
Und ohne Guardian ist Snort so witzlos wie ein Porsche ohne Reifen. Also am besten Guardian schon integrieren und nicht nur als Ad anbieten. Wer liest schon hunderte von Snort-log's und wertet die dann aus? Das machten Admins vor 20 Jahren!

Mit freundlichen Grüssen und in der Hoffnung, dass Snort-IDS etwas mehr Beachtung geschenkt wird.
::)

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by Arne.F » July 8th, 2010, 9:16 am

Danke für den Hinweis. So wies aussieht hat sourcefire da schon wieder mist gemacht.
Falls das in den nächsten Tagen nicht wieder geht werden wir den Download im nächsten core entfernen und durch eine File Upload Box ersetzen.

Auch mit wget kann man das im Moment nicht mehr runterladen.

Code: Select all

[root@EeePC ~]# wget http://www.snort.org/reg-rules/snortrules-snapshot-2860.tar.gz/---OINK-CODE---
--11:03:57--  http://www.snort.org/reg-rules/snortrules-snapshot-2860.tar.gz/---OINK-CODE---
           => `---OINK-CODE---'
Resolving www.snort.org... 68.177.102.20
Connecting to www.snort.org|68.177.102.20|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://s3.amazonaws.com/snort.org/rules/20100608/snortrules-snapshot-2860.tar.gz?AWSAccessKeyId=A---------------OQ&Expires=1278579869&Signature=WOEB------------Tw%3D [following]
--11:03:59--  https://s3.amazonaws.com/snort.org/rules/20100608/snortrules-snapshot-2860.tar.gz?AWSAccessKeyId=A------------OQ&Expires=1278579869&Signature=WOEB------Tw%3D
           => `snortrules-snapshot-2860.tar.gz?AWSAccessKeyId=A-------Q&Expires=1278579869&Signature=WOEB--------------Tw='
Resolving s3.amazonaws.com... 72.21.202.192
Connecting to s3.amazonaws.com|72.21.202.192|:443... connected.
ERROR: Certificate verification error for s3.amazonaws.com: unable to get local issuer certificate
To connect to s3.amazonaws.com insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.
[root@EeePC ~]#
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by Maniacikarus » July 8th, 2010, 9:21 am

Ich hab nen Hals, das Thema geht mir langsam sowas von auf den S***, da bau ich lieber nen Upload Feld mit Knopf, dann ist man da flexibler

@neumeier
gibst Du uns bitte für die Einstellmöglichkeiten ein paar Beispiele, unmöglich ist sowas sicher nicht, es muss halt nur von der CGI in die Config wandern können. Snort wird ja zum Teil auch nur für Forensik verwendet, also nicht nur für das IPS, daher der Guardian eher Optional, is ja auch kein imenser Mehraufwand.
Image

earl
Core Developer
Core Developer
Posts: 1553
Joined: November 6th, 2008, 5:36 pm
Contact:

Re: SNORT: Fehlermeldungen: Konnte die neuesten Updates nicht downloaden.

Post by earl » July 8th, 2010, 10:22 am

neumeier wrote:Kritik ist doch auch eine Form von aktiver Mitarbeit, oder? Beitrag also bitte nicht gleich wieder löschen!

Kritik ist nicht gleich zu setzen mit Beschimpfung!

Zum Thema Snort kann ich eine gewisse Verärgerung durchaus verstehen, aber was sollen wir Entwickler denn machen?
Wir müssen uns auf die Angaben von Snort.org verlassen und wenn die andauernd was ändern sehen wir alt aus. Es ist nicht so das wir die User verärgern wollen die Snort nutzen und wir es dauernt "verbasteln" ;)

Wir könnte es uns ja auch einfach machen und wie IPCop einfach Snort raus nehmen, aber ist das eine Lösung?
Support the project on the new IPFire whishlist!

Post Reply