2008/10/17 edu_estouro <[EMAIL PROTECTED]>: > Caros Colegas, > > como eu faço para criar regras baseado no Snort? > exemplo : > <snort> > ip dst (firewall) > tcp dst (22) > tcp content (|FF FF FF 00 00|) > msg: bla bla > </snort> > Seria desse jeito?
Esta mensagem abaixo foi postada já tem um tempo: " Quanto a converter regras do Snort, na verdade isso já é possível (já era no Hogwash); basicamente, basta alterar o arquivo de regras do Snort assim: - acrescentar <snort> e </snort> no começo e final do arquivo - Retirar o $ do começo do nome das variáveis (ex: $EXTERNAL_NET) - Definir no hlbr.config as variáveis (ex: EXTERNAL_NET) como IP lists Já faz um tempo desde que testei isto, mas pelo que me lembro bastava estes passos. Claro que o HLBR vai ignorar a maioria das definições das regras do Snort e ler apenas o campo "content" de cada regra (e os IPs/portas origem/destino, claro) " http://br.groups.yahoo.com/group/hlbr/message/739 -- .o. André Bertelli Araújo ..o http://bertelli.name ooo <><
