Snort sur PfSense

Célia Girard
Snort sur PfSense
Ce tutoriel explique comment ajouter les ID de snort (système de détection d'intrusion) à PfSense.

Cet article couvre les sujets suivants:

  • Obtenir une clé gratuite SNORT pour les mises à jour automatiques
  • Installation de SNORT sur PfSense
  • Configuration de SNORT sur PfSense

Après avoir lu ce document, vous obtiendrez votre installation de snort sur PfSense pour commencer à protéger votre réseau, augmentant considérablement le niveau de sécurité que PfSense apporte par défaut.

Toutes les étapes décrites dans ce didacticiel Snort / PfSense incluent des captures d'écran, ce qui permet à tout utilisateur de les suivre facilement.

Obtenir votre clé gratuite SNORT pour les mises à jour automatiques:

Avant d'ajouter SNORT à PfSense, obtenons une clé gratuite pour permettre aux mises à jour automatiques de garder votre réseau en sécurité, vous n'aurez donc pas à mettre à jour SNORT manuellement.

Pour obtenir la clé gratuite, accédez à ce lien https: // www.renifler.org / utilisateurs / sig_up et remplissez les champs avec votre adresse e-mail et votre mot de passe, convenir des termes de l'état, compléter le recaptcha et appuyer sur le S'inscrire bouton.

Vous recevrez un email de confirmation; appuie sur le Confirmer mon compte lien comme indiqué ci-dessous.

Après avoir appuyé sur le lien de confirmation, vous serez redirigé vers la page de connexion. Remplissez votre adresse e-mail et votre mot de passe et appuyez sur le S'identifier bouton.

Une fois connecté, dans le menu de gauche, appuyez sur Code d'hiaisse et copier le code indiqué dans la capture d'écran ci-dessous; Enregistrez ce code à utiliser plus tard.

Installation de SNORT sur PfSense:

Pour commencer à installer SNORT sur PfSense, connectez-vous à votre interface Web PfSense et au menu supérieur, appuyez sur Système, puis appuyez Directeur chargé d'emballage, Comme indiqué dans l'image suivante.

Une fois sur la page du gestionnaire de packages, appuyez sur le Forfaits disponibles lien comme indiqué ci-dessous.

Une fois dans l'écran des forfaits disponibles, dans le Terme de recherche type de champ "Renifler»Et appuyez sur le Recherche bouton; Lorsque le package de snort apparaît, appuyez sur le +Installer bouton.

Vous devrez confirmer l'installation; appuie sur le Confirmer bouton comme indiqué ci-dessous.

Le processus d'installation peut prendre quelques minutes, comme indiqué ci-dessous.

Une fois l'installation terminée, vous verrez un message de réussite, comme indiqué dans l'image ci-dessous.

Maintenant que Snort est correctement installé sur PfSense, voyons comment le configurer dans les sections suivantes.

Configuration de l'interface SNORT sous PfSense:

Appuyez sur le bouton Services dans le menu PfSense Top; vous verrez le Renifler L'option a été ajoutée; Appuie.

C'est ainsi que l'écran principal SNORT semble; Par défaut, il ouvre le premier onglet nommé Interfaces de reniflement. Dans cet écran, appuyez sur le +Ajouter bouton.

Par défaut, l'interface réseau est activée; Sinon, assurez-vous qu'il est activé et sélectionnez celui approprié. Dans mon cas spécifique, l'interface est WAN. Toutes les politiques que nous définirons ci-dessous s'appliqueront à cette interface.

Dans mon cas, j'ai activé les journaux pour les alertes, une option qui est par défaut désactivée. Je vous recommande de l'activer pour que vous puissiez suivre le comportement de snort.

Si une connexion ou un trafic semble suspect et déclenche une alerte, ici, vous pouvez choisir de le bloquer avec la règle des délinquants de blocage automatiquement. Par défaut, cette option n'est pas sélectionnée. Gardez à l'esprit que parfois, un faux positif peut déclencher une alerte.

Après la capture d'écran ci-dessous, vous pouvez voir les options supplémentaires si vous activez le Bloquer les délinquants option.

Vous verrez les trois options supplémentaires affichées ci-dessous si vous activez l'option Block Offenders.

Le Mode IPS Permet deux modes:

  • Mode hérité: Pour l'expliquer facilement, ce mode crée un clone du paquet à analyser tout en permettant au paquet d'origine de passer par PfSense. Selon les règles, les futurs paquets seront bloqués si le paquet est malveillant.
  • Mode en ligne: Dans ce mode, le paquet est conservé jusqu'à la fin de l'analyse. Ce mode ne fonctionne pas avec toutes les cartes réseau.

Tuer les États: S'il est sélectionné, lorsqu'une connexion établie est bloquée par SNORT ou le pare-feu, la connexion est terminée.

Quelle IP bloquer: Cette option vous permet de bloquer l'adresse source, l'adresse de destination ou les deux.

Performance de détection Les paramètres ont les options suivantes décrites ci-dessous:

  • Méthode de recherche: L'option par défaut (AC-BNFA) et Lowmen sont de bonnes options pour les dispositifs de ressources faibles. Le CA L'option est bonne pour les ordinateurs avec de bonnes performances, et AC-STD est bon pour les appareils avec du matériel modéré.
  • Recherche: Cette option est recommandée pour les méthodes de recherche AC, AC-Split ou AC-BNFA, car il peut améliorer les performances.
  • Inserts de flux: Optimiser: s'ils sont sélectionnés, les paquets insérés de flux ne seront pas évalués.
  • Vérification de la somme de contrôle désactivée: Cela désactive le contrôle de somme de contrôle, même si le pare-feu le fait déjà; Par conséquent, cette option est presque hors de propos.

