Snort på PfSense

Erik Røed
Snort på PfSense
Denne opplæringen forklarer hvordan du legger til snort -ID -ene (inntrengingsdeteksjonssystem) til PFSense.

Denne artikkelen dekker følgende emner:

  • Få en snort gratis nøkkel for automatiske oppdateringer
  • Installere snort på pfsense
  • Konfigurere snort på pfsense

Etter å ha lest dette dokumentet, vil du få snortinstallasjonen på PFSense for å begynne å beskytte nettverket ditt, noe som øker sikkerhetsnivået PFSense betydelig bringer som standard.

Alle trinnene beskrevet i denne snort/pfSense -opplæringen inkluderer skjermbilder, noe som gjør det enkelt for enhver bruker å følge dem.

Få din snort gratis nøkkel for automatiske oppdateringer:

La oss få en gratis nøkkel for å aktivere automatiske oppdateringer å holde nettverket ditt trygt før du legger til pfSense.

For å få gratis nøkkel, få tilgang til denne lenken https: // www.snort.org/brukere/sign_up og fyll ut feltene med din e -postadresse og passord, samtykker i betingelsesbetingelsene, fullfør Recaptcha og trykk på Melde deg på knapp.

Du vil motta en bekreftelses -e -post; trykk Bekreft kontoen min lenke som vist nedenfor.

Etter å ha trykket på bekreftelseslenken, blir du omdirigert til påloggingssiden. Fyll ut e -postadressen og passordet ditt og trykk på Logg inn knapp.

Når du er logget inn, på venstre meny, trykk OinkCode og kopier koden som er vist på skjermbildet nedenfor; Lagre denne koden som skal brukes senere.

Installere snort på pfSense:

For å begynne å installere snort på pfSense, logg inn på PFSense Web -grensesnittet og toppmenyen, trykk System, Trykk deretter Pakkesjef, Som vist i følgende bilde.

En gang på Package Manager -siden, trykk på Tilgjengelige pakker lenke som vist nedenfor.

En gang i skjermbildet tilgjengelige pakker, i Søkeord felt, type "Snort”Og trykk på Søk knapp; Når snortpakken dukker opp, trykk på +Installere knapp.

Du må bekrefte installasjonen; trykk Bekrefte knapp som vist nedenfor.

Installasjonsprosessen kan ta noen minutter, som vist nedenfor.

Etter at installasjonen er ferdig, vil du se en suksessmelding, som vist på bildet nedenfor.

Nå som Snort er riktig installert på pfSense, la oss se hvordan du konfigurerer det i de følgende seksjonene.

Konfigurere Snort -grensesnittet under PFSense:

Trykk på Services -knappen på PfSense Top -menyen; du vil se Snort alternativet ble lagt til; press den.

Slik virker snort hovedskjermen; Som standard åpner den den første fanen som er navngitt Snort grensesnitt. På dette skjermbildet, trykk på +Legg til knapp.

Som standard er nettverksgrensesnittet aktivert; Hvis ikke, må du sørge for at den er aktivert og velg den riktige. I mitt spesifikke tilfelle er grensesnittet WAN. Alle retningslinjer vi vil definere nedenfor vil gjelde for dette grensesnittet.

I mitt tilfelle aktiverte jeg logger for varsler, et alternativ som som standard er deaktivert. Jeg anbefaler at du aktiverer det slik at du kan følge snortatferd.

Hvis en forbindelse eller trafikk virker mistenkelig og utløser et varsel, her, kan du velge å blokkere den med blokkeringens lovbrytere. Som standard er dette alternativet ikke valgt. Husk at noen ganger kan en falsk positiv utløse et varsel.

Etter skjermdumpen nedenfor, kan du se tilleggsalternativene hvis du aktiverer Blokkerer lovbrytere alternativ.

Du vil se de tre ekstra alternativene som er vist nedenfor hvis du aktiverer alternativet Block Offenders.

De IPS -modus tillater to modus:

  • Legacy -modus: For å forklare det enkelt, oppretter denne modusen en klon av pakken som skal analyseres, samtidig som den originale pakken kan passere gjennom PFSENSE. I henhold til reglene vil fremtidige pakker bli blokkert hvis pakken er ondsinnet.
  • Inline -modus: I denne modusen beholdes pakken til analysen avsluttes. Denne modusen fungerer ikke med alle nettverkskort.

Kill States: Hvis det er valgt, når en etablert forbindelse er blokkert av Snort eller brannmuren, avsluttes forbindelsen.

Hvilken IP du skal blokkere: Dette alternativet lar deg blokkere kildeadressen, destinasjonsadressen eller begge deler.

Deteksjonsytelse Innstillinger har følgende alternativer beskrevet nedenfor:

  • Søkemetode: Standardalternativet (AC-BNFA) og Lowmen er gode alternativer for lave ressursenheter. De Ac Alternativet er bra for datamaskiner med god ytelse, og Ac-std er bra for enheter med moderat maskinvare.
  • Søk: Dette alternativet anbefales for AC, AC-Split eller AC-BNFA-søkemetoder siden kombinert, det kan forbedre ytelsen.
  • Strøminnsatser: Optimaliser: Hvis valgt, vil ikke strøminnsatte pakker bli evaluert.
  • Sjekksumssjekk deaktivert: Dette deaktiverer sjekksumssjekken, selv om brannmuren allerede gjør det; Derfor er dette alternativet nesten irrelevant.

