Keine Regelupdates mehr für SNORT

1. offizieller Beitrag

    Jetzt hänge ich aber voll in der Luft.

    Bemerkte erst jetzt das seit mehr als zwei Monaten das automatische Regelupdate für Snort nicht mehr funktioniert.

    In meiner Unkenntniss lud ich Snort Regeln von der Snort.org Seite hoch - danach lief Snort gar nicht mehr.
    Durch das Löschen der User Regel startet wenigstens Snort wieder, jedoch wohl ohne Regeln.

    Kann ich wenigstens die Snort-Regeln von Hand einpflegen ? Dazu gibt es doch die leicht zu bedienende Schaltfläche "Benutzerdefinierte Regeln hochladen".
    Wo bekomme ich diese her oder ist es möglich das das Update wieder wie früher automatisch funktioniert?

    [Blockierte Grafik: http://666kb.com/i/ctkgfciq1ibnjtpi0.jpg]

    [Blockierte Grafik: http://666kb.com/i/ctkgfx035shczlfmg.jpg]

    [Blockierte Grafik: http://666kb.com/i/ctkggbt2zly1s1yl4.jpg]

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    Genau diese hatte ich probiert.
    Danach startete Snort gar nicht mehr.

    Vermutlich weil das Dateiformat anders ist. V2.9 hat die Endian ja nicht.

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    Ich kenne mich nicht mit den Log`s aus.

    Ich setzte zum Testen eine jungfräuliche Endian 2.5.1 auf.

    Auch diese (wie meine beiden anderen) macht kein Snort update.
    Ich vermute das geht bei niemanden mehr. Müßte so etwas Schlimmes nicht bekannt sein ?

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    • Offizieller Beitrag

    Das ist halt der Nachteil der Community . . . Endian macht da keine Updates mehr . . . . für die 3.0 vom 20 Januar 2014 gibt es bis Heute nicht ein Update . . . bei der Enterprise kamen seit Januar bestimmt 30 Updates . . wenigsten lässt sich bei der 3.0 Community Snort Updaten . . zu mindestens sieht es so aus . . :)

    Gruß Sabine

    Wobei ich ja nicht vom Programmupdate rede sondern von den Rules.

    Ich vermute die bezog snort vorher von einer bestimmten Quelle im Netz die jetzt umgestellt oder ausgeschaltet wurde.

    Ich versuchte in stundenlanger Verzweifelung die 3.0 zu migrieren.
    Wenigstens bietet Endian das mittlerweile im Updateverfahren für die Entwicklerversion an.
    Es sah auch sehr gut aus - es wurden praktisch alle Einstellungen von der 2.5.1 übernommen.

    Nur der HTTP Proxy lief falsch. War er aus - hatten alle Clients Internet, auch die denen das vorher über die Proxy Zugriffsrichtlinien gesperrt war. Klaro.
    War der Proxy an hatte keiner mehr Internet. Was nützt eine Datenübernahme wenn die Endian sich danach selber schrottet?

    Ich probierte vorher das Update auf 3.0 auf einer jungfräulichen 2.5.1 installation aus. Danach mit 3.0 funktionierte das snort Regelupdate.
    Nach dem Update der gewachsenen und wichtigen 2.5.1 Version auf 3.0 ging Snort auch wieder nicht upzudaten.

    Das kostet echt graue Haare.

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    • Offizieller Beitrag

    Ein Update von der 2.5 auf die 3.0 geht auch nicht . . . in der 3.0 läuft jetzt Icap . . . deshalb geht das nicht . . :nerv:
    Das Optimale . . . :nerv: . . . so habe ich das gemacht . . . ist die 3.0 auf andere Hardware zu installieren und dann in zwei Browserfenstern die neue nach zu „ bauen „ . . . dann eine Sicherung machen . . dann das hier machen ( https://www.efw-forum.de/www/forum/viewtopic.php?f=9&t=1166 ) . . dann auf der alten Maschine die 3.0 installieren und die Sicherung zurück spielen ( eventuell noch die Lan Karten anpassen ) und fertig . . :)

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final