Re: [hlbr] rules

Tue, 21 Oct 2008 10:35:47 -0700 




--- Em seg, 20/10/08, André Bertelli Araújo <[EMAIL PROTECTED]> escreveu:
De: André Bertelli Araújo <[EMAIL PROTECTED]>
Assunto: Re: [hlbr] rules
Para: [email protected]
Data: Segunda-feira, 20 de Outubro de 2008, 10:41

2008/10/17 edu_estouro <[EMAIL PROTECTED]>:
> Caros Colegas,
>
> como eu faço para criar regras baseado no Snort?
> exemplo :
> <snort>
> ip dst (firewall)
> tcp dst (22)
> tcp content (|FF FF FF 00 00|)
> msg: bla bla
> </snort>
> Seria desse jeito?

Esta mensagem abaixo foi postada já tem um tempo:
"
Quanto a converter regras do Snort, na verdade isso já é possível (já
era no Hogwash); basicamente, basta alterar o arquivo de regras do
Snort assim:
- acrescentar <snort> e </snort> no começo e final do arquivo
- Retirar o $ do começo do nome das variáveis (ex: $EXTERNAL_NET)
- Definir no hlbr.config as variáveis (ex: EXTERNAL_NET) como IP lists

Já faz um tempo desde que testei isto, mas pelo que me lembro bastava
estes passos. Claro que o HLBR vai ignorar a maioria das definições
das regras do Snort e ler apenas o campo "content" de cada regra (e
os
IPs/portas origem/destino, claro)
"
http://br.groups.yahoo.com/group/hlbr/message/739


-- 
.o.    André Bertelli Araújo
..o    http://bertelli.name
ooo    <><

------------------------------------


Mas fazendo isso o HLBR num irá fazer o bloqueio de tudo que for pego pelo 
SNORT?
Sujeito a bloquear até falsos positivos pego pelo SNORT?

Danilo Marques..





---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados
ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio
aviso.
---------------------------------------------------------------------
Sair da lista: [EMAIL PROTECTED]
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em
http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------


Links do Yahoo! Grupos





      Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua 
cara @ymail.com ou @rocketmail.com.
http://br.new.mail.yahoo.com/addresses





















					Responder a