Hallo,

ich habe gestern ein IDS mit Prelude aufgesetzt. Funktionierte auch einwandfrei, bis ich mal die neuesten Snort Regeln eignespielt habe. Zum Einspielen habe ich das Skript convert_ruleset von er prelude Website genommen. Irgendwie habe ich jetzt aber das Gefühl, dass der nicht mehr mit den Snort Regeln arbeitet. Der hat vorher immer SNMP Abfragen gemeldet, die meldet der jetzt nicht mehr. Auch mögliche Buffer-Overflow Attacken werden nicht mehr gemeldet.
Kann es evtl. sein, dass ich den falschen Snort Regelsatz geladen habe. Da gibt es ja welche für verschiedene Versionen.


Gruss
Sebastian

funktioniert bei dir die webgui? (piwi)

http://server/cgi-bin/piwi/index.pl

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

und das hier noch:

Can't locate object method "connect" via package "DBI" at Functions/db.pl line 96.
[Thu Jul 15 15:46:09 2004] [error] [client 149.242.72.5] Premature end of script headers: /srv/www/cgi-bin/piwi/index.pl

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Mal die Apache logs durchgesehen?
Fehlende Rechte für den Apache?
httpd.conf für cgi-bin Ausführung angepasst?


mfg
cane

ja, funktioniert.
Den Fehler hab ich auch bekommen. Ich weiss nur nicht mehr ganz genau, wodurch ich ihn wegbekommen habe.
Hast du in die /etc/apache/httpd.conf die Zeile "Include /etc/piwi/httpd.conf "eingefügt. Denn du musst dem Apache auf jeden Fall erlauben, dass er in dem Verzeichnis Perl Skripte ausführen darf.

EDIT: Ach, ich weiss, Editier mal die config.pl im piwi Verzeichniss. Da musst du dem noch sagen, wie der auf die Datenbank zugreifen kann.

EDIT2: Hat keiner ne Idee zu meinem Problem?

ja, funktioniert.
Den Fehler hab ich auch bekommen. Ich weiss nur nicht mehr ganz genau, wodurch ich ihn wegbekommen habe.
Hast du in die /etc/apache/httpd.conf die Zeile "Include /etc/piwi/httpd.conf "eingefügt. Denn du musst dem Apache auf jeden Fall erlauben, dass er in dem Verzeichnis Perl Skripte ausführen darf.

EDIT: Ach, ich weiss, Editier mal die config.pl im piwi Verzeichniss. Da musst du dem noch sagen, wie der auf die Datenbank zugreifen kann.



- ich habe das piwi.tar nach /serv/www/cgi-bin kopiert und da können pls ausgeführt werden. Die config.pl habe ich angepasst. Ein Verzeichnis /etc/piwi habe ich nicht.

???

Ja, ist klar. Ich hab das auch aus den Debian Packeten installiert. Hatte ich jetzt nicht dran gedacht. Aber die Meldung aus den Logs deutet auf jeden Fall darauf hin, dass irgendwas falsch konfiguriert ist.

...wenn ich index.pl aufrufe will der Browser downloaden ... im Moment fällt mir nix gutes mehr ein.

<IfModule mod_dir.c>
DirectoryIndex index.pl index.html
</IfModule>

Alias /perl/ /srv/www/piwi
<Location /perl>
SetHandler perl-script
PerlHandler Apache::Registry
Options +ExecCGI
</Location>
</IfModule>

<Directory "/srv/www/piwi/">
Options ExecCGI
Addhandler cgi-script .pl
</Directory>

musste du noch ein DBD/mysql.pm installieren? Sowas habe ich nirgends in der Doku gelesen.

[Thu Jul 15 17:25:12 2004] [error] install_driver(mysql) failed: Can't locate DBD/mysql.pm in @INC (@INC contains: /var/www/perllib /usr/lib/perl5/5.8.0/i586-linux-thread-multi /usr/lib/perl5/5.8.0 /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi /usr/lib/perl5/site_perl/5.8.0 /usr/lib/perl5/site_perl . /srv/www/ /srv/www/lib/perl) at (eval 186) line 3.
Perhaps the DBD::mysql perl module hasn't been fully installed,
or perhaps the capitalisation of 'mysql' isn't right.
Available drivers: ExampleP, ODBC, Proxy.
at Functions/db.pl line 96

allerdings habe ich ohne --enable-mysql configuriert. :confused:

Ne, brauchte ich nicht. Aber wie schon erwähnt, habe ich das aus den fertigen Debian Packeten installiert. Der hat sich da wohl alles mitinstalliert, was er braucht.

du glücklicher. Noch ne Frage: die Datenbank ist nur Optional oder muss man eine benutzen?

ich glaub ohne die datenbank funktioniert piwi nicht. Das Prinzip ist doch jenes, dass Perlude in die Datenbank loggt und sich piwi dann die Daten aus der DB holt.

hast du "mysql.pm" bei dir drauf?

Denke schon, kann aber leider nicht nachgucken, da der server auf der Arbeit steht.

