LINUX

Cómo instalar y configurar Snort en PFsense Firewall

0 921 3 minutos de lectura

Snort es un conocido IDS / IPS de código abierto que está integrado con varias distribuciones de firewall como IPfire, Endian y PfSense. En este tutorial, nuestro enfoque es la instalación, configuración de snort y reglas en el firewall PfSense. Snort necesita un cortafuegos de filtro de paquetes (pf) para proporcionar la función IPS que también está disponible en esta distribución.

Instalación

Todo el software del cortafuegos Pfsense está disponible en el submenú Paquetes. Vaya al menú Sistema y seleccione paquetes de la lista del menú desplegable.

paquetes

Haga clic en la pestaña Paquetes disponibles para diferentes categorías de software.

paquete disponible

Paquetes disponibles muestra las siguientes opciones de submenú. Snort es una herramienta de seguridad de código abierto, por lo tanto, haga clic en el menú de seguridad para enumerar los paquetes disponibles para su instalación en PfSense.

opciones de paquete disponibles

El paquete Snort está disponible en el submenú Seguridad. Ahora haga clic en el icon_plus icono para instalar snort.

icono-resoplido

La instalación de cualquier paquete nuevo en Pfsense requiere la confirmación del administrador del firewall, que se muestra a continuación.

confirmar

Después de la confirmación, la instalación de snort se muestra en la siguiente instantánea

instalación de snort 1

La instalación de Snort se muestra a continuación y también se dan más instrucciones para configuraciones adicionales.

instalación de snort completa

Las instrucciones de configuración de Snort se muestran en la figura anterior.

Configuración de Snort

Después de la información exitosa de snort en Pfsense, ahora configuraremos snort en la interfaz LAN para la detección de escaneo de puertos. Snort está disponible en el menú de servicios después de la instalación.

resoplar en el menú de servicios

La siguiente instantánea aparece después de hacer clic en el submenú snort.

servicios todo el menú

Snort se ejecuta en la interfaz LAN o WAN de Pfsense. Por lo tanto, tenemos que crear la configuración de interfaces lan y wan haciendo clic en icon_plus icono.

ajuste de interfaz de inhalación

La configuración de la interfaz LAN se muestra a continuación. Hemos comprobado las opciones de IPS como bloquear delincuentes y matar a sus estados.

configuración de interfaz de snort-lan

Interfaz agregada para LAN y actualmente snort no se está ejecutando en ella. Haga clic en el botón de cruz (X) para iniciar el servicio Snort ids en la interfaz LAN.

interfaz de snort agregada

Como se muestra en la siguiente instantánea, snort se está ejecutando en la interfaz LAN.

interfaz de snort en ejecución

La notificación de advertencia se muestra en la figura anterior. Por lo tanto, las reglas de snort deben agregarse después del paso de actualización de reglas.

La siguiente pantalla aparece después de hacer clic en el menú de configuración global para la instalación de las reglas de snort.

reglas de esnifar en un entorno global

Inicie sesión en el sitio web de snort y genere Onikcode para descargar las reglas de «Snort VRT».

oinkcode

Haga clic en Oinkcode en el lado izquierdo para obtener Oinkcode.

código oinkcode

Vaya nuevamente al menú de configuración global e ingrese Oinkcode para descargar las reglas de Snort VRT.

ingrese oinkcode en la configuración de snort

Ahora vaya al menú Actualizaciones para verificar el estado de las diferentes reglas. Haga clic en el botón Actualizar para descargar o actualizar las reglas de snort en Pfsense.

menú de actualizaciones

Haga clic en el botón Actualizar para instalar reglas en el snort. El paso de actualización de la regla se muestra en la siguiente figura. Hemos instalado snort community, VRT, reglas de amenazas emergentes.

actualiza las reglas

Antes de pasar al siguiente menú de snort, vuelva a hacer clic en la pestaña Snort interfaces y seleccione LAN para editar.

interfaz lan

Después de hacer clic en el botón editar, seleccione la opción Categorías de LAN para las reglas de snort. Seleccione las reglas deseables de esta lista completa para la interfaz LAN.

reglas de resoplido

Después de la instalación de las reglas de snort en Pfsense, la siguiente opción es el menú de alertas.

alertas

Snort con filtro de paquetes (filtro) brinda la capacidad de bloquear IP malicioso. Las IP bloqueadas se mostrarán en la siguiente instantánea.

obstruido

Es muy común en la red que el administrador garantice una lista blanca de IP. Por defecto, la LAN local suele estar en la Lista de acceso.

lista de aprobados

El menú Suprimir se muestra en la siguiente instantánea. Se utiliza para bloquear alertas de falsos positivos.

reprimirLa lista de direcciones IP maliciosas se puede cargar en Pfsense en la configuración de snort. El tráfico entrante de las direcciones IP almacenadas en la lista de reputación se considerará malicioso.

lista de ipLa configuración del ID de firmas (SID) de las reglas de snort se gestiona mediante este menú.

sid mgmt

Los ajustes relevantes para la gestión de registros se muestran en el siguiente menú.

gestión de registros

Conclusión

En este tutorial, hemos explorado Snort IDS / IPS, que es un software de seguridad de código abierto integrado con el firewall PfSense. Snort funciona perfectamente con un cortafuegos basado en filtros de paquetes (pf). La función IPS de snort bloquea las direcciones IP maliciosas o ilegales para proteger la red. Es muy estable en el cortafuegos Pfsense y se configura fácilmente mediante el interfaz gráfico.

Publicaciones relacionadas

Cómo verificar el estado de la batería de la computadora portátil desde la terminal Linux

Cómo instalar Icinga 2 e Icinga Web 2 en Debian 9

Borg – Herramienta de copia de seguridad de Linux con deduplicación, compresión y cifrado

Exodus: una herramienta para copiar binarios de Linux de forma segura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar