Building a suricata compliant ruleset

Introduction During Nefilter Workshop 2008, we had an interesting discussion about the fact that NFQUEUE is a terminal decision. This has some strong implication and in particular when working with an IPS like suricata (or snort-inline at the time of the discussion): the IPS must received all packets routed by the gateway and can only issue a terminal DROP or ACCEPT verdict. It thus take precedence over all subsequent rules in the ruleset: any ACCEPT rules before the IPS rules will remove packets from IPS analysis and in the other way, any decision after the IPS rules will be ignored. ...

January 16, 2011 · 5 min · Regit

Something behind the herbs.

Sometime, you are really excited when you take a picture. In this case I was simply a little bit afraid. Being on foot, with a giant elephant going in my way was a tremendous experience: {.thickbox}Happy not to be on first row That photo was fun to take but I really prefer the following: ...

November 30, 2010 · 1 min · Regit

Massive and semantic patching with Coccinelle

I’m currently working on suricata and one of the feature I’m working on change the way the main structure Packet is accessed. One of the consequences is that almost all unit tests need to be rewritten because the use Packet p construction which has to be replace by an dynamically allocated Packet *. Given the number of tests in suricata, this task is very dangerous: ` It is error prone Too long to be done correctly I thus decide to give a try to coccinelle which is a "program matching and transformation engine which provides the language SmPL (Semantic Patch Language) for specifying desired matches and transformations in C code". Well, from user point of view it is a mega over-boosted sed for C. ...

November 27, 2010 · 4 min · Regit

Splitting and shrinking a git repository

I have recently faced the challenge to rewrite a git repository. It has two problems: First problem was small: an user has commited with a badly setup git and E-mail as well as username were not correctly set. Second problem seems more tricky: I was needing to split the git repository in two different one. To be precise on that issue, from the two directories at root (src and deps) have to become the root of their own repository. I then dig into the doc and it leads me directly to ‘filter-branch’ which was the solution of my two problems. The names of the command is almost self-explanatory: it is used to rewrite branches. ...

August 2, 2010 · 3 min · Regit

Using Suricata with CUDA

Suricata is a next generation IDS/IPS engine developed by the Open Information Security Foundation. This article describes the installation, setup and usage of Suricata with CUDA support on a Ubuntu 10.04 64bit. For 32 bit users, simply remove 64 occurances where you find them. Preparation You need to download both Developper driver and Cuda driver from nvidia website. I really mean both because Ubuntu nvidia drivers are not working with CUDA. I’ve first downloaded and installed CUDA toolkit for Ubuntu 9.04. It was straightforward: ...

May 23, 2010 · 3 min · Regit

Quand ça fonctionne tout seul

Je venais d’avoir l’idée d’une modification d’ulogd2 pour réaliser la chose pratique d’avoir deux sorties sur la même stack. J’ai donc rajouté pour tester la stack suivante àmon fichier ulogd.conf : stack=log2:NFLOG,base1:BASE,ifi1:IFINDEX,ip2str1:IP2STR, \ print1:PRINTPKT,sys1:SYSLOG,mark1:MARK,emu1:LOGEMU Les tests ont montré que c’était déjàfonctionnel ! D’un coup, la neuvième de Beethoven par Harnoncourt est encore plus grandiose.

January 19, 2010 · 1 min · Regit

Dan Brown est un génie

Et bien oui, dans Da Vinci Code, il a quand même réussi àpassionner le monde avec l’histoire d’un mec super intelligent qui cherche àfaire un test de filiation mère-fille pour prouver une paternité. Il faut être génial pour faire passer un truc pareil. Ou alors, on est tous super stupide… PS: bonne année 2010

December 31, 2009 · 1 min · Regit

Vers une nouvelle agora ?

Récemment, le Nouvel Observateur a réalisé un dossier intitulé “Internet en procès”. Ce dossier a semble-t-il été motivé par l’apparition de plus en plus fréquente d’informations qui font suffisamment de bruit sur Internet pour devoir être reprises par les médias classiques. Le dossier est intéressant mais l’avis des partisans d’un contrôle d’internet me fascine. L’éternel tentation de la censure est toujours bien présente. On peut certes comprendre qu’au vu des affaires récentes (Jean Sarkozy ou Frédéric Mitterand) une envie d’étouffer la contestation naisse dans l’esprit de certaines personnes. ...

December 30, 2009 · 3 min · Regit

Il ne faut pas confondre (version 2)

Je disais donc, il ne faut pas confondre la coquetterie et la classe. Pour certains, la barrière est difficile àestimer: Une Ferrari, dorée c’est mieux Pour reprendre approximativement Clint Eastwood : “Peindre une telle voiture dans cette couleur devrait être considéré comme un crime”

August 5, 2009 · 1 min · Regit

Debian, le retour de la faille SSL

La distribution Debian GNU/Linux est habituée au problème de hasard pas si aléatoire que ça. Cela s’était illustré avec la faille openssl et cela vient d’être confirmé par le debian logo en ascii art du boot. J’en tiens pour preuve le screenshot suivant : ...

May 13, 2009 · 1 min · Regit

Hadopi, partage et création

Bon, oui c’est vrai, je n’ai pas grand chose àdire làdessus. Alors, je laisse la parole àceux qui savent l’utiliser : Partager n’est pas voler de La Quadrature du Net. Si l’on considère les propos de notre ministre de la culture “ce qui compte c’est l’avenir de l’industrie”, il est facile d’avoir un majorant du prix de la liberté du peuple français dans son entier : c’est le chiffre d’affaire des industries “culturelles”.