So, jetzt funzt zumindest die perl web gui, auch wenn ich noch keine Einträge in der DB sehen konnte, aber immerhin. sieht aber ganz gut aus, oder (test/index.pl)
(mit blauer Schrift auf blauem Hintergrund)

Mandatory perl modules :

perl : You have perl v5.6.0 or newer
Socket : Network routines, name resolution ok
CGI : You have the CGI module
DBI : You have generic DB access module
+ DBD : You have, at least, one specific DB access module
Date::Calc : Date manipulations

====================
Additional tests :

generated/ directory perms : generated/ sub-dir is writable by this webserver
Profiles/ directory perms : Profiles/ sub-dir is readable by this webserver
DB access configuration : this script could have access to prelude DB
password-protection : piwi directory is not password protected. look at Docs/user_file_format.txt and modify Profiles/guest.user accordingly

=====================

bist du schon weitergekommen?

Genau, und ich glaub, wenn du dann n Reload der Seite machst, siehst du die normale Ansicht. Und vorausgesetzt du loggst in die Datenbank, siehst du auch Einträge..

ich habe mit enable mysql configuriert, sehe aber beim starten vom manager nichts davon. (Subscribing Mysql ...)

immerhin schreibt prelude nach /var/log und die prelude db ist auch angelegt.
(jetzt muss prelude nur nach was reinschreiben ...)

prelude-manager
- Initialized 2 reporting plugins.
- Initialized 1 database plugins.
- Subscribing Prelude NIDS data decoder to active decoding plugins.
- Initialized 1 decoding plugins.
- Initialized 0 filtering plugins.
- Subscribing TextMod to active reporting plugins.
- sensors server started (listening on unix socket port 5554).

Hast du in der prelude-manager.conf (oder so ähnlich) die Zeilen mit den MySQL Configs einkommentiert?

[MySQL]
.
.
.

Keine Ahnung, wie das jetzt genau aussieht, auf jeden Fall fängt das mit [MySQL] an und da stehen halt Host, datenbank, user und passwort.

Hast du in der prelude-manager.conf (oder so ähnlich) die Zeilen mit den MySQL Configs einkommentiert?
[MySQL]
.
Keine Ahnung, wie das jetzt genau aussieht, auf jeden Fall fängt das mit [MySQL] an und da stehen halt Host, datenbank, user und passwort.

Klar, mit user/passwort und so

wenn wir schon bei prelude sind, hat jemand schon die neue verwaltungsoberfläche prewikka getestet? derzeit nur über cvs erhältlich. soll aber in 0.9 stable sein.

sollte 0.9 nicht ende juni released werden?

ich benutze zur Zeit piwi und das php-gui.

wie arbeitet eigentlich der LML-Sensor? Kann der z.B. tripwire ablösen? Oder Wozu ist der gut? Oder beobachtet der nur die messages ähnlich logsurf? Oder kommt dann samhain ins Spiel?

Tripwire hält eine Datenbank, mit der er ständig die Dateien abgleicht und Alarm schlägt, wenn eine Datei, die nicht geändert werden durfte. geändert wurde.

prelude-lml guckt sich permanent bestimmte Logfiles an und schlägt Alarm, sobald verdächtige Aktivitäten in den Logs auftauchen.

Hallo,

ich habe gestern ein IDS mit Prelude aufgesetzt. Funktionierte auch einwandfrei, bis ich mal die neuesten Snort Regeln eignespielt habe. Zum Einspielen habe ich das Skript convert_ruleset von er prelude Website genommen. Irgendwie habe ich jetzt aber das Gefühl, dass der nicht mehr mit den Snort Regeln arbeitet. Der hat vorher immer SNMP Abfragen gemeldet, die meldet der jetzt nicht mehr. Auch mögliche Buffer-Overflow Attacken werden nicht mehr gemeldet.
Kann es evtl. sein, dass ich den falschen Snort Regelsatz geladen habe. Da gibt es ja welche für verschiedene Versionen.


Gruss
Sebastian
Hast du das Problem noch? Ich müsste es ja jetzt reproduzieren können, oder? Kannst du Buffer-Overflow Attaken simulieren?

Tripwire hält eine Datenbank, mit der er ständig die Dateien abgleicht und Alarm schlägt, wenn eine Datei, die nicht geändert werden durfte. geändert wurde.

prelude-lml guckt sich permanent bestimmte Logfiles an und schlägt Alarm, sobald verdächtige Aktivitäten in den Logs auftauchen.

dachte ich mir. was hälst du von samhain?

weiss jemand, wie man die grösse von cpu/ram für einen ndis server festlegen könnte?

Das kommt sicherlich darauf an wie viele Pakete das NIDS packen soll. In einem geswitchten Umfeld kann das schon eine ganze Menge werden. Da hängt der Rechner ja hinter einem Monitorport (also ein Port wo alle Pakete noch mal rauskommen). Ich habe hier nur einen Rechner laufen, plus meinen Server. Da braucht Prelude nicht wirklich viel. Das musst du, denke ich, einfach mal testen.

wie ist denn das jetzt mit den regeln? snort kennt z.b. suppress gen_id.
muss ich diese regel einfach nehmen und mit dem tool (siehe anfang) konvertieren?

muss man eigentlich HOME_NET irgendwo festlegen?