[NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

koorosh · 05-09-2014 20:51:00

Bonjour Mesdames et Messieurs,
Me voilà de retour mais cela reste temporaire car la taf va me rattraper afin de me prendre encore plus de temps smile mais Je me permets de créer ce topic afin de solliciter votre aide au sujet de l'installation du NIDS.
Depuis hier, j'ai intégré sur mon serveur le NIDS Snort 2.9.6.2 en m'aidant de la documentation officiel de SNORT Documentation SNORT.

Toute mon installation c'est déroulé parfaitement, mais ! , malgré que mon NIDS soit lancé avec aucune erreur dans mes LOG, bah j'ai aucune remonté d'alerte !

Je vous montre un ensemble de capture et de résultat afin que ça puisse mieux vous éclairer :

Processus SNORT démarré:

fichier de configuration de snort.conf:

Dossier racine de Snort:

BDD mysql Snort Fonctionnelle:

Configuration network:

Log de snort dont j'ai remarqué qu'il faisait aucune capture:

Test de la configuration:

Qu'en pensez vous ?
avez vous une idée pourquoi snort ne me remonte pas d'alerte basé sur snort.rules qui sont les nouvelles règles de snort (snortrules-snapshot-2962,snortrules-snapshot-2961,snortrules-snapshot-2956)

Voila je pense avoir fourni pas mal d'élément ,
En l'attente de vous lire,
Cdlt,
Cyrus

IceF0x · 06-09-2014 17:26:35

Avec la conf snort par défaut, tu as des remontée ?

J'ai testé en vm j'ai des remontée perso.

Je remarqué aussi que snort est configuré en IPv4 et que ton réseau en IPv6, je ne connais pas bien snort mais regarde de ce coté.

Manual Snort a écrit :

Snort’s packet decoder only decodes Teredo (IPv6 over UDP
over IPv4) traffic on UDP port 3544. This option makes Snort
decode Teredo traffic on all UDP ports.

koorosh · 07-09-2014 14:51:13

Merci coyotus pour m'aider smile , j'ai autorisé ce port en UDP si jamais c'étais IPTABLES qui dropais mais le bug continu.
Mais par contre, j'ai eu le fichier "alert.log" qui c'est créé avec des alertes mais par contre , il s'affiche pas sur base .
Peut-être que le souci venait de Base .. , je vais voir ca

koorosh · 10-09-2014 15:20:50

Sans succès, je comprend pas le bug , pourtant il tourne , il capture mais aucune alerte hmm . Je vais voir du coté de Suricata, peut-etre que cela m'aidera à éclaircir ce mystère ^^'

IceF0x · 10-09-2014 18:15:34

Conf ton réseau en IPv4 pour voir

koorosh · 11-09-2014 00:27:42

[== Indéfini ==]
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
        address 192.168.1.67
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1

# The secondary Network interface
auto eth1
iface eth1 inet manual
        up ifconfig eth1 promisc up
        down ifconfig eth1 promisc down

J'ai désactivé l'IPV6:

eth0 Link encap:Ethernet HWaddr bc:5f:f4:3d:a7:22
inet adr:192.168.1.67 Bcast:192.168.1.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:255029 errors:0 dropped:0 overruns:0 frame:0
TX packets:161410 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:376603948 (359.1 MiB) TX bytes:13752963 (13.1 MiB)
Interruption:43 Adresse de base:0xe000

eth1 Link encap:Ethernet HWaddr 90:e2:ba:2e:c8:af
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:27495 errors:0 dropped:265 overruns:0 frame:0
TX packets:168 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:4250631 (4.0 MiB) TX bytes:7340 (7.1 KiB)

cela n'a rien changé hmm , je sens que le cochon je vais l'expédier à l’abattoir .

Dernière modification par koorosh (11-09-2014 00:34:49)

koorosh · 12-09-2014 09:40:49

Coyotus j'ai du nouveaux :

Alors j'ai testé une install toute propre sur une VM, et j'ai reçu mes alertes smile MAIS quand je refais la même procédure sur mon pc ba ca marche pas.

VM : 2 cartes RSX en bridged direct BOX
PC : 2 cartes RSX eth0 ----> Switch---------------------------->BOX--------INTERNET
eth1 ---> Switch (port en mirroring )

as tu déjà rencontrer un bug comme ça sur les IDS ?

Dernière modification par koorosh (12-09-2014 09:42:08)

IceF0x · 12-09-2014 17:32:23

T'a pas un truc à faire dans iptables ou ton switch est configurable, voire un firewall dans ta box ?

koorosh · 13-09-2014 08:52:55

ah oui j'ai pas pensé à ça ! , parfait je vais consulter le matos ! merci coyotus smile , je te tiens au jus wink

koorosh · 24-09-2014 14:48:50

Salu coyotus,

Pour instant, j'ai stoppé ce problème car je passais trop de temps .
Pour répondre à ta question, j'ai consulté mon switch et mon routeur embarqué et ma configuration est bonne.

Du coup, je l'ai déployé sur une machine virtuelle avec la même configuration que les captures d'images si-dessus et je n'ai rencontré aucun problème smile .

Pour ceux qui souhaiterais une petite procédure pour le déploiement de snort 2.9.6.2 (BDD MysqL) avec barnyard 2, base et pulledpork, n’hésiter pas à me MP .

Merci en tout cas coyotus pour ton soutient smile
Librement,
koorosh

Dernière modification par koorosh (24-09-2014 14:52:07)

#1 05-09-2014 20:51:00

[NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#2 06-09-2014 17:26:35

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#3 07-09-2014 14:51:13

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#4 10-09-2014 15:20:50

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#5 10-09-2014 18:15:34

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#6 11-09-2014 00:27:42

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#7 12-09-2014 09:40:49

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#8 12-09-2014 17:32:23

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#9 13-09-2014 08:52:55

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

#10 24-09-2014 14:48:50

Re : [NIDS]Aucune alerte sur BASE avec SNORT2.9.6.2

Pied de page des forums