2008/10/29 pedroarthur.jedi <[EMAIL PROTECTED]> > Sim, algumas pessoas já tentaram. Dizem que colocando <snort></snort> > antes de uma regra do Snort ela é automaticamente convertida. Eu > discotdo pois não encontrei nada no código que fosse responsável por > essa tarefa. Então, resta a tradução manual das regra, algo que > envolve tanto o entendimento das sintaxes de regras do Snort quanto do > HLBR.
O pior é que eu conferi agora e não tem código para isso mesmo; mas eu me lembrava de que existia essa funcionalidade... Então conferi na árvore do svn e vi que esse código foi removido há um bom tempo atrás, depois da versão 0.2. Isto deveria ter sido mantido... Bem, como o Pedro Arthur já comentou... dá pra converter sem grandes dificuldades, até mesmo fazendo um script que faça essa conversão. O problema é incentivar a importação de regras sem um "exame" cuidadoso do que deve e do que não deve ser importado, pois em um IPS um falso positivo pode ser fatal para a rede (um verdadeiro "tiro no pé"). Uma importação dessas teria que ser feita avaliando-se as regras uma por uma... De qualquer forma, acho que valeria a pena colocar na página do HLBR um script, mesmo que seja um de exemplo, mostrando como fazer esta conversão. Vou trabalhar nisso. Assim quem tiver interesse de usar regras do Snort tem por onde começar. Mas colocar no HLBR uma forma de importar diretamente e/ou automaticamente eu não acho boa idéia, pois pode acabar virando um "convite" para alguém menos avisado dar o tal tiro no pé. Por fim, vale de novo o velho conselho: é interessante ter ambos na rede, o IPS e o IDS (assim como outros elementos de firewall), e verificar periodicamente as logs do IDS para ver se o IPS deixou passar algo e, se deixou, ajustar as regras de acordo. -- .o. André Bertelli Araújo ..o http://bertelli.name ooo <><
