Estoy tratando de solucionar problemas con un grupo de bits de flujo generados por pullpork desde snortrules-snapshot-2990.tar.gz.
ADVERTENCIA: la clave de flujo de bits 'archivo.pdf' está establecida pero nunca se verifica.
La línea en los archivos de reglas generados por pullpork dice:
alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg:"FILE-PDF pdf file sent via email"; flow:to_server,established; content:"JVBERi0x"; flowbits:set,email.pdf; flowbits:noalert; metadata:service smtp; classtype:policy-violation; sid:15361; rev:5;)
Estoy tratando de arreglarlo al revertir el flujo de dirección y configurar el bit isset , pero dudo que funcione. No entiendo lo que significa la línea anterior:
alert tcp $SMTP_SERVERS 25 -> $EXTERNAL_NET any (msg:"FILE-PDF pdf file sent via email"; flow:from_server,established; content:"JVBERi0x"; flowbits:isset,email.pdf; flowbits:noalert; metadata:service smtp; classtype:policy-violation; sid:15361; rev:5;)
Hay muchas instancias de $EXTERNAL_NET any -> $SMTP_SERVERS 25 en el archivo de reglas que rastrea varios archivos adjuntos que generan advertencias de bits de flujo
No tengo $SMTP_SERVERS en mi red interna especificada en snort.conf para protección. ¿Debo desactivar estas advertencias?
Por favor, explique qué significa la primera regla y cómo desactivar el error.