Sbuffi su pfsense

Sbuffi su pfsense
Questo tutorial spiega come aggiungere gli ID snort (sistema di rilevamento delle intrusioni) a pfsense.

Questo articolo copre le seguenti materie:

  • Ottenere una chiave senza snort per aggiornamenti automatici
  • Installazione di Snort su Pfsense
  • Configurazione dello sbuffo su PfSense

Dopo aver letto questo documento, otterrai l'installazione di Snort su PFSense per iniziare a proteggere la tua rete, aumentando considerevolmente il livello di sicurezza che Pfsense offre per impostazione predefinita.

Tutti i passaggi descritti in questo tutorial snort/pfsense includono schermate, rendendo facile per qualsiasi utente seguirli.

Ottenere la chiave senza snort per gli aggiornamenti automatici:

Prima di aggiungere Snort a Pfsense, otteniamo una chiave gratuita per abilitare gli aggiornamenti automatici mantenendo la tua rete al sicuro, quindi non dovrai aggiornare manualmente Snort.

Per ottenere la chiave gratuita, accedi a questo link https: // www.sbuffo.org/utenti/fir Iscrizione pulsante.

Riceverai una email di conferma; premi il Conferma il mio account collegamento come mostrato di seguito.

Dopo aver premuto il collegamento di conferma, verrai reindirizzato alla pagina di accesso. Compila il tuo indirizzo e -mail e password e premere il Registrazione pulsante.

Una volta effettuato l'accesso, nel menu a sinistra, premere Oinkcode e copiare il codice mostrato nello screenshot seguente; Salva questo codice da utilizzare in seguito.

Installazione di Snort su Pfsense:

Per iniziare a installare Snort su PFSense, accedi all'interfaccia Web PFSense e al menu in alto, premere Sistema, Quindi premere Gestore dei pacchetti, Come mostrato nella seguente immagine.

Una volta sulla pagina del gestore dei pacchetti, premere il Pacchetti disponibili collegamento come mostrato di seguito.

Una volta nella schermata dei pacchetti disponibili, nel Termine di ricerca tipo di campo "Sbuffo"E premere il Ricerca pulsante; Quando viene visualizzato il pacchetto Snort, premere il +Installare pulsante.

Ti verrà richiesto di confermare l'installazione; premi il Confermare pulsante come mostrato di seguito.

Il processo di installazione può richiedere alcuni minuti, come mostrato di seguito.

Al termine dell'installazione, vedrai un messaggio di successo, come mostrato nell'immagine seguente.

Ora che Snort è correttamente installato su Pfsense vediamo come configurarlo nelle sezioni seguenti.

Configurazione dell'interfaccia Snort in PFSense:

Premere il pulsante Servizio nel menu in alto PfSense; vedrai il Sbuffo l'opzione è stata aggiunta; premere.

Ecco come sembra la schermata principale sbuffi; Per impostazione predefinita, apre la prima scheda denominata Interfacce di snort. In questa schermata, premere il +Aggiungere pulsante.

Per impostazione predefinita, l'interfaccia di rete è abilitata; In caso contrario, assicurati che sia abilitato e seleziona quello corretto. Nel mio caso specifico, l'interfaccia è WAN. Tutte le politiche che definiremo di seguito si applicheranno a questa interfaccia.

Nel mio caso, ho abilitato i registri per gli avvisi, un'opzione che per impostazione predefinita è disabilitata. Ti consiglio di abilitarlo in modo da poter seguire il comportamento di snort.

Se una connessione o un traffico sembra sospettoso e innesca un avviso, qui, puoi scegliere di bloccarlo con la regola dei trasgressori a blocchi automaticamente. Per impostazione predefinita, questa opzione non è selezionata. Tieni presente che a volte un falso positivo può innescare un avviso.

Dopo lo screenshot di seguito, puoi vedere le opzioni aggiuntive se si abilita il Blocca gli autori di reati opzione.

Vedrai le tre opzioni aggiuntive mostrate di seguito se si abilita l'opzione degli autori di reati di blocco.

IL Modalità IPS consente due modalità:

  • Modalità legacy: Per spiegarlo facilmente, questa modalità crea un clone del pacchetto da analizzare mentre consente al pacchetto originale di passare attraverso Pfsense. Secondo le regole, i pacchetti futuri saranno bloccati se il pacchetto è dannoso.
  • Modalità inline: In questa modalità, il pacchetto viene mantenuto fino alla fine dell'analisi. Questa modalità non funziona con tutte le schede di rete.

