Sto provando a risolvere una serie di flussi generati da pullpork da snortrules-snapshot-2990.tar.gz.
ATTENZIONE: la chiave di flusso "file.pdf" è impostata ma non mai verificata.
La riga nei file delle regole generate da pullpork legge:
alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg:"FILE-PDF pdf file sent via email"; flow:to_server,established; content:"JVBERi0x"; flowbits:set,email.pdf; flowbits:noalert; metadata:service smtp; classtype:policy-violation; sid:15361; rev:5;)
Sto cercando di risolverlo ripristinando il flusso di direzione e impostando il isset bit, ma dubito che funzioni. Non capisco cosa significa la riga precedente:
alert tcp $SMTP_SERVERS 25 -> $EXTERNAL_NET any (msg:"FILE-PDF pdf file sent via email"; flow:from_server,established; content:"JVBERi0x"; flowbits:isset,email.pdf; flowbits:noalert; metadata:service smtp; classtype:policy-violation; sid:15361; rev:5;)
Ci sono molte istanze da $EXTERNAL_NET any -> $SMTP_SERVERS 25 nel file rules che tiene traccia di vari file allegati che generano avvisi di flusso
Non ho alcun $SMTP_SERVERS nella mia rete interna specificata in snort.conf per la protezione. Devo disattivare questi avvisi
Per favore, fai chiarezza su cosa significa la prima regola e su come disattivare l'errore.