Cet article couvre les sujets suivants:
Après avoir lu ce document, vous obtiendrez votre installation de snort sur PfSense pour commencer à protéger votre réseau, augmentant considérablement le niveau de sécurité que PfSense apporte par défaut.
Toutes les étapes décrites dans ce didacticiel Snort / PfSense incluent des captures d'écran, ce qui permet à tout utilisateur de les suivre facilement.
Obtenir votre clé gratuite SNORT pour les mises à jour automatiques:
Avant d'ajouter SNORT à PfSense, obtenons une clé gratuite pour permettre aux mises à jour automatiques de garder votre réseau en sécurité, vous n'aurez donc pas à mettre à jour SNORT manuellement.
Pour obtenir la clé gratuite, accédez à ce lien https: // www.renifler.org / utilisateurs / sig_up et remplissez les champs avec votre adresse e-mail et votre mot de passe, convenir des termes de l'état, compléter le recaptcha et appuyer sur le S'inscrire bouton.
Vous recevrez un email de confirmation; appuie sur le Confirmer mon compte lien comme indiqué ci-dessous.
Après avoir appuyé sur le lien de confirmation, vous serez redirigé vers la page de connexion. Remplissez votre adresse e-mail et votre mot de passe et appuyez sur le S'identifier bouton.
Une fois connecté, dans le menu de gauche, appuyez sur Code d'hiaisse et copier le code indiqué dans la capture d'écran ci-dessous; Enregistrez ce code à utiliser plus tard.
Installation de SNORT sur PfSense:
Pour commencer à installer SNORT sur PfSense, connectez-vous à votre interface Web PfSense et au menu supérieur, appuyez sur Système, puis appuyez Directeur chargé d'emballage, Comme indiqué dans l'image suivante.
Une fois sur la page du gestionnaire de packages, appuyez sur le Forfaits disponibles lien comme indiqué ci-dessous.
Une fois dans l'écran des forfaits disponibles, dans le Terme de recherche type de champ "Renifler»Et appuyez sur le Recherche bouton; Lorsque le package de snort apparaît, appuyez sur le +Installer bouton.
Vous devrez confirmer l'installation; appuie sur le Confirmer bouton comme indiqué ci-dessous.
Le processus d'installation peut prendre quelques minutes, comme indiqué ci-dessous.
Une fois l'installation terminée, vous verrez un message de réussite, comme indiqué dans l'image ci-dessous.
Maintenant que Snort est correctement installé sur PfSense, voyons comment le configurer dans les sections suivantes.
Configuration de l'interface SNORT sous PfSense:
Appuyez sur le bouton Services dans le menu PfSense Top; vous verrez le Renifler L'option a été ajoutée; Appuie.
C'est ainsi que l'écran principal SNORT semble; Par défaut, il ouvre le premier onglet nommé Interfaces de reniflement. Dans cet écran, appuyez sur le +Ajouter bouton.
Par défaut, l'interface réseau est activée; Sinon, assurez-vous qu'il est activé et sélectionnez celui approprié. Dans mon cas spécifique, l'interface est WAN. Toutes les politiques que nous définirons ci-dessous s'appliqueront à cette interface.
Dans mon cas, j'ai activé les journaux pour les alertes, une option qui est par défaut désactivée. Je vous recommande de l'activer pour que vous puissiez suivre le comportement de snort.
Si une connexion ou un trafic semble suspect et déclenche une alerte, ici, vous pouvez choisir de le bloquer avec la règle des délinquants de blocage automatiquement. Par défaut, cette option n'est pas sélectionnée. Gardez à l'esprit que parfois, un faux positif peut déclencher une alerte.
Après la capture d'écran ci-dessous, vous pouvez voir les options supplémentaires si vous activez le Bloquer les délinquants option.
Vous verrez les trois options supplémentaires affichées ci-dessous si vous activez l'option Block Offenders.
Le Mode IPS Permet deux modes:
Tuer les États: S'il est sélectionné, lorsqu'une connexion établie est bloquée par SNORT ou le pare-feu, la connexion est terminée.
Quelle IP bloquer: Cette option vous permet de bloquer l'adresse source, l'adresse de destination ou les deux.
Performance de détection Les paramètres ont les options suivantes décrites ci-dessous:
La section suivante vous permet de définir des réseaux à domicile et externes. Vous pouvez le laisser par défaut car vous n'avez pas encore ajouté de périphériques.
Enfin, appuyez sur le Sauvegarder bouton pour appliquer vos modifications.
Après avoir enregistré vos modifications, le menu supérieur des interfaces sera similaire à celui illustré dans l'image ci-dessous.
Configuration des paramètres globaux SNORT dans PfSense:
Maintenant, configurons SNORT Paramètres globaux et appuyez sur Paramètres globaux dans le menu supérieur.
Cochez le Activer SNORT VRT option et collez le Code d'hiaisse (La clé de snipt gratuite) Vous avez obtenu dans la première section de ce tutoriel. Si vous ne faites pas cette étape, vous devrez mettre à jour le snort manuellement, ce qui n'est pas recommandé.
Aussi, cochez Activer SNORT GPLV2 et Activer ET Open options.
Sélectionner un Intervalle de mise à jour; Dans mon cas, j'ai sélectionné 1 jour, mais vous pouvez choisir toute autre option que vous souhaitez.
Si votre pfsense a un SSL auto-signé comme dans mon cas, cochez le Désactiver le pair SSL Option de vérification.
Dans Réglages généraux Définissez un intervalle pour supprimer les hôtes bloqués, gardez les autres options par défaut et appuyez sur le Sauvegarder bouton.
Maintenant, vos paramètres globaux SNORT sont prêts.
Mise à jour manuelle des règles de snort:
Pour mettre à jour SNORT manuellement, appuyez sur les mises à jour et appuyez sur le bouton Règles Mises à jour dans le menu supérieur.
Ce processus durera quelques minutes, sera patient.
Après avoir terminé, vos règles de snort seront mises à jour.
Téléchargement ou supprimer les journaux d'alerte de snipt:
Pour télécharger ou supprimer les journaux d'alerte, appuyez sur l'onglet Alertes et appuyez sur le Télécharger bouton ou le Clair bouton pour supprimer les alertes. La suppression des journaux après le téléchargement est une bonne décision pour empêcher les journaux de reprendre votre espace disque.
Résumé:
Maintenant, votre snort est configuré sur pfSense. Vous pouvez obtenir des informations sur les hôtes bloqués dans le Bloqué onglet et les hôtes de liste blanche peuvent être trouvés dans le Listes de passe languette. Le Réprimer L'onglet vous permet de voir des alertes supprimées. Vous pouvez gérer la réputation de la propriété intellectuelle à partir du Listes IP languette. Vous pouvez automatiser la gestion des règles et gérer les journaux à partir de l'onglet Journal MGMT à partir du SID MGMT.
Conclusion:
L'ajout de snort sur PfSense est un excellent moyen d'augmenter la sécurité de votre réseau. Y compris un IDS dans votre réseau complétera votre configuration de pare-feu en analysant le trafic et en décidant de la configuration pour définir. PfSense elle-même est excellente pour gérer les réseaux à la maison et commerciaux. La communauté soutient largement à la fois pfsense et snort. Ils ont un support commercial facultatif, ce qui permet à tous les utilisateurs de les utiliser facilement et à une excellente sécurité et à la gestion des réseaux pour les entreprises. Snort et PfSense ont des versions gratuites et sont des solutions open source.
Merci d'avoir lu cet article SNORT et PFSENSE. J'espère que c'était utile pour vous. Continuez à lire notre blog pour des tutoriels plus professionnels.