Проблема с обновлением правил в приложении Snort для PfSense
-
При попытке обновить обновить очень долго думает (Force update не помогает).
Информация из лога:
Starting rules update... Time: 2018-11-26 10:27:13
Downloading Snort VRT rules md5 file snortrules-snapshot-2983.tar.gz.md5...
Checking Snort VRT rules md5 file...
There is a new set of Snort VRT rules posted.
Downloading file 'snortrules-snapshot-2983.tar.gz'...
Done downloading rules file.
Snort VRT rules file download failed. Bad MD5 checksum.
Downloaded Snort VRT rules file MD5: ed0b31d31cda78be1da9b9cd6ea2e171
Expected Snort VRT rules file MD5: 8d62ffffefedeac7599de8975a63d790
Snort VRT rules file download failed. Snort VRT rules will not be updated.
Downloading Snort OpenAppID detectors md5 file snort-openappid.tar.gz.md5...
Checking Snort OpenAppID detectors md5 file...
There is a new set of Snort OpenAppID detectors posted.
Downloading file 'snort-openappid.tar.gz'...
Done downloading rules file.
Snort OpenAppID detectors file download failed. Bad MD5 checksum.
Downloaded Snort OpenAppID detectors file MD5: d41d8cd98f00b204e9800998ecf8427e
Expected Snort OpenAppID detectors file MD5: fd7b8c2a71d3a90c6a9a0aad92e4bcbd
Snort OpenAppID detectors file download failed. Snort OpenAppID detectors will not be updated.
Downloading Snort OpenAppID RULES detectors md5 file appid_rules.tar.gz.md5...
Checking Snort OpenAppID RULES detectors md5 file...
There is a new set of Snort OpenAppID RULES detectors posted.
Downloading file 'appid_rules.tar.gz'...
Done downloading rules file.
Snort OpenAppID RULES detectors file download failed. Bad MD5 checksum.
Downloaded Snort OpenAppID RULES detectors file MD5: d41d8cd98f00b204e9800998ecf8427e
Expected Snort OpenAppID RULES detectors file MD5: d4539caec45fdb0484ded9de593e0dc4
Snort OpenAppID RULES detectors file download failed. Snort OpenAppID RULES detectors will not be updated.
Downloading Snort GPLv2 Community Rules md5 file community-rules.tar.gz.md5...
Checking Snort GPLv2 Community Rules md5 file...
There is a new set of Snort GPLv2 Community Rules posted.
Downloading file 'community-rules.tar.gz'...
Done downloading rules file.
Snort GPLv2 Community Rules file download failed. Bad MD5 checksum.
Downloaded Snort GPLv2 Community Rules file MD5: d41d8cd98f00b204e9800998ecf8427e
Expected Snort GPLv2 Community Rules file MD5: ebd806e1024d32ba73e645ae8fceaa4a
Snort GPLv2 Community Rules file download failed. Snort GPLv2 Community Rules will not be updated.
Downloading Emerging Threats Open rules md5 file emerging.rules.tar.gz.md5...
Checking Emerging Threats Open rules md5 file...
There is a new set of Emerging Threats Open rules posted.
Downloading file 'emerging.rules.tar.gz'...
Done downloading rules file.
Emerging Threats Open rules file download failed. Bad MD5 checksum.
Downloaded Emerging Threats Open rules file MD5: d41d8cd98f00b204e9800998ecf8427e
Expected Emerging Threats Open rules file MD5: e12c4ea090fb3bca80319a336971f7f3
Emerging Threats Open rules file download failed. Emerging Threats Open rules will not be updated.
The Rules update has finished. Time: 2018-11-26 10:34:20Помогите пожалуйста решить данную проблему!
-
@skrepka Добрый вечер
Попробуйте переустановить snort
Все обновляется замечательно PF 2.4.4.
Лог
Starting rules update... Time: 2018-11-26 18:05:00
Downloading Snort Subscriber rules md5 file snortrules-snapshot-29111.tar.gz.md5...
Checking Snort Subscriber rules md5 file...
Snort Subscriber rules are up to date.
Downloading Snort OpenAppID detectors md5 file snort-openappid.tar.gz.md5...
Checking Snort OpenAppID detectors md5 file...
Snort OpenAppID detectors are up to date.
Downloading Snort GPLv2 Community Rules md5 file community-rules.tar.gz.md5...
Checking Snort GPLv2 Community Rules md5 file...
Snort GPLv2 Community Rules are up to date.
Downloading Emerging Threats Open rules md5 file emerging.rules.tar.gz.md5...
Checking Emerging Threats Open rules md5 file...
Emerging Threats Open rules are up to date.
The Rules update has finished. Time: 2018-11-26 18:05:24 -
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka Добрый вечер
Попробуйте переустановить snort
Все обновляется замечательно PF 2.4.4.
Лог
Starting rules update... Time: 2018-11-26 18:05:00
Downloading Snort Subscriber rules md5 file snortrules-snapshot-29111.tar.gz.md5...
Checking Snort Subscriber rules md5 file...
Snort Subscriber rules are up to date.
Downloading Snort OpenAppID detectors md5 file snort-openappid.tar.gz.md5...
Checking Snort OpenAppID detectors md5 file...
Snort OpenAppID detectors are up to date.