Kill States: Se selezionato, quando una connessione stabilita viene bloccata da Snort o Firewall, la connessione viene terminata.

Quale IP da bloccare: Questa opzione consente di bloccare l'indirizzo di origine, l'indirizzo di destinazione o entrambi.

Prestazioni di rilevamento Impostazioni hanno le seguenti opzioni descritte di seguito:

  • Metodo di ricerca: L'opzione predefinita (AC-BNFA) E Battitori sono buone opzioni per dispositivi a bassa risorsa. IL AC l'opzione è buona per i computer con buone prestazioni e Ac-std è buono per i dispositivi con hardware moderato.
  • Ricerca: Questa opzione è consigliata per i metodi di ricerca AC, AC o AC-BNFA da quando combinata, può migliorare le prestazioni.
  • Inserti in streaming: Ottimizzare: se selezionati, i pacchetti inseriti in streaming non verranno valutati.
  • Controllo checksum disabilitato: Ciò disabilita il controllo del checksum, anche se il firewall lo fa già; Pertanto, questa opzione è quasi irrilevante.

La sezione successiva consente di definire reti domestiche e esterne. Puoi lasciarlo come predefinito poiché non hai ancora aggiunto dispositivi.

Finalmente, premere il Salva pulsante per applicare le modifiche.

Dopo aver salvato le modifiche, il menu in alto interfacce sarà simile a quello mostrato nell'immagine seguente.

Configurazione delle impostazioni di Snort Global in PFSense:

Ora configuriamo Snort Impostazioni globali e premere le impostazioni globali nel menu in alto.

Spuntare il Abilita Snort VRT opzione e incollare il Oinkcode (La chiave di snort gratuita) che hai ottenuto nella prima sezione di questo tutorial. Se non fai questo passaggio, dovrai aggiornare manualmente Snort, il che non è consigliato.

Inoltre, ticchetta Abilita Snort GPLV2 E Abilita ET Open opzioni.

Selezionare un Intervallo di aggiornamento; Nel mio caso, ho selezionato 1 giorno, ma puoi scegliere qualsiasi altra opzione che desideri.

Se il tuo pfsense ha una SSL autofirmata come nel mio caso, spunta il Disabilita il peer SSL Opzione di verifica.

In Impostazioni generali Definire un intervallo per rimuovere gli host bloccati, mantenere altre opzioni come predefinita e premere il Salva pulsante.

Ora le tue impostazioni di Snort Global sono pronte.

Aggiornare manualmente le regole di snort:

Per aggiornare manualmente Snort, premere gli aggiornamenti e premere il pulsante delle regole degli aggiornamenti nel menu in alto.

Questo processo durerà alcuni minuti, sarà paziente.

Dopo aver terminato, le tue regole di snort verranno aggiornate.

Download o rimozione dei registri di avviso Snort:

Per scaricare o rimuovere i registri di avviso, premere la scheda Avvisi e premere il Scaricamento pulsante o il Chiaro pulsante per rimuovere gli avvisi. La rimozione dei registri dopo il download è una buona decisione per impedire ai registri di assumere lo spazio del disco.

Riepilogo:

Ora il tuo snort è configurato su pfsense. È possibile ottenere informazioni su host bloccati in Bloccato tab e ospiti whitelist sono disponibili in Liste di passaggio scheda. IL Sopprimere La scheda consente di vedere gli avvisi soppressi. Puoi gestire la reputazione IP da Elenchi IP scheda. È possibile automatizzare la gestione delle regole e gestire i registri dalla scheda log mgmt dal SID MGMT.

Conclusione:

L'aggiunta di Snort su Pfsense è un ottimo modo per aumentare la sicurezza della rete. Includere un ID nella tua rete completerà la configurazione del firewall analizzando il traffico e decidendo la configurazione per definire. Pfsense stesso è eccellente per gestire le reti domestiche e commerciali. La comunità supporta ampiamente sia pfsense che snort. Hanno un supporto commerciale opzionale, semplificando per tutti gli utenti utilizzarli e una grande sicurezza e gestione della rete per le aziende. Sia Snort che Pfsense hanno versioni gratuite e sono soluzioni open source.

Grazie per aver letto questo articolo Snort e Pfsense. Spero che sia stato utile per te. Continua a leggere il nostro blog per tutorial più professionali.