[RESOLU] snort fatal crash



  • Bonjour à tous,

    Je sais, je ne vais pas lancer à nouveau la polémique, ce n'est pas la place de Snort sur le FW mais on ne fait pas toujours ce que l'on veut …

    Donc j'ai un plantage de Snort (v 2.8.6.1 pkg v. 1.34) lors de son démarrage car il y a une directive qui ne lui plait pas : "dce_iface" dans quelques règles.

    Je désactive les règles concernées dans la catégorie s'il n'y en a pas trop (dans ce cas ça concerne presque exclusivement le protocole de sauvegarde ArcServe) sinon je désactive la catégorie mais là ça me gène un peu d'autant que une de celles ci est snort_netbios.rules et qui dit netbios dit danger ....

    Donc avant que je me lance tête baissée dans la FAQ de Snort est-ce que quelqu'un a déjà résolu ce problème et dans l'affirmative qu'est-ce qui se passe quand on met à jour les règles.

    Merci d'avance de votre aide et bon travail à tous.



  • Bonjour à tous,

    Pour ceux que ça pourrait intéresser …

    Les règles Netbios contiennent une clause "dce_iface" qui n'est comprise par Snort que si l'on a activé le préprocesseur "dcerpc2".

    Donc une fois sélectionnée l'interface de Snort cliquer sur l'onglet "If Settinggs" puis dans le cadre complètement en bas de la page "Arguments here will be automatically inserted into the snort configuration" ajouter :

    preprocessor dcerpc2

    Sauver et appliquer les changements puis dans "Categories" activer "snort_netbios.rules", sauver et appliquer puis redémarrer Snort.

    Voila, ça fonctionne !

    Bon travail à tous.



  • Merci pour ce retour.



  • C'est encore plus simple quand on lit ce qu'il y a à l'écran …

    Dans l'onglet "Preprocessors" il faut valider "Enable DCE/RPC2 Detection" ...

    Facile !

    Bon travail à tous.


Locked