La section suivante vous permet de définir des réseaux à domicile et externes. Vous pouvez le laisser par défaut car vous n'avez pas encore ajouté de périphériques.

Enfin, appuyez sur le Sauvegarder bouton pour appliquer vos modifications.

Après avoir enregistré vos modifications, le menu supérieur des interfaces sera similaire à celui illustré dans l'image ci-dessous.

Configuration des paramètres globaux SNORT dans PfSense:

Maintenant, configurons SNORT Paramètres globaux et appuyez sur Paramètres globaux dans le menu supérieur.

Cochez le Activer SNORT VRT option et collez le Code d'hiaisse (La clé de snipt gratuite) Vous avez obtenu dans la première section de ce tutoriel. Si vous ne faites pas cette étape, vous devrez mettre à jour le snort manuellement, ce qui n'est pas recommandé.

Aussi, cochez Activer SNORT GPLV2 et Activer ET Open options.

Sélectionner un Intervalle de mise à jour; Dans mon cas, j'ai sélectionné 1 jour, mais vous pouvez choisir toute autre option que vous souhaitez.

Si votre pfsense a un SSL auto-signé comme dans mon cas, cochez le Désactiver le pair SSL Option de vérification.

Dans Réglages généraux Définissez un intervalle pour supprimer les hôtes bloqués, gardez les autres options par défaut et appuyez sur le Sauvegarder bouton.

Maintenant, vos paramètres globaux SNORT sont prêts.

Mise à jour manuelle des règles de snort:

Pour mettre à jour SNORT manuellement, appuyez sur les mises à jour et appuyez sur le bouton Règles Mises à jour dans le menu supérieur.

Ce processus durera quelques minutes, sera patient.

Après avoir terminé, vos règles de snort seront mises à jour.

Téléchargement ou supprimer les journaux d'alerte de snipt:

Pour télécharger ou supprimer les journaux d'alerte, appuyez sur l'onglet Alertes et appuyez sur le Télécharger bouton ou le Clair bouton pour supprimer les alertes. La suppression des journaux après le téléchargement est une bonne décision pour empêcher les journaux de reprendre votre espace disque.

Résumé:

Maintenant, votre snort est configuré sur pfSense. Vous pouvez obtenir des informations sur les hôtes bloqués dans le Bloqué onglet et les hôtes de liste blanche peuvent être trouvés dans le Listes de passe languette. Le Réprimer L'onglet vous permet de voir des alertes supprimées. Vous pouvez gérer la réputation de la propriété intellectuelle à partir du Listes IP languette. Vous pouvez automatiser la gestion des règles et gérer les journaux à partir de l'onglet Journal MGMT à partir du SID MGMT.

Conclusion:

L'ajout de snort sur PfSense est un excellent moyen d'augmenter la sécurité de votre réseau. Y compris un IDS dans votre réseau complétera votre configuration de pare-feu en analysant le trafic et en décidant de la configuration pour définir. PfSense elle-même est excellente pour gérer les réseaux à la maison et commerciaux. La communauté soutient largement à la fois pfsense et snort. Ils ont un support commercial facultatif, ce qui permet à tous les utilisateurs de les utiliser facilement et à une excellente sécurité et à la gestion des réseaux pour les entreprises. Snort et PfSense ont des versions gratuites et sont des solutions open source.

Merci d'avoir lu cet article SNORT et PFSENSE. J'espère que c'était utile pour vous. Continuez à lire notre blog pour des tutoriels plus professionnels.

Sqlite
À quoi sert Sqlite pour? Est-ce mieux que SQL?
SQLite est une base de données basée sur des fichiers qui est autonome, sans serveur et ne nécessite...
Sarah Roux
C ++
Qu'est-ce que le type de données char en C ++
Dans C ++, le type de données de char représente les données sous forme de caractères. Cette variabl...
Lena Dupuy
C ++
Programme C ++ pour convertir la décimale en binaire
Pour convertir un nombre décimal en binaire en C ++, divisez le nombre décimal de 2 jusqu'à ce que l...
Nathan Blanc
AWS
Qu'est-ce que AWS GuardDuty et pourquoi il est utilisé?
Jules Colin
golang
Quels sont les types de données à Golang
Sarah Roux
Docker
Quelles sont les étapes pour déployer une image Nginx à l'aide de Docker?
Mélissa Vincent
golang
Qu'est-ce que l'héritage à Golang
Lena Dupuy
Java
Quel est le mot-clé par défaut dans les instructions de commutation?
Julien Dumas
AWS
Pourquoi devrais-je utiliser des organisations AWS?
Nathan Blanc
golang
Comment utiliser le mot-clé de différé dans Golang
Célia Girard
c Sharp
Comment utiliser un long mot-clé en C #
Ethan Guillot
golang
Comment utiliser le temps.Fonction de sommeil à Golang
Lena Dupuy
php
Comment utiliser la fonction Array_Merge dans PHP?
Mélissa Vincent