Den neste delen lar deg definere hjemme- og eksterne nettverk. Du kan la det være som standard siden du ikke har lagt til enheter ennå.

Til slutt, trykk på Lagre knapp for å bruke endringene dine.

Etter å ha lagret endringene dine, vil grensesnittet toppmenyen være lik den som er vist på bildet nedenfor.

Konfigurere snort globale innstillinger i PFSense:

La oss nå konfigurere snort Globale innstillinger og trykk globale innstillinger på toppmenyen.

Kryss av til Aktiver snort VRT alternativ og lim inn OinkCode (Den gratis snort -tasten) du fikk i den første delen av denne opplæringen. Hvis du ikke gjør det trinnet, må du oppdatere snort manuelt, noe som ikke anbefales.

Også, kryss Aktiver snort GPLV2 og Aktiver et åpen alternativer.

Velg en Oppdateringsintervall; I mitt tilfelle valgte jeg 1 dag, men du kan velge et hvilket som helst annet alternativ du vil ha.

Hvis pfsensen din har en selvsignert SSL som i mitt tilfelle, merker du av Deaktiver SSL -jevnaldrende Bekreftelsesalternativ.

I Generelle innstillinger Definer et intervall for å fjerne blokkerte verter, oppbevar andre alternativer som standard og trykk på Lagre knapp.

Nå er de globale innstillingene dine klare.

Manuelt oppdatering av snortregler:

For å oppdatere snort manuelt, trykk oppdateringer og trykker på oppdateringsreglene på toppmenyen.

Denne prosessen vil vare noen minutter, være tålmodig.

Etter endt blir snortreglene dine oppdatert.

Last ned eller fjerne snortvarslingslogger:

For å laste ned eller fjerne varslingslogger, trykk på varsler -fanen og trykk på nedlasting knapp eller Klar knapp for å fjerne varslene. Å fjerne logger etter nedlasting er en god beslutning om å forhindre at logger overtar diskplassen din.

Sammendrag:

Nå er snorken din konfigurert på pfsense. Du kan få informasjon om blokkerte verter i Blokkert Tab, og hvitelisterte verter finner du i Passlister Tab. De Undertrykke Tab lar deg se undertrykte varsler. Du kan administrere IP -omdømme fra IP -lister Tab. Du kan automatisere styringen av regler og administrere logger fra logg MGMT -fanen fra SID MGMT.

Konklusjon:

Å legge til snort på pfsense er en flott måte å øke nettverkssikkerheten din. Inkludert en IDS i nettverket ditt vil utfylle brannmurkonfigurasjonen din ved å analysere trafikk og bestemme konfigurasjonen for å definere. PfSense i seg selv er utmerket for å administrere både hjemme- og kommersielle nettverk. Samfunnet støtter bredt både PfSense og Snort. De har valgfri kommersiell støtte, noe som gjør det enkelt for alle brukere å bruke dem og god sikkerhet og nettverksstyring for bedrifter. Både Snort og PfSense har gratis versjoner og er open source -løsninger.

Takk for at du leste denne snort- og pfsense -artikkelen. Jeg håper det var nyttig for deg. Fortsett å lese bloggen vår for mer profesjonelle opplæringsprogrammer.

Golang
Hva er nøkkelord i Golang
I Golang løkker som for loop itererer gjennom elementene i en matrise, skiver, kanaler eller kart ve...
Erik Røed
C programmering
Hvordan samle og kjøre et C -program i ledetekst
På Windows -ledeteksten kan du enkelt samle og kjøre et C -program gjennom GCC. Følg denne artikkele...
Elias Krogh Svendsen
Debian
Hvordan installere pakker med Flatpak på Debian Top 10
Flatpak er en moderne pakkeansvarlig som kan installeres på Debian fra Flatpak -depotet. Følg denne ...
Elias Aalerud Aasen
Python
Python OS.sti.ExpandUser -metoden
Elias Aalerud Aasen
Docker
Hva er forskjellen mellom Docker og Podman?
Daniel Johnsen
Docker
Hva er docker bind monteringer?
Alexander Sørlie
JavaScript
Hvordan fungerer OnClick -arrangementet i JavaScript
Jørgen Christiansen
Golang
Hva er datatyper i Golang
Jørgen Christiansen
Java
Hva er standard nøkkelord i Switch -setninger?
Daniel Johnsen
MS SQL Server
Hva er mysql rdbms en omfattende guide
Mathias Halvorsen
Kraftskall
Hva er kommando for å gi nytt navn i PowerShell?
Daniel Berntsen
PHP
Hvordan du bruker php str_split -funksjon
Simen Ødegård
PHP
Hvorfor PHP skal brukes i nettutvikling
Daniel Johnsen