Snort en Pfsense

Pilar Alemán
Snort en Pfsense
Este tutorial explica cómo agregar los ID de Snort (sistema de detección de intrusos) a PFSense.

Este artículo cubre los siguientes temas:

  • Obtener una clave gratuita para actualizaciones automáticas
  • Instalación de Snort en PFSense
  • Configuración de Snort en PFSense

Después de leer este documento, obtendrá su instalación de Snort en PFSense para comenzar a proteger su red, aumentando considerablemente el nivel de seguridad que PFSense trae por defecto.

Todos los pasos descritos en este tutorial Snort/PFSense incluyen capturas de pantalla, lo que facilita que cualquier usuario los siga.

Obtener su clave gratuita para actualizaciones automáticas:

Antes de agregar Snort a PFSense, obtengamos una clave gratuita para habilitar las actualizaciones automáticas que mantienen su red segura, para que no necesite actualizar Snort manualmente.

Para obtener la clave gratuita, acceda a este enlace https: // www.bufido.org/ussers/firm_up y complete los campos con su dirección de correo electrónico y contraseña, acuerde los términos de la condición, complete la recaptcha y presione el Inscribirse botón.

Usted recibirá un email de confirmación; presione el Confirmar mi cuenta Enlace como se muestra a continuación.

Después de presionar el enlace de confirmación, será redirigido a la página de inicio de sesión. Complete su dirección de correo electrónico y contraseña y presione el Iniciar sesión botón.

Una vez iniciado sesión, en el menú izquierdo, presione Oinkcode y copie el código que se muestra en la captura de pantalla a continuación; Guarde este código para usar más tarde.

Instalación de Snort en PFSense:

Para comenzar a instalar Snort en PFSense, inicie sesión en su interfaz web PFSense y en el menú superior, presione Sistema, entonces presione Gerente de empaquetación, Como se muestra en la siguiente imagen.

Una vez en la página del Administrador de paquetes, presione el Paquetes disponibles Enlace como se muestra a continuación.

Una vez en la pantalla de paquetes disponibles, en el Término de búsqueda Tipo de campo "Bufido"Y presione el Buscar botón; Cuando aparezca el paquete Snort, presione el +Instalar botón.

Deberá confirmar la instalación; presione el Confirmar botón como se muestra a continuación.

El proceso de instalación puede tomar unos minutos, como se muestra a continuación.

Una vez realizada la instalación, verá un mensaje de éxito, como se muestra en la imagen a continuación.

Ahora que Snort se instala correctamente en PFSense, veamos cómo configurarlo en las siguientes secciones.

Configuración de la interfaz Snort en PFSense:

Presione el botón Servicios en el menú superior PFSense; Verás el Bufido se agregó la opción; presionalo.

Así es como parece la pantalla principal de Snort; Por defecto, abre la primera pestaña nombrada Interfaces de bufón. En esta pantalla, presione el +Agregar botón.

Por defecto, la interfaz de red está habilitada; Si no, asegúrese de que esté habilitado y seleccione el. En mi caso específico, la interfaz es WAN. Todas las políticas que definiremos a continuación se aplicarán a esta interfaz.

En mi caso, habilité registros para alertas, una opción que de forma predeterminada está deshabilitada. Le recomiendo que lo habilite para que pueda seguir el comportamiento de Snort.

Si una conexión o tráfico parece sospechoso e desencadena una alerta, aquí puede elegir bloquearlo con la regla de los delincuentes de bloque automáticamente. Por defecto, esta opción no está seleccionada. Tenga en cuenta que a veces, un falso positivo puede desencadenar una alerta.

Después de la captura de pantalla a continuación, puede ver las opciones adicionales si habilita el Delincuentes de bloque opción.

Verá las tres opciones adicionales que se muestran a continuación si habilita la opción de delincuentes de bloque.

El Modo IPS permite dos modos:

  • Modo heredado: Para explicarlo fácilmente, este modo crea un clon del paquete que se analizará mientras permite que el paquete original pase por PfSense. De acuerdo con las reglas, los paquetes futuros se bloquearán si el paquete es malicioso.
  • Modo en línea: En este modo, el paquete se conserva hasta que finaliza el análisis. Este modo no funciona con todas las tarjetas de red.

Matar estados: Si se selecciona, cuando una conexión establecida está bloqueada por Snort o el firewall, entonces la conexión se termina.

Qué IP bloquear: Esta opción le permite bloquear la dirección de origen, la dirección de destino o ambos.

