Re: [hlbr] Regras para o HLBR a partir do snort

Tue, 09 Sep 2008 09:47:13 -0700 

Mas eu fazendo essa configuração ai eu não irei bloquear tudo
que o SNORT pegar ?
Ele também não vai bloquear coisas que não seriam ataques e que
o SNORT pega ?
Como ficaria a questão dos falsos positivos que o SNORt pega ?
E se fosse pra mim mesmo confeccionar regras na mão dos ataques descritos 
abaixo ?

Grato Danilo.



--- Em dom, 7/9/08, Marcos Aurelio Rodrigues <[EMAIL PROTECTED]> escreveu:
De: Marcos Aurelio Rodrigues <[EMAIL PROTECTED]>
Assunto: Re: [hlbr] Regras para o HLBR a partir do snort
Para: [email protected]
Data: Domingo, 7 de Setembro de 2008, 16:56









resposta by Andre...

"
Quanto a converter regras do Snort, na verdade isso já é possível (já

era no Hogwash); basicamente, basta alterar o arquivo de regras do

Snort assim:

- acrescentar <snort> e </snort> no começo e final do arquivo

- Retirar o $ do começo do nome das variáveis (ex: $EXTERNAL_NET)

- Definir no hlbr.config as variáveis (ex: EXTERNAL_NET) como IP lists



Já faz um tempo desde que testei isto, mas pelo que me lembro bastava

estes passos. Claro que o HLBR vai ignorar a maioria das definições

das regras do Snort e ler apenas o campo "content" de cada regra (e os

IPs/portas origem/destino, claro)
"
http://br.groups.yahoo.com/group/hlbr/message/739


[]s
-- 
========================================

Marcos Aurelio Rodrigues
<[EMAIL PROTECTED]>
CCNA, MCSO, Security+
Mirabilia laudo semprer, Dei
========================================








2008/9/2 danilomthebest <[EMAIL PROTECTED]>

















    
            Como faço para confeccionar regras para o HLBR a partir do que foi 
pego

pelo SNORT?

Faço a partir das assinaturas? Ou onde entro para pegar o que

realmente devo usar para confeccionar as regras?

E como faço para poder fazer está regra baseada por exemplo nestas

linhas que peguei do SNORT:



SHELLCODE x86 NOOP 

MS-SQL Worm propagation attempt 

MS-SQL Worm propagation attempt OUTBOUND

MS-SQL version overflow attempt 

(portscan) TCP Portscan: 139:445

(portscan) TCP Portscan: 21:3389

(portscan) Open Port: 80

(portscan) Open Port: 22



Alguém saberia me dizer como ficaria uma regra para bloquear

estas linhas ai?



Grato Danilo!




      

    
    
        
        
        
        


        


        
        
        
        
        











      Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua 
cara @ymail.com ou @rocketmail.com.
http://br.new.mail.yahoo.com/addresses

Responder a