Este artículo cubre los siguientes temas:
Después de leer este documento, obtendrá su instalación de Snort en PFSense para comenzar a proteger su red, aumentando considerablemente el nivel de seguridad que PFSense trae por defecto.
Todos los pasos descritos en este tutorial Snort/PFSense incluyen capturas de pantalla, lo que facilita que cualquier usuario los siga.
Obtener su clave gratuita para actualizaciones automáticas:
Antes de agregar Snort a PFSense, obtengamos una clave gratuita para habilitar las actualizaciones automáticas que mantienen su red segura, para que no necesite actualizar Snort manualmente.
Para obtener la clave gratuita, acceda a este enlace https: // www.bufido.org/ussers/firm_up y complete los campos con su dirección de correo electrónico y contraseña, acuerde los términos de la condición, complete la recaptcha y presione el Inscribirse botón.
Usted recibirá un email de confirmación; presione el Confirmar mi cuenta Enlace como se muestra a continuación.
Después de presionar el enlace de confirmación, será redirigido a la página de inicio de sesión. Complete su dirección de correo electrónico y contraseña y presione el Iniciar sesión botón.
Una vez iniciado sesión, en el menú izquierdo, presione Oinkcode y copie el código que se muestra en la captura de pantalla a continuación; Guarde este código para usar más tarde.
Instalación de Snort en PFSense:
Para comenzar a instalar Snort en PFSense, inicie sesión en su interfaz web PFSense y en el menú superior, presione Sistema, entonces presione Gerente de empaquetación, Como se muestra en la siguiente imagen.
Una vez en la página del Administrador de paquetes, presione el Paquetes disponibles Enlace como se muestra a continuación.
Una vez en la pantalla de paquetes disponibles, en el Término de búsqueda Tipo de campo "Bufido"Y presione el Buscar botón; Cuando aparezca el paquete Snort, presione el +Instalar botón.
Deberá confirmar la instalación; presione el Confirmar botón como se muestra a continuación.
El proceso de instalación puede tomar unos minutos, como se muestra a continuación.
Una vez realizada la instalación, verá un mensaje de éxito, como se muestra en la imagen a continuación.
Ahora que Snort se instala correctamente en PFSense, veamos cómo configurarlo en las siguientes secciones.
Configuración de la interfaz Snort en PFSense:
Presione el botón Servicios en el menú superior PFSense; Verás el Bufido se agregó la opción; presionalo.
Así es como parece la pantalla principal de Snort; Por defecto, abre la primera pestaña nombrada Interfaces de bufón. En esta pantalla, presione el +Agregar botón.
Por defecto, la interfaz de red está habilitada; Si no, asegúrese de que esté habilitado y seleccione el. En mi caso específico, la interfaz es WAN. Todas las políticas que definiremos a continuación se aplicarán a esta interfaz.
En mi caso, habilité registros para alertas, una opción que de forma predeterminada está deshabilitada. Le recomiendo que lo habilite para que pueda seguir el comportamiento de Snort.
Si una conexión o tráfico parece sospechoso e desencadena una alerta, aquí puede elegir bloquearlo con la regla de los delincuentes de bloque automáticamente. Por defecto, esta opción no está seleccionada. Tenga en cuenta que a veces, un falso positivo puede desencadenar una alerta.
Después de la captura de pantalla a continuación, puede ver las opciones adicionales si habilita el Delincuentes de bloque opción.
Verá las tres opciones adicionales que se muestran a continuación si habilita la opción de delincuentes de bloque.
El Modo IPS permite dos modos:
Matar estados: Si se selecciona, cuando una conexión establecida está bloqueada por Snort o el firewall, entonces la conexión se termina.
Qué IP bloquear: Esta opción le permite bloquear la dirección de origen, la dirección de destino o ambos.
Rendimiento de detección La configuración tiene las siguientes opciones que se describen a continuación:
La siguiente sección le permite definir redes domésticas y externas. Puede dejarlo como predeterminado ya que aún no ha agregado dispositivos.
Finalmente, presione el Ahorrar botón para aplicar sus cambios.
Después de guardar sus cambios, el menú superior de las interfaces será similar al que se muestra en la imagen a continuación.
Configuración de la configuración global de SNORT en PFSense:
Ahora configuremos Snort Ajustes globales y presione la configuración global en el menú superior.
Marque la Habilitar Snort VRT opción y pegar el Oinkcode (La clave de innato gratuito) Entiste en la primera sección de este tutorial. Si no hace ese paso, deberá actualizar Snort manualmente, lo cual no se recomienda.
Además, tic Habilitar Snort GPLV2 y Habilitar et abierto opción.
Seleccione un Intervalo de actualización; En mi caso, seleccioné 1 día, pero puedes elegir cualquier otra opción que quieras.
Si su pfsense tiene un SSL autofirmado como en mi caso, marque el Deshabilitar el par Opción de verificación.
En Configuración general Definir un intervalo para eliminar hosts bloqueados, mantener otras opciones como predeterminadas y presione el Ahorrar botón.
Ahora su configuración global de Snort está lista.
Actualización manual de las reglas de Snort:
Para actualizar manualmente, presione las actualizaciones y presione el botón Reglas de actualizaciones en el menú superior.
Este proceso durará algunos minutos, sea paciente.
Después de terminar, sus reglas de bisoteo se actualizarán.
Descargar o eliminar registros de alerta de Snort:
Para descargar o eliminar registros de alerta, presione la pestaña Alertas y presione la Descargar botón o el Claro botón para eliminar las alertas. Eliminar registros después de la descarga es una buena decisión para evitar que los registros se hagan cargo de su espacio en disco.
Resumen:
Ahora su bisoteo está configurado en pfsense. Puede obtener información sobre hosts bloqueados en el Obstruido pestaña y hosts con la lista blanca se pueden encontrar en el Aprobar listas pestaña. El Reprimir La pestaña le permite ver alertas suprimidas. Puede administrar la reputación de IP del Listas de IP pestaña. Puede automatizar la gestión de las reglas y administrar registros desde la pestaña Log MGMT desde el SID MGMT.
Conclusión:
Agregar Snort en PFSense es una excelente manera de aumentar la seguridad de su red. La inclusión de un IDS en su red complementará la configuración de su firewall analizando el tráfico y decidiendo la configuración para definir. PfSense en sí es excelente para administrar redes comerciales y domésticas. La comunidad apoya ampliamente a PfSense y Snort. Tienen un soporte comercial opcional, lo que facilita a todos los usuarios usarlos y una gran seguridad y gestión de redes para las empresas. Tanto Snort como PFSense tienen versiones gratuitas y son soluciones de código abierto.
Gracias por leer este artículo Snort y Pfsense. Espero que haya sido útil para ti. Sigue leyendo nuestro blog para obtener más tutoriales profesionales.