Frage zu Snort

Alles rund um sicherheitsrelevante Fragen und Probleme.
dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Frage zu Snort

Beitrag von dalari » 07.03.2012 10:23:09

Hallo Leute! Kennt sich hier irgentjemand mit dem Programm Snort aus?
Ich hab da nämlich Probleme. Das Programm lief bis vor kurzen jedoch das Ruleupdate nicht. Ich hab dann das Ruleuptdate ans laufen gebracht aber seit dem update sagt er mir beim start des programms "Unknown rule option:`pkt_data`"
Ich suche jetzt schon seit ca 24 Stunden nach einer lösung finde aber nichts.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Frage zu Snort

Beitrag von Cae » 07.03.2012 12:03:59

Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!! :evil:

Gruß Cae
Zuletzt geändert von Cae am 07.03.2012 12:33:57, insgesamt 1-mal geändert.
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 07.03.2012 12:25:26

Snort.conf


http://nopaste.info/a3e90b1ad5.html


Eine log datei dafür gibt es leider bisher nicht. Logverzeichnis vorhanden aber leer...
Zuletzt geändert von dalari am 07.03.2012 15:19:43, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: Frage zu Snort

Beitrag von DeletedUserReAsG » 07.03.2012 13:14:17

Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!!
Was ist daran unverständlich gewesen? Oder hast du NoPaste nur nicht gefunden? Ich denke, ich spreche nicht nur für mich, wenn ich schreibe: Das schaue ich mir in seiner jetzigen Form nicht an.

cu,
niemand

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 07.03.2012 13:25:02

Tut mir leid ich muss das NoPaste übersehen haben.
http://nopaste.info/a3e90b1ad5.html

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 07.03.2012 15:22:12

kann mir da keiner helfen? :(

ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: Frage zu Snort

Beitrag von ralfi » 07.03.2012 17:02:34

Da ist in einer Regel eine für die aktualisierte Snort-Version nicht gültige Option eingetragen. Die snort.conf hier zu posten, bringt da keinen Sinn; man hatte Dich um eine Log gebeten, also bspw. um das Ergebnis von

Code: Alles auswählen

cat /var/log/syslog |grep snort 
Du solltest die aktuelle Konfiguration wie folgt testen:

Code: Alles auswählen

/usr/sbin/snort -T -c /etc/snort/snort.conf > /root/snort-test.txt
und diese erstellte Text-Datei mal unter die Lupe nehmen. Es sollte auch hülfen, nach der Zeichenkette pkt_data im Rules-Verzeichnis zu suchen, z.B. mit dem mc.
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

Benutzeravatar
yoda
Beiträge: 20
Registriert: 18.02.2012 12:59:39

Re: Frage zu Snort

Beitrag von yoda » 07.03.2012 17:23:15

Cae hat geschrieben:Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!! :evil:
Na Mann-O-Meter, Du hast aber ein Umgangston. Zwischenmenschliche Beziehung ist wohl nicht deine Stärke. Ich finde das ekelhaft!

Naja Cae, vielleicht hast du ja nur einen scheiß Tag. Trotzdem danke für deine Hilfe in Namen aller für die sich noch nicht so gut auskennen wie Du.
Viele Grüße,
Yoda

Hilfe ich bin ein Mod!

DeletedUserReAsG

Re: Frage zu Snort

Beitrag von DeletedUserReAsG » 07.03.2012 17:33:46

Ist ein Stilmittel, und die ekelhaft zu finden, finde ich wiederum ekelhaft. Wer genau hinschaut, vermag die bewusste Übertreibung problemlos zu erkennen.

sry4OT,
niemand

Benutzeravatar
yoda
Beiträge: 20
Registriert: 18.02.2012 12:59:39

Re: Frage zu Snort

Beitrag von yoda » 07.03.2012 18:00:17

@Niemand: Schön, dass Du meine Meinung ekalhaft findest. Klar wird man mit Rüge und Peitsche aufmerksamer. Aber ich meine mit Freiheit, Weisheit und die Freunde am Lernen hat diese rhetorische Siltmittel nichts verwandt! VIelleicht erklärt das hier was ich meine:

Der freundliche Meister

Burkhard Heidenberger schrieb am 5.7.2008 zum Thema „Geschichten & Weisheiten“.

