|
Título: Usar reglas propias con snort Publicado por: Fastolfe en 4 Octubre 2011, 01:44 am Buenas! Estoy intentando usar reglas definidas por mi con el snort y me da el siguiente error:
ERROR: /etc/snort/rules/myownrules.rules(1) Missing argument to TRUSTED Fatal Error, Quitting.. La regla que he definido es la siguiente: var TRUSTED [192.168.1.1, 192.168.1.16] alert tcp 192.168.1.13 any -> $TRUSTED any (msg:”Sample alert”;sid:100000) ¿Alguien sabe qué es lo que falla? Título: Re: Usar reglas propias con snort Publicado por: adastra en 10 Octubre 2011, 00:12 am Hola, has intentado definir el rango de direcciones directamente en la regla y no con la var TRUSTED?
lo digo porque creo que el problema esta en que el motor de reglas de Snort no entiende el contexto de la regla que intentas definir, no se si lo sabes, pero en una regla TODO se debe declarar en una sola linea, no pueden existir saltos de linea (que creo que es lo que tienes) por eso no encuentra el argumento TRUSTED. Para mayor información puedes ver este post: http://thehackerway.wordpress.com/2011/07/20/utilizando-rulesets-en-snort-para-deteccion-de-amenazas-y-generacion-de-alarmas-parte-i Un Saludo. Título: Re: Usar reglas propias con snort Publicado por: Fastolfe en 10 Octubre 2011, 22:44 pm No, no hay saltos de línea, el error (lo descubrí tras un laaaargo rato probando cambios) era que no había que dejar espacios entre las IPs: [192.168.1.1,192.168.1.2]
De todas formas muchas gracias por la ayuda! =) |