Проблема с обновлением правил в приложении Snort для PfSense

SKREPKA

@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:

@skrepka Добрый вечер
Попробуйте переустановить snort
Все обновляется замечательно PF 2.4.4.

Лог
Starting rules update... Time: 2018-11-26 18:05:00
Downloading Snort Subscriber rules md5 file snortrules-snapshot-29111.tar.gz.md5...
Checking Snort Subscriber rules md5 file...
Snort Subscriber rules are up to date.
Downloading Snort OpenAppID detectors md5 file snort-openappid.tar.gz.md5...
Checking Snort OpenAppID detectors md5 file...
Snort OpenAppID detectors are up to date.
Downloading Snort GPLv2 Community Rules md5 file community-rules.tar.gz.md5...
Checking Snort GPLv2 Community Rules md5 file...
Snort GPLv2 Community Rules are up to date.
Downloading Emerging Threats Open rules md5 file emerging.rules.tar.gz.md5...
Checking Emerging Threats Open rules md5 file...
Emerging Threats Open rules are up to date.
The Rules update has finished. Time: 2018-11-26 18:05:24

Версия 2.3.2-RELEASE я уже устанавливал Snort ранее, потом удалял, и вот щас снова установил и такая проблема.

Konstanti

@skrepka В принципе , в теории , можно попробовать заблокировать проверку контрольных сумм и попробовать обновиться
Для этого надо внести небольшие изменения в файл конфигурации SNORT

SKREPKA

@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:

@skrepka В принципе , в теории , можно попробовать заблокировать проверку контрольных сумм и попробовать обновиться
Для этого надо внести небольшие изменения в файл конфигурации SNORT

Есть инструкция как это сделать?

Konstanti

@skrepka Инструкция из головы
Непроверенная
Если знакомы с PHP или С , то сразу поймете о чем речь
Открываем файл /usr/local/pkg/snort/snort_check_for_rule_updates.php
Ищем в нем такую строку if ($file_md5 != trim(md5_file($file_dst)))
перед этой строкой ставим /*
должно получиться /* if ($file_md5 != trim(md5_file($file_dst)))

чуть ниже находим
$update_errors = true;
return false;
}
добавляем */
должно получиться так
$update_errors = true;
return false;
} */

Т е блок проверки хэш выполняться не будет
И запускаете обновление
Если не сложно , напишите , получится или нет

SKREPKA

@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:

@skrepka Инструкция из головы
Непроверенная
Открываем файл /usr/local/pkg/snort/snort_check_for_rule_updates.php
Ищем в нем такую строку if ($file_md5 != trim(md5_file($file_dst)))
перед этой строкой ставим /*
должно получиться /* if ($file_md5 != trim(md5_file($file_dst)))

чуть ниже находим
$update_errors = true;
return false;
}
добавляем */
должно получиться так
$update_errors = true;
return false;
} */

Т е блок проверки хэш выполняться не будет
И запускаете обновление
Если не сложно , напишите , получится или нет

Еще бы знать как это сделать через вебинтерфейс =)

Konstanti

@skrepka Diagnostics - Edit file
0_1543256860755_51fe1f8c-b28b-4b52-a2a3-4b93aee2f3e4-image.png

SKREPKA

@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:

@skrepka Diagnostics - Edit file

Это гениально, и это работает!

0_1543257905929_пипец.JPG

Konstanti

@skrepka Рад , что помог ) Удачи

SKREPKA

@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:

@skrepka Рад , что помог ) Удачи

К сожалению всё же не помогло, хоть и пишет что всё скачалось, в выборе списка правил по прежнему не хватает кучи правил, скачались только Snort OpenAppID RULES Detectors

SKREPKA

Starting rules update... Time: 2018-11-27 10:43:00
Downloading Snort VRT rules md5 file snortrules-snapshot-2983.tar.gz.md5...
Checking Snort VRT rules md5 file...
There is a new set of Snort VRT rules posted.
Downloading file 'snortrules-snapshot-2983.tar.gz'...
Done downloading rules file.
Downloading Snort OpenAppID detectors md5 file snort-openappid.tar.gz.md5...
Checking Snort OpenAppID detectors md5 file...
There is a new set of Snort OpenAppID detectors posted.
Downloading file 'snort-openappid.tar.gz'...
Done downloading rules file.
Downloading Snort OpenAppID RULES detectors md5 file appid_rules.tar.gz.md5...
Checking Snort OpenAppID RULES detectors md5 file...
There is a new set of Snort OpenAppID RULES detectors posted.
Downloading file 'appid_rules.tar.gz'...
Done downloading rules file.
Downloading Snort GPLv2 Community Rules md5 file community-rules.tar.gz.md5...
Checking Snort GPLv2 Community Rules md5 file...
There is a new set of Snort GPLv2 Community Rules posted.
Downloading file 'community-rules.tar.gz'...
Done downloading rules file.
Extracting and installing Snort VRT rules...
Using Snort VRT precompiled SO rules for FreeBSD-10-0 ...
Installation of Snort VRT rules completed.
Extracting and installing Snort OpenAppID detectors...
Installation of Snort OpenAppID detectors completed.
Extracting and installing Snort OpenAppID detectors...
Installation of Snort OpenAppID detectors completed.
Extracting and installing Snort GPLv2 Community Rules...
Installation of Snort GPLv2 Community Rules completed.
Copying new config and map files...
Updating rules configuration for: WAN ...
The Rules update has finished. Time: 2018-11-27 10:49:08

SKREPKA

В общем смог скачать правила, в меню по нажимал галки вкл\откл

Hide Deprecated Rules Categories
Click to hide deprecated rules categories in the GUI and remove them from the configuration. Default is not checked.
Disable SSL Peer Verification
Click to disable verification of SSL peers during rules updates. This is commonly needed only for self-signed certificates. Default is not checked.

Нужное мне анти dos правило появилось, остальное уже не так важно.
Enabled Ruleset: ET Open Rules Enabled Ruleset: Snort Text Rules Enabled Ruleset: Snort SO Rules Enabled Ruleset: Snort OPENAPPI Rules
Эти правила появились.
NOTE: Snort Community Rules have not been downloaded. Perform a Rules Update to enable them.
Тут чет всё еще ругается.

werter

https://resources.infosecinstitute.com/open-source-ids-snort-suricata/
Оставлю здесь.