Heute wieder mal eine kurze Weisheitsgeschichte, die mir besonders gefällt. Es geht um Freundlichkeit. Ich schätze freundliche Menschen und bin überzeugt, dass man mit Freundlichkeit viele Hürden schafft. Aber wie kann man Freundlichkeit lernen? Das wollte auch ein Schüler von seinem Meister wissen, aber lesen Sie selbst:

Ein Schüler ist fasziniert vom freundlichen Umgang seines Meisters mit anderen Menschen. Deshalb will er wissen: „Meister, wer hat dich diese Freundlichkeit gelehrt und wie kann ich auch so freundlich werden wie du?“

Der Meister antwortete mit einem Lächeln: „Nicht ein Lehrer, sondern viele Lehrer haben mich Freundlichkeit gelehrt und ich lerne immer noch.“

Der Schüler war verwundert. Der Meister fuhr fort:

„Alle unhöflichen Menschen waren und sind meine Lehrer. Ich habe mir immer gemerkt, was mir am Benehmen dieser Menschen nicht gefallen hat - und dann habe ich mich bemüht, dieses Verhalten meinen Mitmenschen gegenüber zu vermeiden. Siehst du, so einfach ist das!“


Ansonsten möchte ich dieses Thema nicht weiter kommentieren.
Lg
Viele Grüße,
Yoda

Hilfe ich bin ein Mod!

Benutzeravatar
kupe
Beiträge: 958
Registriert: 30.05.2011 21:58:16
Lizenz eigener Beiträge: MIT Lizenz

Re: Frage zu Snort

Beitrag von kupe » 07.03.2012 18:22:03

na ja, wenn jemand seine geistigen ergüsse respektive die anderer verfasser schon als »weisheitsgeschichten« o.ä. deklariert, dann sollte man eigentlich schon erwarten können, daß diese wenigstens eine differenzierung bezüglich »freundlichkeit« und »höflichkeit« vornehmen, egal, ob man dermaßen pseudo-bedeutungsschwangere namen wie »Burkhard Heidenberger« (pseudonym oder tatsächlich realname?) vor sich herträgt oder nicht.

ebenfalls 'tschuldigung für das off-topic.
My bash says Ultraman.

DeletedUserReAsG

Re: Frage zu Snort

Beitrag von DeletedUserReAsG » 07.03.2012 18:25:39

Hach, wennes schon soweit ist:
Klar wird man mit Rüge und Peitsche aufmerksamer.
Dummerweise war das in Caes Beitrag nicht das Stilmittel (wenn es denn eines wäre), sondern die überzogene Darstellung war es. Üblicherweise wird hier eine Darstellung in der Form „!!1“ (und deren Abwandlungen) mit einem zwinkernen Auge gesehen. Der Smiley bestärkt dieses zusätzlich.

… mögen die Mods mir verzeihen,
niemand

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Frage zu Snort

Beitrag von Cae » 07.03.2012 18:57:56

yoda hat geschrieben:
Cae hat geschrieben:Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!! :evil:
Na Mann-O-Meter, Du hast aber ein Umgangston. Zwischenmenschliche Beziehung ist wohl nicht deine Stärke. Ich finde das ekelhaft!

Naja Cae, vielleicht hast du ja nur einen scheiß Tag. Trotzdem danke für deine Hilfe in Namen aller für die sich noch nicht so gut auskennen wie Du.
Nein, mir geht es prima, danke der Nachfrage. Wie schon weiter oben festgestellt war die Phrase in der Tat bewusst übertrieben, mit ernstem Hintergrund. Das war nicht böse gemeint, nur steht über jeder Antwortbox, wie man bitteschön NoPaste zu verwenden hat. Ich plädiere für Mausradmopeds – oder für Zeitgenossen, die geschriebene Hinweise ernst nehmen.

Aber hier ging es um Snort.

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Benutzeravatar
yoda
Beiträge: 20
Registriert: 18.02.2012 12:59:39

Re: Frage zu Snort

Beitrag von yoda » 07.03.2012 19:35:21

Oja so allmählich dämmerts bei mir. Sobald ich kein Mod mehr bin, sondern was aufn Kasten habe, so das ich gescheite Fragen und Antworten stellen kann, werde ich der höfflichste und kompetentester Debianuser werden der ich sein kann! Meine Smileys werden :evil: sein. :wink:

Ihr werdet es nich glauben, aber dieser Thread hat mir im Bezug auf mein Verständnis nach der Frage, ob Freundlichkeit Sinn macht, geholfen.
Danke für eure Geduld
Viele Grüße,
Yoda

Hilfe ich bin ein Mod!

