Soluzione Bug IDS Snort 2.9.2 IPCop 1.4.21

Snort.orgCome alcuni già sanno, SNORT 2.9 non è più compatibile con IPCop 1.4.21. Ciò indipendentemente dagli sviluppatori, che ne sono tra l’altro già a conoscenza, esiste un addon che permette l’aggiornamento dei servizio IDS tramite Regole VRT di SNORT.

Questo addon è disponibile via Download dall’apposita area del sito di IPcop Italia come parch di aggiornamento alla v.1.4.24: http://www.ipcop.pd.it/download.html#patch

Tuttavia una volta eseguito correttamente l’installazione, si posso presentare dei problemi di gestione degli script di Perl, per quanto riguarda il sistema GUI (Indipendentemente dal sistema di IPCop).

Infatti una volta eseguito l’aggiornamento delle regole, e seguito la procedura dell’avvio di SNORT, al comando “APPLICA”, in finale il nostro browser andrà in errore, causando un log di errore appunto, sull’esecuzione dello script “500 error”.

NON FATEVI PRENDERE DAL PANICO, si tratta di una cosa normale, poichè Snort avvia servizi Perl avanzati rispetto la versione 1.4.x, che impediscono di visualizzre correttamente solo la GUI. Infatti se voi riaggiornate la pagina entrando nuovamente in

https://[ip-ipcop]:445/

vi renderete conto che tutto funziona regolarmente e se dal

Menu > Servizi > Rilevamento Intrusione

vedrete che il servizio SNORT è attivo e regolarmente funzionante.

ULTERIORE CONSIGLIO
Con l’installazione della patch viene anche classificata una nuova versione di IPCop la 1.4.24, fuori dagli script standard degli aggiornamenti ufficiali. Quindi possono verificarsi alri bug di visualizzazione GUI dalla sezione Aggiornamenti.

Quindi consiglio, una volta installata la patch di editare il file:
/var/ipcop/general-functions.pl Alla riga 24:

...
$General::version = '1.4.24';
...

cambiarla con:

...
$General::version = '1.4.21';
...

ed il file /etc/issue Alla riga 1:

IPCop v1.4.24 - The Bad Packets Stop Here

cambiarla con

IPCop v1.4.21 - The Bad Packets Stop Here

Questo ripristinerà la precedente versione regolare di IPCop, senza alcun problema.

Se avete bisogno di maggiori delucidazioni contattatemi in Privato o mandatemi una richiesta via email: andrea.patron@digitaldesign.it

2 Commenti

  1. Andrea

    Ho installato quella patch dopo aver reinstallato ipcop e il servizio IDS è passato da funzionante a bloccato anche facendo la modifica sopra citata e ho dovuto reinstallare tutto ! una volta reinstallato tutto il sistema ho usato la sola patch per la versione 1.4.21 ma mi da errore register register md5

    Ti ho inviato una mail

    ciao

    Reply
  2. andrea.patron (Post author)

    Lo script sopracitato è valido solo per la v.1.4.24. La precedente patch non installa la versione corretta di Snort, l’aggiornamento alle nuove regole VRT possono andare in errore (md5 appunto) perchè riferiscono alla versione precedente.

    Nella v.1.4.24 tutto risulta funzionante, a sola eccezione di una riga di Perl che invece di ritornare alla pagina .cgi, manda la GUI in errore. Ma realmente non è così perchè se riavvii la GUI ti si presenterà Snort Funzionante. Questo salvo inappropriate condizioni e caratteristiche della macchina, che possono pregiudicare un malfinzionamento: Snort 2.9 richiede parecchie risorse per il servizio IDS. Se avvii altri servizi, come Proxy e Copfilter, ecc. possono verificarsi crash di memoria, e di conseguenza malfunzionamenti della GUI.

    Ti suggerisco comunque di postare tali problemi nel forum di IPCop Italia http://forum.ipcop.pd.it ,sicuramente qualcuno ne saprà più di me!

    Reply

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

CAPTCHA Image[ Immagine differente ]

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.