Downloading Snort GPLv2 Community Rules md5 file community-rules.tar.gz.md5...
Checking Snort GPLv2 Community Rules md5 file...
Snort GPLv2 Community Rules are up to date.
Downloading Emerging Threats Open rules md5 file emerging.rules.tar.gz.md5...
Checking Emerging Threats Open rules md5 file...
Emerging Threats Open rules are up to date.
The Rules update has finished. Time: 2018-11-26 18:05:24Версия 2.3.2-RELEASE я уже устанавливал Snort ранее, потом удалял, и вот щас снова установил и такая проблема. -
@skrepka В принципе , в теории , можно попробовать заблокировать проверку контрольных сумм и попробовать обновиться
Для этого надо внести небольшие изменения в файл конфигурации SNORT -
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka В принципе , в теории , можно попробовать заблокировать проверку контрольных сумм и попробовать обновиться
Для этого надо внести небольшие изменения в файл конфигурации SNORTЕсть инструкция как это сделать?
-
@skrepka Инструкция из головы
Непроверенная
Если знакомы с PHP или С , то сразу поймете о чем речь
Открываем файл /usr/local/pkg/snort/snort_check_for_rule_updates.php
Ищем в нем такую строку if ($file_md5 != trim(md5_file($file_dst)))
перед этой строкой ставим /*
должно получиться /* if ($file_md5 != trim(md5_file($file_dst)))чуть ниже находим
$update_errors = true;
return false;
}
добавляем */
должно получиться так
$update_errors = true;
return false;
} */Т е блок проверки хэш выполняться не будет
И запускаете обновление
Если не сложно , напишите , получится или нет -
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka Инструкция из головы
Непроверенная
Открываем файл /usr/local/pkg/snort/snort_check_for_rule_updates.php
Ищем в нем такую строку if ($file_md5 != trim(md5_file($file_dst)))
перед этой строкой ставим /*
должно получиться /* if ($file_md5 != trim(md5_file($file_dst)))чуть ниже находим
$update_errors = true;
return false;
}
добавляем */
должно получиться так
$update_errors = true;
return false;
} */Т е блок проверки хэш выполняться не будет
И запускаете обновление
Если не сложно , напишите , получится или нетЕще бы знать как это сделать через вебинтерфейс =)
-
@skrepka Diagnostics - Edit file
-
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka Diagnostics - Edit file
Это гениально, и это работает!
-
@skrepka Рад , что помог ) Удачи
-
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka Рад , что помог ) Удачи
К сожалению всё же не помогло, хоть и пишет что всё скачалось, в выборе списка правил по прежнему не хватает кучи правил, скачались только Snort OpenAppID RULES Detectors
-
Starting rules update... Time: 2018-11-27 10:43:00
Downloading Snort VRT rules md5 file snortrules-snapshot-2983.tar.gz.md5...
Checking Snort VRT rules md5 file...
There is a new set of Snort VRT rules posted.
Downloading file 'snortrules-snapshot-2983.tar.gz'...
Done downloading rules file.
Downloading Snort OpenAppID detectors md5 file snort-openappid.tar.gz.md5...
Checking Snort OpenAppID detectors md5 file...
There is a new set of Snort OpenAppID detectors posted.
Downloading file 'snort-openappid.tar.gz'...
Done downloading rules file.
Downloading Snort OpenAppID RULES detectors md5 file appid_rules.tar.gz.md5...
Checking Snort OpenAppID RULES detectors md5 file...
There is a new set of Snort OpenAppID RULES detectors posted.
Downloading file 'appid_rules.tar.gz'...
Done downloading rules file.
Downloading Snort GPLv2 Community Rules md5 file community-rules.tar.gz.md5...
Checking Snort GPLv2 Community Rules md5 file...
There is a new set of Snort GPLv2 Community Rules posted.
Downloading file 'community-rules.tar.gz'...
Done downloading rules file.
Extracting and installing Snort VRT rules...
Using Snort VRT precompiled SO rules for FreeBSD-10-0 ...
Installation of Snort VRT rules completed.
Extracting and installing Snort OpenAppID detectors...
Installation of Snort OpenAppID detectors completed.
Extracting and installing Snort OpenAppID detectors...
Installation of Snort OpenAppID detectors completed.
Extracting and installing Snort GPLv2 Community Rules...
Installation of Snort GPLv2 Community Rules completed.
Copying new config and map files...
Updating rules configuration for: WAN ...
The Rules update has finished. Time: 2018-11-27 10:49:08 -
В общем смог скачать правила, в меню по нажимал галки вкл\откл
Hide Deprecated Rules Categories
Click to hide deprecated rules categories in the GUI and remove them from the configuration. Default is not checked.
Disable SSL Peer Verification
Click to disable verification of SSL peers during rules updates. This is commonly needed only for self-signed certificates. Default is not checked.Нужное мне анти dos правило появилось, остальное уже не так важно.
Enabled Ruleset: ET Open Rules Enabled Ruleset: Snort Text Rules Enabled Ruleset: Snort SO Rules Enabled Ruleset: Snort OPENAPPI Rules
Эти правила появились.
NOTE: Snort Community Rules have not been downloaded. Perform a Rules Update to enable them.
Тут чет всё еще ругается. -
https://resources.infosecinstitute.com/open-source-ids-snort-suricata/
Оставлю здесь.