Rendimiento de detección La configuración tiene las siguientes opciones que se describen a continuación:

  • Método de búsqueda: La opción predeterminada (AC-BNFA) y Bajos son buenas opciones para dispositivos de bajos recursos. El C.A La opción es buena para las computadoras con buen rendimiento y AC-STD es bueno para dispositivos con hardware moderado.
  • Buscar: Esta opción se recomienda para los métodos de búsqueda AC, AC-Split o AC-BNFA Dado que se combina, puede mejorar el rendimiento.
  • Insertos de transmisión: Optimizar: si se selecciona, no se evaluarán los paquetes de flujo insertados.
  • Checksum check desactivado: Esto deshabilita la verificación de la suma de verificación, a pesar de que el firewall ya lo hace; Por lo tanto, esta opción es casi irrelevante.

La siguiente sección le permite definir redes domésticas y externas. Puede dejarlo como predeterminado ya que aún no ha agregado dispositivos.

Finalmente, presione el Ahorrar botón para aplicar sus cambios.

Después de guardar sus cambios, el menú superior de las interfaces será similar al que se muestra en la imagen a continuación.

Configuración de la configuración global de SNORT en PFSense:

Ahora configuremos Snort Ajustes globales y presione la configuración global en el menú superior.

Marque la Habilitar Snort VRT opción y pegar el Oinkcode (La clave de innato gratuito) Entiste en la primera sección de este tutorial. Si no hace ese paso, deberá actualizar Snort manualmente, lo cual no se recomienda.

Además, tic Habilitar Snort GPLV2 y Habilitar et abierto opción.

Seleccione un Intervalo de actualización; En mi caso, seleccioné 1 día, pero puedes elegir cualquier otra opción que quieras.

Si su pfsense tiene un SSL autofirmado como en mi caso, marque el Deshabilitar el par Opción de verificación.

En Configuración general Definir un intervalo para eliminar hosts bloqueados, mantener otras opciones como predeterminadas y presione el Ahorrar botón.

Ahora su configuración global de Snort está lista.

Actualización manual de las reglas de Snort:

Para actualizar manualmente, presione las actualizaciones y presione el botón Reglas de actualizaciones en el menú superior.

Este proceso durará algunos minutos, sea paciente.

Después de terminar, sus reglas de bisoteo se actualizarán.

Descargar o eliminar registros de alerta de Snort:

Para descargar o eliminar registros de alerta, presione la pestaña Alertas y presione la Descargar botón o el Claro botón para eliminar las alertas. Eliminar registros después de la descarga es una buena decisión para evitar que los registros se hagan cargo de su espacio en disco.

Resumen:

Ahora su bisoteo está configurado en pfsense. Puede obtener información sobre hosts bloqueados en el Obstruido pestaña y hosts con la lista blanca se pueden encontrar en el Aprobar listas pestaña. El Reprimir La pestaña le permite ver alertas suprimidas. Puede administrar la reputación de IP del Listas de IP pestaña. Puede automatizar la gestión de las reglas y administrar registros desde la pestaña Log MGMT desde el SID MGMT.

Conclusión:

Agregar Snort en PFSense es una excelente manera de aumentar la seguridad de su red. La inclusión de un IDS en su red complementará la configuración de su firewall analizando el tráfico y decidiendo la configuración para definir. PfSense en sí es excelente para administrar redes comerciales y domésticas. La comunidad apoya ampliamente a PfSense y Snort. Tienen un soporte comercial opcional, lo que facilita a todos los usuarios usarlos y una gran seguridad y gestión de redes para las empresas. Tanto Snort como PFSense tienen versiones gratuitas y son soluciones de código abierto.

Gracias por leer este artículo Snort y Pfsense. Espero que haya sido útil para ti. Sigue leyendo nuestro blog para obtener más tutoriales profesionales.

php
Cómo verificar si una matriz está vacía en PHP?
Encontrar una matriz vacía en PHP es crucial para garantizar la ejecución de código suave y sin erro...
Lorenzo Canales
C ++
Cómo encontrar el tamaño de una cadena en c++?
Para encontrar el tamaño de una cadena en C ++, puede usar funciones o bucles de tamaño (), longitud...
Lorenzo Morales
golang
¿Qué son los paquetes en Golang??
Un paquete es una técnica de agrupación del código en los trozos reutilizables y manejables. Siga es...
Carolina Guzmán
Pitón
Método estático de Python Call dentro de la clase
Pilar Melgar
Pitón
Eliminar caracteres especiales de String Python
Mayte Mesa
Pitón
Parcela de bar horizontal marina
Lorenzo Morales
Estibador
¿Cuál es la diferencia entre Docker y Podman??
Mariana Cotto
golang
¿Qué son las estructuras en Golang?
Homero Ontiveros
golang
Cómo convertir la cadena al tipo entero en Golang?
Beatriz Enríquez
Oracle Linux
Cómo instalar Oracle SQL Developer en Windows?
Hernán Delao
Estibador
Cómo iniciar sesión en Docker a través del símbolo del sistema?
Andrés Barrientos
Mysql mariadb
Cómo encontrar un personaje específico en MySQL?
Pilar Alemán
golang
Cómo recortar una cadena en Golang
Jacobo Piña