SNORT - Le tutorial facile - Les règles bleedingsnort

Snort Bleeding
Dern. mise à jour: 17-02-2010

Outil
Installation
Ergonomie
Forum

Détails Snort, c'est quoi?
Captures d'écran
Prérequis
Snort
BASE
Mise à jour Snort
Règles Bleedingsnort
Port Mirroring

LES RÈGLES BLEEDINGSNORT

Il est possible d'utiliser un autre set de règles proposé par une communauté libre et dynamique:
http://www.bleedingsnort.com
La différence par rapport aux règles snort fournit par la société Sourcefire est que avec les règles bleedingsnort, les règles sont disponibles gratuitement immédiatement après leur création.

Une autre bonne nouvelle est que vous pouvez utiliser le script perl oinkmaster pour télécharger et mettre à jour les règles bleedingsnort.

Ouvrez le fichier /etc/oinkmaster.conf et ajouter la ligne suivante pour mettre à jour les règles:

url = http://www.bleedingsnort.com/bleeding.rules.tar.gz
Nous devons ensuite ajouter les lignes suivantes dans le fichier /etc/snort/snort.conf

include $RULE_PATH/bleeding.rules
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-drop.rules
include $RULE_PATH/bleeding-dshield.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules

Elles indiquent quelles règles seront utilisées. Si vous ajouter un "#" au début d'une ligne, la règle correspondante ne sera pas pris en compte. Le démarrage du script oinkmaster va télécharger les règles bleedingsnort et vous dire si il y a un problème:

#su oinkmaster
#oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1