Snort 1.8.7 loggt absolut nichts (SuSE 8.1)

[rame]

Hallo,
ich habe ein Problem mit Snort: Da gerade in der freeX 01/04 ein Artikel drin war, der sich mit der Installation von Snort befaßt habe ich die Gelegenheit benutzt, das ganze mal auf meinem Server auszuprobieren. Als erstes also das ganze auf einer Testkiste zu Hause installiert und konfiguriert, mit den Anleitungen in der freeX und auf "snort.org" auch kein Problem. Wenn ich jetzt z.B. einen "nmap"-TCP-Scan auf die Testkiste loslasse, dann "rappelt" Snort auf dieser los und erstellt jede Menge Einträge in der "/var/log/snort/alert", die man dann mit SnortSnarf auch wunderschön "visualisieren" kann.
Jau, jetzt das ganze auf den Rootserver übertragen (weil erfolgreich getestet), die gesamte Installation und Konfiguration identisch nachvollzogen, und siehe da: Snort beschwert sich beim Start in keinster Weise. Allerdings kann ich machen, was ich will, es wird auch nichts (z.B. wie oben ein "nmap"-Scan) durch Snort erfaßt. Der Scan kommt definitiv an, sieht man an Einträgen vom ScanLogD und der Firewall.
Ich hab' auch schon mal probeweise die FW runtergefahren (obwohl in der Snort-FAQ steht, daß Snort die Pakete auch bei aktivierter FW "mitbekommt"), aber leider keine Ã?nderung.
Kann es sein, daß Snort *ausschließlich" an ganzen Netzwerken horchen kann (z.B. 192.168.0.30/24) und bei 'nem Rootserver mit "<ip-adresse>/32" scheitert?

Systeme: Snort 1.8.7, SuSE 8.1

Hmpf...
Tschau, Ralf

[captaincrunch]

In dem Fall würde die config mehr sagen als tausend Worte. Eine /32er-Maske stört Snort jedenfalls nicht im geringsten.

[rame]

Je nun, kein Problem:
Die "/etc/snort/snort.conf" auf meiner Kiste:

Code: Select all

var HOME_NET $eth0_ADDRESS
var EXTERNAL_NET $HOME_NET
var SMTP $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var DNS_SERVERS $HOME_NET
var RULE_PATH ./
var SHELLCODE_PORTS !80
var HTTP_PORTS 80
var ORACLE_PORTS 1521
preprocessor frag2
preprocessor stream4: detect_scans, disable_evasion_alerts
preprocessor stream4_reassemble
preprocessor http_decode: 80 -unicode -cginull
preprocessor rpc_decode: 111 32771
preprocessor bo
preprocessor telnet_decode
include classification.config
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/local.rules

Das ist im übrigen exakt die gleiche Config, die auf dem Testsystem funktioniert (mit "diff" verglichen). Das Startskript ist auch identisch, dito die "/etc/sysconfig/snort" von SuSE...
Ist auch wenig verwunderlich, da im Wesentlichen alles (noch) Standard ist und beide OS gleich sind.
Insofern verstehe ich nicht, wieso es auf dem einem läuft und auf dem anderen nicht. Der einzige für mich relevante erkenntliche Unterschied ist die Konfiguration der NIC.

Tschau
Ralf

[captaincrunch]

Interessant dabei wäre die $eth0_ADDRESS ;)

[rame]

Ok.
Auszug "ifconfig eth0":

Code: Select all

eth0      Link encap:Ethernet  HWaddr 00:30:48:52:6E:AC
          inet addr:81.169.156.147  Bcast:81.169.156.147  Mask:255.255.255.255
          inet6 addr: fe80::230:48ff:fe52:6eac/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1

Mir fällt da so weit nichts auf...
Tschau
Ralf

[captaincrunch]

Ja, aber woher bezieht Snort diese? Wird die wirklich ausgelesen, oder steht die irgendwo im Configfile? Was passiert, wenn du die Variable "HOME_NET" einfach mal fest mit der IP konfigurierst?

[rame]

"eth0_ADDRESS" ist eine vordefinierte Variable.

Snort-FAQ:
3.7 My IP address is assigned dynamically to my interface, can I use snort with
it?

Yes. With snort 1.7 and later, <interface>_ADDRESS variable is available. The
value of this variable will be always set to IP address/Netmask of the
interface which you run snort at.

Ich habe es auch schon mit der "festen" Eingabe von "81.169.156.147/32" versucht, keine Ã?nderung.
Und wie gesagt, ich habe die Konfigurationsdateien und Startskripte von meinem Server (geht nicht) und meiner Testkiste (geht) verglichen, die sind absolut identisch.
Auch der Aufruf ist gleich...

Code: Select all

/usr/bin/snort -d -D -i eth0 -p -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf

Das habe ich auch schon ohne "-p" versucht (Promiscous-Mode brauche ich auf meinem Server nicht), ebenfalls keine Ã?nderung.
Mirakel...
Tschau
Ralf

[as-n]

Hallo,

ich habe jetzt auch mal snort installiert und das gleiche Problem, er loggt gar nix.
Hast du den Fehler gefunden?

Ciao
André

[rame]

Hallöle,

nachdem ich hier keine zufriedenstellende Antwort bekommen habe, hatte ich das Problem auch in der Snort-ML geschildert. Da habe ich zwar auch keinen konkreten Hinweis auf die Ursache bekommen, allerdings den "zarten" Verweis auf die Altertümlichkeit meiner installierten Version.
Nachdem ich dann das veraltete SuSE-RPM deinstalliert und die aktuelle Snort-Version aus den Sourcen (Version 2.1.0 (Build 9)) neu installiert habe, lief (und läuft) alles wie geschmiert (inkl. automatischen Oinkmaster-Updates).

Woran es nun lag? K.A.

Tschau
Ralf

[as-n]

Ja, so habe ich es jetzt auch gemacht.
Lediglich bei Ã?nderunegn an Snort und dem darauffolgenden Neustart davon schmiert mir immer der ganze Server ab, seltsam. :?:

[rame]

Hmm,

OS?

Probleme mit dem Promiscous-Mode der NIC?

Tschau
Ralf

[as-n]

SuSE8.1, Promiscous-Mode sagt mir jetzt so nix, aber ich habe mich damit auch noch nicht beschäftigt, werde mal nachlesen.

Ciao
André