--- Em [email protected], Fábio <[EMAIL PROTECTED]> escreveu > fiz um trabalho de faculdade outro dia sobre o HLBR.
Muito obrigado! > Na apresentacao o Prof. falou que a visi'vel deficiencia do HLBR e' a > escassez de regras. Concordo. > Acabei de certa forma tendo que concordar, mas depois levantamos a > hipo'tese de traduzir regras do SNORT para ele. > > Gostaria de saber se isso e' possi'vel e se ja' foi realizado. Sim, algumas pessoas já tentaram. Dizem que colocando <snort></snort> antes de uma regra do Snort ela é automaticamente convertida. Eu discotdo pois não encontrei nada no código que fosse responsável por essa tarefa. Então, resta a tradução manual das regra, algo que envolve tanto o entendimento das sintaxes de regras do Snort quanto do HLBR. O principal problema com o Snort é que eles estão preocupados em ter muitas regras, porém ocasionando muitos falsos positivos. Já no caso do HLBR, temos regras massivamente testadas para que os falsos positivos sejam evitados. Em sistemas de detecção de intrusão, falsos positivos são aceitáveis pois o tráfego não é interrompido visto que o mesmo se encontra paralelo ao tráfego de rede. Já nos sistemas de prevenção de intrusão, falsos positivos não são aceitáveis pois ocasinaria negação de serviço aos usuários legítimos. Portanto, a tradução de regras de um IDS qualquer envolve o teste das regras em ambientes com muita entropia de tráfego. Entenda por entropia pacotes válidos com payloads distintos. No HLBR você pode configurar as ações dos pacotes como action2 para que os mesmos sejam apenas logados. Essa é uma boa prática para a verificação de falsos positivos.
