Snort Rules - grátis, pago ou criá-las?



  • Buenas!

    O Snort parece um recurso para prevenção contra intrusos e afins.
    Porém, o que entendi, é que para obter as regras/definições, tem que fazer fazer um cadastro/registro e pagar por elas, é isso?
    Se for paga, existe algum site alternativo para obter regras, também, alternativas?
    Tem como desenvolver/criar as próprias regras?



  • O registro é gratuito. Depois de registrar-se, você tem a opção de obter um OINC Code gratuito ou pagar. As diferenças são:

    • Grátis Oinc Code: 30 dias de carência para poder fazer o download das definições. As atualizações das definições não são frequentes.

    • Pago VRT: Download imediato e atualizações diárias.

    Você pode ainda optar por habilitar as Emerging Threats, também gratuita. Neste caso, o download é imediato e as atualizações
    costumam ocorrer quase diariamente.



  • Sugiro olhar no fórum internacional na parte de pacotes antes de instalar em ambiente de produção, o snort está em processo de atualização e hoje tem duas versões disponíveis para instalação.

    snort - desenvolvido e mantido pelo core team, principalmente pelo ermal.
    snort-dev - pacote da comunidade.

    Ambos estão com commits recentes e aparentemente em situação "não stable".

    att,
    Marcello Coutinho



  • Segue a MINHA opnião

    Estou usando ele como IDS junto com o Snorby para a visualização de incidentes. Se quer estar mais protegido, page, pois como disseram, a atualização é diária. Quanto a estabilidade, apesar de não considerarem stable, não estou tendo problemas. A versão  do snort está igual nas duas distribuições, mas acho que a dev está caminhando mais rápido. :)

    []s
    Márcio Carlos



  • @djgel:

    Segue a MINHA opnião

    Estou usando ele como IDS junto com o Snorby para a visualização de incidentes. Se quer estar mais protegido, page, pois como disseram, a atualização é diária. Quanto a estabilidade, apesar de não considerarem stable, não estou tendo problemas. A versão  do snort está igual nas duas distribuições, mas acho que a dev está caminhando mais rápido. :)

    []s
    Márcio Carlos

    Ok - Valeu pelas dicas!



  • @marcelloc:

    Sugiro olhar no fórum internacional na parte de pacotes antes de instalar em ambiente de produção, o snort está em processo de atualização e hoje tem duas versões disponíveis para instalação.

    snort - desenvolvido e mantido pelo core team, mas especificamente o ermal.
    snort-dev - pacote da comunidade.

    Ambos estão com commits recentes e aparentemente em situação "não stable".

    att,
    Marcello Coutinho

    Que beleza… ehehehe

    Removi o snort e iniciei a instalação do snort-dev e o mesmo trava e não sai da mensagem "Loading package instructions..."

    Beginning package installation for snort-dev...
    Downloading package configuration file... done.
    Saving updated package information... done.
    Downloading snort-dev and its dependencies... 
    Checking for package installation... Loading package configuration... done.
    Configuring package components...
    Additional files... done.
    Loading package instructions...
    

    E aí fica…

    Tentei dar um "Clear Package Lock";
    em seguida um "reinstall package" continua na mesma...

    Alguém já passou por tal situação?

    ** edit: Reiniciei o server e verifiquei a seguinte mensagem:

    
    ...
    Starting package snort-dev...
    Parse error: syntax error, unexpected T_FUNCTION in /usr/local/pkg/snort/snort.inc on line 183
    Bootup complete
    
    


  • @elvio.tche:

    Starting package snort-dev…
    Parse error: syntax error, unexpected T_FUNCTION in /usr/local/pkg/snort/snort.inc on line 183

    Tenta o snort padrão então, olhei o código e esta linha está chamando um código php esquisito e provavelmente não compatível com a versão do php que roda na versão 2.0.

    Se eu conseguir entender o que ele quer fazer, publico a correção.

    att,
    Marcello Coutinho



  • @marcelloc:

    @elvio.tche:

    Starting package snort-dev…
    Parse error: syntax error, unexpected T_FUNCTION in /usr/local/pkg/snort/snort.inc on line 183

    Tenta o snort padrão então, olhei o código e esta linha está chamando um código php esquisito e provavelmente não compatível com a versão do php que roda na versão 2.0.

    Se eu conseguir entender o que ele quer fazer, publico a correção.

    att,
    Marcello Coutinho

    Ok - mantive o "snort-dev 2.9.2.3 pkg v. 3.0" e instalei o "snort 2.9.2.3 pkg v. 2.3.0" e funcionou legal.
    Configurei para interface WAN (não sei se fiz certo), marquei "Install Emergingthreats rules" e fiz o "Update rules".


    Bom, ao menos para o básico, acho que vai funcionar.



  • @marcelloc:

    Sugiro olhar no fórum internacional na parte de pacotes antes de instalar em ambiente de produção, o snort está em processo de atualização e hoje tem duas versões disponíveis para instalação.

    Acompanhando os posts internacionais, aparentemente a versão 2.5.0 do pacote já apresenta estabilidade.

    Leiam os topicos lá postados antes de atualizar.

    att,
    Marcello Coutinho



  • @marcelloc:

    Acompanhando os posts internacionais, aparentemente a versão 2.5.0 do pacote já apresenta estabilidade.

    Só aparentemente Marcello, infelizmente. Além dos problemas recentes, o velho problema do Snort não reiniciar após as atualizações automáticas continua:
    http://forum.pfsense.org/index.php/topic,51493.msg275851.html#msg275851

    E eu continuo esperando realmente estabilizar. :(
    Mas numa torcida ferina para que tudo se resolva logo.  ;D



  • @johnnybe:

    E eu continuo esperando realmente estabilizar. :(
    Mas numa torcida ferina para que tudo se resolva logo.  ;D

    Eu também  :)

    O mantenedor do snort é um pouco "critico" a contribuições mas pelo visto nos ultimos dias virou questão de honra deixar ele funcionando.



  • @marcelloc:

    O mantenedor do snort é um pouco "critico" a contribuições mas pelo visto nos ultimos dias virou questão de honra deixar ele funcionando.

    Não sou programador mas entendo um pouco. Talvez o Snort seja um dos pacotes mais complexos. Realmente, deve ser uma trampeira.


Log in to reply