demarcd -I - moje boje

[uho]

Cytowanie Piotrek 'Drozdo' Drozdowski <drozdo w pf.pl>:

> Mam problem z instalacja klienta demarc. Przy demarcd -I wyglada to tak:
> 
> Running in IDS mode
> Log directory = /var/log/snort
> 
> Initializing Network Interface eth0
> 
>         --== Initializing Snort ==--
> Initializing Output Plugins!
> Decoding Ethernet on interface eth0
> Initializing Preprocessors!
> Initializing Plug-ins!
> Parsing Rules file /var/lib/demarcd/snort.conf
> 
> +++++++++++++++++++++++++++++++++++++++++++++++++++
> Initializing rule chains...
> ERROR:  unknown preprocessor "defrag"
> Fatal Error, Quitting..
> 
> Plik /var/lib/demarcd/snort.conf jest generowany automatycznie (z kad?) i
> w nim jest ten "defrag", jak go wywalic? Ewentualnie co zrobic zeby taki
> preprocesor byl?

demarc jest przystosowany dla starszej wersji snorta chyba cos kolo 1.8.x
dlatego defrag i inne parametry powoduja bledy na tym etapie konfiguracji,
demarcd -I generuje konfig snorta zapisujac go do bazy, dokladnie w tabele
dm_conf

po starcie demarcd, sciaga regulki, wpisuje je do dm_rules, generuje plik
snort.conf, wg wpisu w bazie i odpala snorta,

po kilku godzinach walki (nie obeszlo sie z grzebaniem w demarcd) doszedlem do
takiego komunikatu:

Oct  2 08:02:26 xxxx snort: FATAL ERROR: Unterminated rule in file    (Snort
rules must be contained on a single line or     on multiple lines with a '\'
continuation character     at the end of the line,  make sure there are no    
carriage returns before the end of this line) , line 136255400

przyczyna! demarcd zle sklecil snort.conf z danych jakie posiadal w dm_conf i
dm_rules

nie znam histori projektu demarcd, ale po tym co zdazylem sie domyslic, to cos
jest okrojonym puresecure, albo jakas jego strarsza wersja :).

choc demarcd ladnie wyglada to jest baaaardzo niedopracowany (bledy przy
generowaniu konfiga i regulek dla snorta, bledy przy upgradowaniu regulek, przy
downowaniu demarcd uruchamiany przez niego snort dalej sobie chodzi, bledy przy
zakladaniu bazy dla demarcd, widocznie skrypt sql zostal przystosowany dla
starszej wersji snorta!, itd), w puresecure jest wiecej umilajacych szczegolow
w mozliwosciach monitorow itp, no i do tego zwiekszony konfort obslugi regolek
i konfiga snorta.

wnioski !!!
demarc nadaje sie dla tych co chca sobie umilic zycie w przegladaniu alertow 
snorta (alternatywa ACID) odpalanego oddzielnie nie za pomoca demarcd, do tego
dochodza monitory, sprawrdzania dzialania zdalnych uslug (ssh,ftp itp),
pingowanie zdalnych hostow itp, monitor logow lokalnych (bardzo mila
alternatywa dla logcheka), ubogie monitorowanie procesow, sprawdzanie
integralnosci plikow i katalogow (ala tripware, tez przydatne), do calosci
mozna
jeszcze ustawiac sobie roznego rodzaju alerty ktore beda nas informowac o
zdazeniach mailowo.

cikawym rozwiazaniem i jednoczesnie alternatywa, zdaje sie byc:
SnortCenter + ACID = http://users.pandora.be/larc/

osobiscie nie testowalem, ale zamierzam, jak ktos tego uzywa, prosze o swoje
uwagi

--
Tomasz Buziak, pozdrawiam ... 
BOCIAN BOCIAN URATOWANII !!!! PLD LInux :)