Snort Inline

Bonjour,

je possède une Debian Lenny et j’ai essayé d’installer Snort Inline pour surveiller l’activité arrivant sur mon réseau interne. J’ai suivi la procédure donnée dans le GNU/Linux Mag (HS N41) pour l’installation de l’IDS. Le problème survient au moment de lancer Snort Inline (là où tout devrait fonctionner), voila l’erreur retournée :

ERROR: /etc/snort_inline/emerging-all.rules(866) => Invalid port: [80,8080] Fatal Error, Quitting..

Voila le détail de la procédure :

• installation des bibiliothèques indispensables
• récupération du patch dumbnet
• configuration et installation :

./autojunk.sh ./configure --enable-nfnetlink --with-dumbnet --enable-init-failopen make make install

• copie de la configuration de l’IDS :

mkdir /etc/snort_inline cp -r etc/* /etc/snort_inline

• ajout d’une règle iptables :

• création du dossier /var/log/snort
• modification de la variable $RULE_PATH (l.48 de snort_inline.conf) :

• mis en commentaire de toutes les lignes du fichier snort_inline.conf incluant des fichiers de règles à partir de la ligne 666
• téléchargement du fichier de règles emerging-all.rules et ajout d’une ligne à la fin du fichier du fichier snort_inline.conf incluant ces règles :

Voila, merci de votre aide future ,)

Je permet de faire un UP.

Ca ressemble plus à un probléme de config de SNORT qu’a un progléme d’install.
Regarde le contenu de /etc/snort_inline/emerging-all.rules(866)
et essaie de changer de port.
Est ce que tu lances snort en root ?

Oui, je le lance en tant que root.

J’ai maintenant une nouvelle erreur (après réinstallation) :

ERROR: Failed to initialize dynamic engine: SF_SSLPP version 1.1.2 Fatal Error, Quitting..

Utilses fwsnort, cela fait la même chose:

http://cipherdyne.org/fwsnort/

mais en plus tu as l’avantage du package: apt-get install …

ensuite tu n’as plus qu’à le coupler avec psad.