Trabajando con la última versión de Snort, la 2.9.2, disponible en Ubuntu server 12.04 LTS (#precise) nos encontramos al actualizar las reglas el mensaje de error que hace título a este post: "PortVar Lookup failed on '$FILE_DATA_PORTS'". Si vemos en qué fichero es requerida esa variable, vemos que es en el fichero de reglas web-client.rules.
Concretamente en la siguiente alerta,
Concretamente en la siguiente alerta,
alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (msg:"WEB-CLIENT RealNetworks RealPlayer SWF frame handling buffer overflow attempt"; flow:to_client,established; file_data; content:"|78 00 05 5F 00 00 0F A0 00 00 0C 01 00 43 02 FF FF FF BF 00 39|"; fast_pattern:only; metadata:policy balanced-ips drop, policy security-ips drop, service http, service imap, service pop3; reference:bugtraq,30370; reference:cve,2007-5400; classtype:attempted-user; sid:17633; rev:6;)
Concretamente esta variable hace referencia a los puertos en los que se puede inspeccionar ficheros. Para solucionar el fallo, simplemente tenemos que abrir el fichero de configuración de Snort, típicamente /etc/snort/snort.conf, y agregar la siguiente línea:
# List of file data ports for file inspection portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]Con esto podrás volver a arrancar Snort tranquilamente que ya será 100% funcional.
Más info: blog.snort.org
La entrada PortVar Lookup failed on '$FILE_DATA_PORTS' la puedes leer en Puppet Linux.