Básicamente configuré mi Snort y funciona bien con las reglas de la comunidad. Las alertas llegan perfectamente cuando se realiza una exploración NMAP y otras pruebas.
El problema es que después de instalar la versión registrada de las reglas usando oinkmaster, no recibo ninguna alerta. Agregué las reglas con su ruta en el archivo snort.conf.
El estado parece estar bien:
● snort.service - LSB: snort
Loaded: loaded (/etc/init.d/snort)
Active: active (running) since Mon 2016-08-29 15:34:37 EDT; 2min 41s ago
Process: 6846 ExecStop=/etc/init.d/snort stop (code=exited, status=0/SUCCESS)
Process: 6893 ExecStart=/etc/init.d/snort start (code=exited, status=0/SUCCESS)
CGroup: /system.slice/snort.service
└─6913 snort -i eth1 -c /etc/snort/snort.conf -s -D
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_POP Version 1.0 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Commencing packet processing (pid=6913)
No he modificado nada, excepto agregar las reglas usando oinkmaster. Si retrocedo, funciona bien con las reglas de la comunidad.
¿Alguien tiene alguna idea? Lo siento por ser tan inespecífico, pero estoy un poco perdido aquí.