May 4, 2009 · 1 min · Regit

En route vers le 2.6.30 et encore merci Denis

Oui, bon, vous savez sans doute que le noyau Linux 2.6.30 est en cours de réalisation. Mais saviez-vous que grâce àl’excellent Denis Bodor toute une série de patchs a été incorporée au noyau ? Lors de la rédaction du Hors Série Netfilter de GLMF, j’ai, avec tous les autres rédacteurs (Gwenael, Haypo, Pollux et Toady), voulu faire découvrir les dernières avancées de Netfilter. Et, forcément, lorsque l’on est sur le fil du rasoir et que l’on pousse les choses àfond pour être le plus précis possible, il arrive que l’on découvre des problèmes ou des choses pas aussi pratiques que on le désirerait. ...

April 3, 2009 · 1 min · Regit

Mon bureau en mode noyau

Non, non, vous ne verrez pas dans cet article de screenshots du noyau ! J’ai juste envie de poster ici une capture d’écrans que j’ai réalisée et commentée il y a quelque temps. J’étais àce moment-làen train de réaliser un des mes développements noyau les plus conséquents et cela m’avait conduit àindustrialiser mon environnement de travail pour effectuer développements et tests de la manière la plus efficace possible. ...

April 3, 2009 · 1 min · Regit

Lenteur de subversion en image.

J’utilise de plus en plus git mais de nombreux projets sur lesquels je travaille utilise “encore” subversion. Récemment dans le cadre d’une séance de debug nocturne avec Pollux, j’ai tapé une commande subversion sur les sources de NuFW : svn log -r 5437:5443 Là, ça a pris du temps, beaucoup de temps. Bon, d’accord, subversion ne stocke pas l’historique et il faut aller chercher les informations sur le réseau mais tout de même. ...

March 5, 2009 · 1 min · Regit

Recherche troll base de données

J’ai effectué une recherche pour trouver de l’aide sur une fonction postgresql. Ma recherche était : pgsql conditional table creation Le retour de google est pour le moins surprenant : google et postgresql Me proposer une recherche sur mysql, ce n’est pas vraiment sympa !

February 13, 2009 · 1 min · Regit

Qu’est devenue la moralité ?

À tout ceux qui ont fait de la publicité pour du lait en poudre en Afrique, àtous ceux qui ont breveté des médicaments contre le sida, àtout ceux qui touchent des millions et licencient des milliers de salariés, àtout ceux qui ont collaboré sous le régime de Vichy, rassurez-vous vous n’avez rien fait qui ne mérite que l’on s’y attarde car vous étiez dans la légalité. Vivez sereinement, les gens qui ont le pouvoir en France ne viendront pas gâcher votre vie comme vous l’avez fait àd’autres. ...

February 7, 2009 · 2 min · Regit

Un publiciste et un physicien sont dans une Renault …

Le publiciste crie àla face du monde son slogan dont il est très fier : Renault – La France avance Renault accélère Le physicien répond alors : Comme c’est triste, Renault va délocaliser. Ce discours qu’àpremière vue Ionesco n’aurait pas renié est pourtant complétement logique. Le slogan annonce en effet que la France se déplace vers l’avant et que Renault accélère. On en déduit donc que Renault est en accélération par rapport au référentiel France. La vitesse de Renault dans ce référentiel va donc augmenter. La taille de la France étant finie, on en déduit qu’au bout d’un certain temps, Renault va sortir de France. En terme économique, on appelle ça une délocalisation. ...

February 3, 2009 · 1 min · Regit

La classe et la coquetterie

Dans la série, il ne faut pas confondre la classe et la coquetterie, je vous présente le manteau en fausse fourrure léopard avec des imprimés Mickey et Minnie : Fourrure léopard avec imprimés Mickey Il faut me croire sur parole, mais la petite tache rouge dans le pli sur la droite du manteau, c’est le ruban de Minnie qui est rouge comme il se doit. ...

January 15, 2009 · 1 min · Regit

Portrait d’un acheteur d’Office

Bon, la publicité Microsoft Office, j’en parle, j’en parle mais ais-je la preuve de son efficacité ? Ais-je par exemple vu quelqu’un ayant acheté Office ? Et oui, voilàla photo : Victime de la pub Office L’écharpe OM autour du cou, le téléphone tactile dans une main et la boite Microsoft Office dans l’autre, dans le métro Ligne 14, voici mon premier exemplaire d’acheteur du pack Office.

January 15, 2009 · 1 min · Regit

Contribution au libre, 2009 commence fort.

Du côté de mes contributions au logiciel libre, l’année 2009 commence assez fort. Il semble que j’ai réussi àdéclencher une petite révolution. Le système de test de NuFW avait mis en évidence un crash rare, non reproductible facilement dans nuauth, le serveur d’authentification de NuFW. Les sorties de gdb ou valgrind révélaient un problème absurde dans la bibliothèque cyrus-sasl. NuFW l’utilise pour réaliser la phase d’authentification des utilisateurs. Le crash apparaissait lors d’un appel àsasl_dispose() qui est la fonction àappeler lorsque l’on a terminé la phase d’authentification. Après maintes vérifications et plusieurs dizaines d’heures de debug, j’étais convaincu que nuauth, le serveur d’authentification de NuFW, utilisait la bibliothèque de manière correcte et que le code environnant était correct. ...

January 13, 2009 · 5 min · Regit