Проблема с обновлением правил в приложении Snort для PfSense
-
@skrepka В принципе , в теории , можно попробовать заблокировать проверку контрольных сумм и попробовать обновиться
Для этого надо внести небольшие изменения в файл конфигурации SNORT -
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka В принципе , в теории , можно попробовать заблокировать проверку контрольных сумм и попробовать обновиться
Для этого надо внести небольшие изменения в файл конфигурации SNORTЕсть инструкция как это сделать?
-
@skrepka Инструкция из головы
Непроверенная
Если знакомы с PHP или С , то сразу поймете о чем речь
Открываем файл /usr/local/pkg/snort/snort_check_for_rule_updates.php
Ищем в нем такую строку if ($file_md5 != trim(md5_file($file_dst)))
перед этой строкой ставим /*
должно получиться /* if ($file_md5 != trim(md5_file($file_dst)))чуть ниже находим
$update_errors = true;
return false;
}
добавляем */
должно получиться так
$update_errors = true;
return false;
} */Т е блок проверки хэш выполняться не будет
И запускаете обновление
Если не сложно , напишите , получится или нет -
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka Инструкция из головы
Непроверенная
Открываем файл /usr/local/pkg/snort/snort_check_for_rule_updates.php
Ищем в нем такую строку if ($file_md5 != trim(md5_file($file_dst)))
перед этой строкой ставим /*
должно получиться /* if ($file_md5 != trim(md5_file($file_dst)))чуть ниже находим
$update_errors = true;
return false;
}
добавляем */
должно получиться так
$update_errors = true;
return false;
} */Т е блок проверки хэш выполняться не будет
И запускаете обновление
Если не сложно , напишите , получится или нетЕще бы знать как это сделать через вебинтерфейс =)
-
@skrepka Diagnostics - Edit file
-
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka Diagnostics - Edit file
Это гениально, и это работает!
-
@skrepka Рад , что помог ) Удачи
-
@konstanti said in Проблема с обновлением правил в приложении Snort для PfSense:
@skrepka Рад , что помог ) Удачи
К сожалению всё же не помогло, хоть и пишет что всё скачалось, в выборе списка правил по прежнему не хватает кучи правил, скачались только Snort OpenAppID RULES Detectors
-
Starting rules update... Time: 2018-11-27 10:43:00
Downloading Snort VRT rules md5 file snortrules-snapshot-2983.tar.gz.md5...
Checking Snort VRT rules md5 file...
There is a new set of Snort VRT rules posted.
Downloading file 'snortrules-snapshot-2983.tar.gz'...
Done downloading rules file.
Downloading Snort OpenAppID detectors md5 file snort-openappid.tar.gz.md5...
Checking Snort OpenAppID detectors md5 file...
There is a new set of Snort OpenAppID detectors posted.
Downloading file 'snort-openappid.tar.gz'...
Done downloading rules file.
Downloading Snort OpenAppID RULES detectors md5 file appid_rules.tar.gz.md5...
Checking Snort OpenAppID RULES detectors md5 file...
There is a new set of Snort OpenAppID RULES detectors posted.
Downloading file 'appid_rules.tar.gz'...
Done downloading rules file.
Downloading Snort GPLv2 Community Rules md5 file community-rules.tar.gz.md5...
Checking Snort GPLv2 Community Rules md5 file...
There is a new set of Snort GPLv2 Community Rules posted.
Downloading file 'community-rules.tar.gz'...
Done downloading rules file.
Extracting and installing Snort VRT rules...
Using Snort VRT precompiled SO rules for FreeBSD-10-0 ...
Installation of Snort VRT rules completed.
Extracting and installing Snort OpenAppID detectors...
Installation of Snort OpenAppID detectors completed.
Extracting and installing Snort OpenAppID detectors...
Installation of Snort OpenAppID detectors completed.
Extracting and installing Snort GPLv2 Community Rules...
Installation of Snort GPLv2 Community Rules completed.
Copying new config and map files...
Updating rules configuration for: WAN ...
The Rules update has finished. Time: 2018-11-27 10:49:08 -
В общем смог скачать правила, в меню по нажимал галки вкл\откл
Hide Deprecated Rules Categories
Click to hide deprecated rules categories in the GUI and remove them from the configuration. Default is not checked.
Disable SSL Peer Verification
Click to disable verification of SSL peers during rules updates. This is commonly needed only for self-signed certificates. Default is not checked.Нужное мне анти dos правило появилось, остальное уже не так важно.
Enabled Ruleset: ET Open Rules Enabled Ruleset: Snort Text Rules Enabled Ruleset: Snort SO Rules Enabled Ruleset: Snort OPENAPPI Rules
Эти правила появились.
NOTE: Snort Community Rules have not been downloaded. Perform a Rules Update to enable them.
Тут чет всё еще ругается. -
https://resources.infosecinstitute.com/open-source-ids-snort-suricata/
Оставлю здесь.