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 07.03.2012 20:48:34

Bei /usr/sbin/snort -T -c /etc/snort/snort.conf > /root/snort-test.txt kommt das raus:
http://nopaste.info/62503f0f56.html
In den logs konnte ich jedoch nirgentwo etwas finden, egal ob mir grep oder sonst sonstigen möglichkeiten.

ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: Frage zu Snort

Beitrag von ralfi » 08.03.2012 11:25:03

Da scheint was tierisch nicht zu stimmen in der SNORT Konfiguration

ERROR: /etc/snort/./rules/snort.rules(2610) Unknown rule option: 'pkt_data'.
Fatal Error, Quitting..

Das Standard-Verzeichnis der Regeln ist /etc/snort/rules, Du scheinst also die Regeln angepasst zu haben. Gibt es wirklich die Datei snort.rules in Deinem Rules-Pfad? Wenn ja, dann deaktiviere mal jede Regel in der Datei mit #, in welcher die Zeichenkette pkt_data vorkommt.

Wie hast Du das Update ausgeführt, über apt oder mit snort-Tools ?

Ansonsten hülft:
- alle per Hand modifizierten Dateien sichern
- apt-get purge snort*
- snort neu mit Standardoptionen installieren
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 08.03.2012 12:25:10

Es gibt /etc/snort/rules/snort.rules. Ich nutze Pulledpork zum Updaten meiner Regeln und ich selbst verändere nichts an den Regeln selbst. ich habe das einmal versucht, dabei ist klar geworden das es zu viele Zeilen sind in denen pkt_data vorkommt um alle auszukommentieren, auserdem werden die Regeln automatisch geupdatet, also würden die auskommentierten Zeilen immer wieder neu unkommentiert. Vor dem Regelupdate funktionierte alles und ich habe mich nur nach der Anleitung auf der Homepage gerichtet. https://www.snort.org/assets/167/deb_snort_howto.pdf

Mir ist schon klar das in der konfiguration etwas falsch sein muss. Es muss irgenteine option Fehlen, ich weiß aber nicht welche.

ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: Frage zu Snort

Beitrag von ralfi » 08.03.2012 13:05:46

Siehe hier ...

http://blog.snort.org/2011/08/snort-291 ... point.html
Es ist eine korrekte Option, wie der Blog-Eintrag erläutert.

Ich habe jetzt zur Sicherheit meine Snort VM mal hochgefahren und nachgeschaut. Da ist ein 2.9.2-3 aus Sid drauf und alle Rules mit pkt_data Optionen sind aktiviert. Es funzt alles wunderbar. Hast Du auch mind. Snort 2.9.1 installiert ?

Ich mache Rules-Updates mit oinkmaster und eigenem Skript, vielleicht ist auch bei pulledpork irgend etwas schief gelaufen?
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 08.03.2012 16:23:37

Ich komm da nciht drauf klar....ich weiß damit absolut nicht wo ich iwas hinschreiben muss.
Kann mir das einer erklären? wo muss ich da welche option hinschreiben?

ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: Frage zu Snort

Beitrag von ralfi » 08.03.2012 16:27:13

Welche SNORT Version hast Du Installiert ? (apt-cache policy snort)
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: Frage zu Snort

Beitrag von ralfi » 08.03.2012 16:33:13

Du kannst ja mal in den Chat kommen ...
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 09.03.2012 08:09:40

Ich habe 2.9.1.2 installiert wie in der Anleitung die ich weiter oben gepostet habe zu sehen ist.

ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: Frage zu Snort

Beitrag von ralfi » 09.03.2012 08:58:58

Na gut, da haben wir ja zwei nicht vergleichbare Installationen, denn ich benutze immer alles aus den Debian-Repos. Schade, dann kann ich Dir nicht weiterhelfen. Mit den Paketen aus Debian Sid funktioniert jedenfalls alles wie es soll insoweit ich ja Pulledpork nicht benutze.
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

dalari
Beiträge: 37
Registriert: 26.09.2011 08:55:06

Re: Frage zu Snort

Beitrag von dalari » 09.03.2012 09:27:29

also kann mir keiner helfen?

ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: Frage zu Snort

Beitrag von ralfi » 09.03.2012 11:51:09

Lösche Deine händische Konfiguration mit allen Parametern und Programmen, installiere es nochmal aus den Debian-Paketen und Du bekommst hier alles, was Du brauchst ... ;-)

Naja, großartiges Versprechen - ich weiß - aber es scheint ja sonst niemand eine vergleichbare Konfiguration zu haben. Oder Du frachst mal den Skript-Maker aus der PDF.
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

Antworten