Home arrow Regras/Rules arrow Básico sobre regras do snort
Básico sobre regras do snort
Written by Rodrigo Montoro (Sp0oKeR)   
Tuesday, 25 March 2008

Básico sobre regras no snort

VRT / ET / Pessoais



Autor:

Rodrigo Ribeiro Montoro aka Sp0oKeR

Analista Segurança BRconnection

LPIC-1 / RHCE / SnortCP / MCSO

Contato: This e-mail address is being protected from spam bots, you need JavaScript enabled to view it  



Introdução:


Esse breve artigo tem como base explicar os tipos de regras que podemos usar no snort, e servir como paper inicial da parte de Regras do novo site, que visa discutir bastante sobre as mesmas. Atualmente podemos utilizar o snort com 3 tipos de regras (rules)


1-) Regras da SourceFire

2-) Regras da Comunidade (EmergingThreats)

3-) Regras Pessoais (desenvolve de acordo com a sua necessidade)


Conteúdo:



Regras da SourceFire (3 tipos)


Subscribers - recebem as regras em tempo real assim que estão disponíveis (mais info em http://www.snort.org/about_snort/licenses/vrt_license.html ) . Existe uma taxa annual para ter esse acesso (vide tabela valores - http://www.snort.org/vrt/why_subscribe.html ).



Registered – usuários tem acesso as regras 30 dias após os usuários do tipo subscribers ou seja, 30 dias após elas estarem disponíveis.



Unregistered – usuário recebe um conjunto de regras padrões com o release do snort que baixou .


Mais info: http://www.snort.org/vrt/


Regras da Comunidade (EmergingThreats)


As regras da comunidade podem ser livremente acessadas via site da Emerging Threats (ex Bleeding Threats), e utilizadas livremente em seus servidores. Uma caracteristica importante é que as ET rules comecam com o SID (Signature ID) maior que 2000000, ou seja, elas NÃO são conflitantes com as regras da SourceFire (VRT) além de terem um foco maior para Policy Violation (tanto que se reparar, as maioria das regras são origem $HOME_NET para algo externo) .


Sobre Emerging Threats:


http://www.emergingthreats.net/content/view/18/25/


Regras:


http://www.emergingthreats.net/content/view/16/38/



Regras Pessoais (desenvolve de acordo com a sua necessidade)


Uma das funcionalidades legais do snort, é a facilidade e simplicidade de se escrever regras para aplicacões especificas, ou até mesmo para politica de acessos internas, vai da sua imaginacão e/ou necessidade.

Primeiramente sugiro a leitura da excelente doc sobre regras que existe no site do snort ( http://www.snort.org/docs/snort_htmanuals/htmanual_280/node163.html ) .

Segundo usem número de 3000000 ou mais para não conflitar com regras VRT e ET .


Conclusão:


A grande verdade sbore as regras atuais são que elas se complementam, o ideal é usar máximo de regras disponíveis, logicamente habilitando somente as regras que realmente necessita, visto que muitas regras habilitadas é diferente de estar mais seguro, visto que depende do poder de processamento da sua máquina, voce pode vir a perder pacotes e esse pacotes serem ataques.

Em números as VRT rules estão com algo em torno de 10 mil regras e as regras do Emerging threats por volta de 8 mil regras .

Espero que tenha sido útil o pequeno texto e Happy Snorting !
Last Updated ( Tuesday, 25 March 2008 )
 
< Prev
[ Back ]
© 2010 Comunidade Snort Brasil
© Snort is a registered trademark of Sourcefire, Inc. All rights reserved.
Joomla! is Free Software released under the GNU/GPL License.