SNORT-Regeln

scrymate

Hallo zusammen,

ich bin seit einer Hand voll Wochen dabei mich mit der Endian-Firewall zu beschäftigen. Im Augenblick bin ich, was die SNORT-Regeln angeht, aber anscheinend auf dem Holzweg. Ich habe SNORT als solches aktiviert und es funktioniert auch prima. Ein paar simulierte Angriffe wurden sowohl geloggt, als auch geblockt. Allesdings komme ich mit dem Regel-Editor so gar nicht klar. Vielleicht kann mir das jemand von euch bitte kurz erläutern (siehe Screenshot). Ich vermisse da sowohl das editieren der Regeln, als auch das hinzufügen etc. SNORT als solches ist mir bekannt, aber ich habe es noch nicht im Kontext mit Endian in Augenschein genommen. Mein "googlen" war auch nicht sonderlich erfolgreich. Also baue ich einfach mal auf euch

Danke!!!

scrymate

Sabine

Moin,
Regel Editor ist vielleicht auch ein bisschen übertrieben . . . . du kannst hier nur ein paar Regeln deaktivieren . . . . oder Aktivieren.

Gruß Sabine

scrymate

Mhhh das habe ich bisweilen auch heraus gefunden. Danke dir aber für deinen Beitrag

Weiß einer wo die Rules im Datei-System liegen? Ich würde die mir wirklich gerne ansehen, damit ich auch konkret weiß was da passiert. Das eigentliche aktivieren/deaktivieren ohne zu Wissen was da so richtig konkret hintersteckt missfällt mir ein bisschen.

Gruß scrymate

Sabine

Die Regel liegen in /var/signatures/snort ( und in /etc/snort/rules ) schau auch mal hier:

https://www.efw-forum.de/www/forum/view…lit=snort#p7964

Gruß Sabine

scrymate

Danke schön !