Snort Rules - grátis, pago ou criá-las?
-
Buenas!
O Snort parece um recurso para prevenção contra intrusos e afins.
Porém, o que entendi, é que para obter as regras/definições, tem que fazer fazer um cadastro/registro e pagar por elas, é isso?
Se for paga, existe algum site alternativo para obter regras, também, alternativas?
Tem como desenvolver/criar as próprias regras? -
O registro é gratuito. Depois de registrar-se, você tem a opção de obter um OINC Code gratuito ou pagar. As diferenças são:
-
Grátis Oinc Code: 30 dias de carência para poder fazer o download das definições. As atualizações das definições não são frequentes.
-
Pago VRT: Download imediato e atualizações diárias.
Você pode ainda optar por habilitar as Emerging Threats, também gratuita. Neste caso, o download é imediato e as atualizações
costumam ocorrer quase diariamente. -
-
Sugiro olhar no fórum internacional na parte de pacotes antes de instalar em ambiente de produção, o snort está em processo de atualização e hoje tem duas versões disponíveis para instalação.
snort - desenvolvido e mantido pelo core team, principalmente pelo ermal.
snort-dev - pacote da comunidade.Ambos estão com commits recentes e aparentemente em situação "não stable".
att,
Marcello Coutinho -
Segue a MINHA opnião
Estou usando ele como IDS junto com o Snorby para a visualização de incidentes. Se quer estar mais protegido, page, pois como disseram, a atualização é diária. Quanto a estabilidade, apesar de não considerarem stable, não estou tendo problemas. A versão do snort está igual nas duas distribuições, mas acho que a dev está caminhando mais rápido. :)
[]s
Márcio Carlos -
Segue a MINHA opnião
Estou usando ele como IDS junto com o Snorby para a visualização de incidentes. Se quer estar mais protegido, page, pois como disseram, a atualização é diária. Quanto a estabilidade, apesar de não considerarem stable, não estou tendo problemas. A versão do snort está igual nas duas distribuições, mas acho que a dev está caminhando mais rápido. :)
[]s
Márcio CarlosOk - Valeu pelas dicas!
-
Sugiro olhar no fórum internacional na parte de pacotes antes de instalar em ambiente de produção, o snort está em processo de atualização e hoje tem duas versões disponíveis para instalação.
snort - desenvolvido e mantido pelo core team, mas especificamente o ermal.
snort-dev - pacote da comunidade.Ambos estão com commits recentes e aparentemente em situação "não stable".
att,
Marcello CoutinhoQue beleza… ehehehe
Removi o snort e iniciei a instalação do snort-dev e o mesmo trava e não sai da mensagem "Loading package instructions..."
Beginning package installation for snort-dev... Downloading package configuration file... done. Saving updated package information... done. Downloading snort-dev and its dependencies... Checking for package installation... Loading package configuration... done. Configuring package components... Additional files... done. Loading package instructions...E aí fica…
Tentei dar um "Clear Package Lock";
em seguida um "reinstall package" continua na mesma...Alguém já passou por tal situação?
** edit: Reiniciei o server e verifiquei a seguinte mensagem:
... Starting package snort-dev... Parse error: syntax error, unexpected T_FUNCTION in /usr/local/pkg/snort/snort.inc on line 183 Bootup complete -
Starting package snort-dev…
Parse error: syntax error, unexpected T_FUNCTION in /usr/local/pkg/snort/snort.inc on line 183Tenta o snort padrão então, olhei o código e esta linha está chamando um código php esquisito e provavelmente não compatível com a versão do php que roda na versão 2.0.
Se eu conseguir entender o que ele quer fazer, publico a correção.
att,
Marcello Coutinho -
Starting package snort-dev…
Parse error: syntax error, unexpected T_FUNCTION in /usr/local/pkg/snort/snort.inc on line 183Tenta o snort padrão então, olhei o código e esta linha está chamando um código php esquisito e provavelmente não compatível com a versão do php que roda na versão 2.0.
Se eu conseguir entender o que ele quer fazer, publico a correção.
att,
Marcello CoutinhoOk - mantive o "snort-dev 2.9.2.3 pkg v. 3.0" e instalei o "snort 2.9.2.3 pkg v. 2.3.0" e funcionou legal.
Configurei para interface WAN (não sei se fiz certo), marquei "Install Emergingthreats rules" e fiz o "Update rules".
emerging-games.rules", a regra da WAV para de rodar, desmarcando, volta a funcionar. Depois observei que na guia "Rules" tem duas situações: um ícone com um "X" que se estiver em "Vermelho Vivo", a regra está ativada, "Vermelho Claro/fraco", a regra está desativada.
Bom, ao menos para o básico, acho que vai funcionar. -
Sugiro olhar no fórum internacional na parte de pacotes antes de instalar em ambiente de produção, o snort está em processo de atualização e hoje tem duas versões disponíveis para instalação.
Acompanhando os posts internacionais, aparentemente a versão 2.5.0 do pacote já apresenta estabilidade.
Leiam os topicos lá postados antes de atualizar.
att,
Marcello Coutinho -
Acompanhando os posts internacionais, aparentemente a versão 2.5.0 do pacote já apresenta estabilidade.
Só aparentemente Marcello, infelizmente. Além dos problemas recentes, o velho problema do Snort não reiniciar após as atualizações automáticas continua:
http://forum.pfsense.org/index.php/topic,51493.msg275851.html#msg275851E eu continuo esperando realmente estabilizar. :(
Mas numa torcida ferina para que tudo se resolva logo. ;D -
E eu continuo esperando realmente estabilizar. :(
Mas numa torcida ferina para que tudo se resolva logo. ;DEu também :)
O mantenedor do snort é um pouco "critico" a contribuições mas pelo visto nos ultimos dias virou questão de honra deixar ele funcionando.
-
O mantenedor do snort é um pouco "critico" a contribuições mas pelo visto nos ultimos dias virou questão de honra deixar ele funcionando.
Não sou programador mas entendo um pouco. Talvez o Snort seja um dos pacotes mais complexos. Realmente, deve ser uma trampeira.
