Bufar no pfsense

Jackie Blanda
Bufar no pfsense
Este tutorial explica como adicionar os IDs do Snort (sistema de detecção de intrusões) ao PFSense.

Este artigo abrange os seguintes assuntos:

  • Recebendo uma chave grátis para atualizações automáticas
  • Instalando o bufo no pfsense
  • Configurando o bufo no pfsense

Depois de ler este documento, você obterá sua instalação no PFSense para começar a proteger sua rede, aumentando consideravelmente o nível de segurança que o PFSense traz por padrão.

Todas as etapas descritas neste tutorial de Snort/PfSense incluem capturas de tela, facilitando para qualquer usuário segui -las.

Obtendo sua chave grátis para atualizações automáticas:

Antes de adicionar o Snort ao PfSense, vamos obter uma chave gratuita para permitir atualizações automáticas mantendo sua rede em segurança, para que você não precise atualizar o Snort manualmente.

Para obter a chave gratuita, acesse este link https: // www.bufo.org/usuários/sinal_up e preencha os campos com seu endereço de e -mail e senha, concorde com os termos da condição, preencha o recaptcha e pressione o Inscrever-se botão.

Você receberá um email de confirmação; aperte o Confirme minha conta link como mostrado abaixo.

Depois de pressionar o link de confirmação, você será redirecionado para a página de login. Preencha seu endereço de e -mail e senha e pressione o Entrar botão.

Depois de conectado, no menu esquerdo, pressione OinkCode e copie o código mostrado na captura de tela abaixo; Salve este código para usar mais tarde.

Instalando o Snort no PfSense:

Para começar a instalar o Snort no PFSense, faça o login na sua interface da web pfsense e no menu superior, pressione Sistema, então aperte Gerenciador de pacotes, Como mostrado na imagem a seguir.

Uma vez na página do gerenciador de pacotes, pressione o Pacotes disponíveis link como mostrado abaixo.

Uma vez na tela de pacotes disponíveis, na Termo de pesquisa tipo de campo "Bufo”E pressione o Procurar botão; Quando o pacote de bufo aparecer, pressione o +Instalar botão.

Você será obrigado a confirmar a instalação; aperte o confirme botão como mostrado abaixo.

O processo de instalação pode levar alguns minutos, como mostrado abaixo.

Depois que a instalação for concluída, você verá uma mensagem de sucesso, como mostrado na imagem abaixo.

Agora que o Snort está instalado corretamente no PfSense, vamos ver como configurá -lo nas seções a seguir.

Configurando a interface Snort em PfSense:

Pressione o botão Serviços no menu superior do PFSense; você verá o Bufo a opção foi adicionada; pressione.

É assim que a tela principal do bufo parece; Por padrão, ele abre a primeira guia chamada Interfaces de bufo. Nesta tela, pressione o +Adicionar botão.

Por padrão, a interface de rede está ativada; Caso contrário, verifique se está ativado e selecione o correto. No meu caso específico, a interface é WAN. Todas as políticas que definiremos abaixo serão aplicadas a esta interface.

No meu caso, habilitei logs para alertas, uma opção que por padrão está desativada. Eu recomendo que você ative para que você possa seguir o comportamento do bufo.

Se uma conexão ou tráfego parecer suspeito e desencadear um alerta, aqui, você pode optar por bloqueá -lo com a regra dos infratores de blocos automaticamente. Por padrão, esta opção não é selecionada. Lembre -se de que, às vezes, um falso positivo pode desencadear um alerta.

Após a captura de tela abaixo, você pode ver as opções adicionais se habilitar o Block Offenders opção.

Você verá as três opções adicionais mostradas abaixo se ativar a opção Block Optures.

O Modo IPS permite dois modos:

  • Modo legado: Para explicá -lo facilmente, esse modo cria um clone do pacote a ser analisado enquanto permite que o pacote original passe pelo PfSense. De acordo com as regras, os pacotes futuros serão bloqueados se o pacote for malicioso.
  • Modo embutido: Nesse modo, o pacote é retido até que a análise termine. Este modo não funciona com todos os cartões de rede.

Kill States: Se selecionado, quando uma conexão estabelecida é bloqueada pelo bufo ou pelo firewall, a conexão é terminada.

Qual IP para bloquear: Esta opção permite bloquear o endereço de origem, o endereço de destino ou ambos.

Desempenho de detecção As configurações têm as seguintes opções descritas abaixo:

  • Método de pesquisa: A opção padrão (AC-BNFA) e Lowmen são boas opções para dispositivos de baixo recurso. O AC a opção é boa para computadores com bom desempenho e Ac-std é bom para dispositivos com hardware moderado.
  • Procurar: Esta opção é recomendada para métodos de pesquisa de AC, AC-split ou AC-BNFA, desde que combinados, pode melhorar o desempenho.
  • Inserções de fluxo: Otimizar: Se selecionado, os pacotes inseridos de fluxo não serão avaliados.
  • Verificação de soma de verificação desativada: Isso desativa a verificação da soma de verificação, mesmo que o firewall já o faça; Portanto, esta opção é quase irrelevante.

A próxima seção permite definir redes domésticas e externas. Você pode deixá -lo como padrão, pois ainda não adicionou dispositivos.

Finalmente, pressione o Salvar botão para aplicar suas alterações.

Depois de salvar suas alterações, o menu superior das interfaces será semelhante ao mostrado na imagem abaixo.

Configurando as configurações globais do Snort no PfSense:

Agora vamos configurar o bufo Configurações globais e pressione as configurações globais no menu superior.

Marque a Habilite o Snort Vrt opção e cole o OinkCode (A chave de cheirar gratuita) que você recebeu na primeira seção deste tutorial. Se você não fizer essa etapa, precisará atualizar o bufo manualmente, o que não é recomendado.

Além disso, tick Habilite o Snort GPLV2 e Enable et Open opções.

Selecione um Intervalo de atualização; No meu caso, selecionei 1 dia, mas você pode escolher qualquer outra opção que desejar.

Se o seu PfSense tiver um SSL autoassinado como no meu caso, marque o Desative o SSL Peer Opção de verificação.

Em Configurações Gerais Defina um intervalo para remover hosts bloqueados, mantenha outras opções como padrão e pressione o Salvar botão.

Agora seu truque as configurações globais estão prontas.

Atualizando manualmente as regras do Snort:

Para atualizar o Snort manualmente, pressione atualizações e pressione o botão Regras de atualizações no menu superior.

Este processo durará alguns minutos, seja paciente.

Após o término, suas regras de bufo serão atualizadas.

Download ou remoção de toras de alerta de bufo:

Para baixar ou remover logs de alerta, pressione a guia Alertas e pressione o Download botão ou o Claro botão para remover os alertas. Remover toras após o download é uma boa decisão para impedir que os logs assumam o espaço do seu disco.

Resumo:

Agora seu bufo está configurado no PfSense. Você pode obter informações sobre hosts bloqueados no Bloqueado guia e hosts de permissões podem ser encontradas no Listas de passe aba. O Suprimir A guia permite que você veja alertas suprimidos. Você pode gerenciar a reputação de IP do Listas de IP aba. Você pode automatizar o gerenciamento de regras e gerenciar logs na guia Log Mgmt do SID MGMT.

Conclusão:

Adicionar bufo no pfsense é uma ótima maneira de aumentar a segurança da sua rede. A inclusão de um IDS em sua rede complementará sua configuração de firewall analisando o tráfego e decidindo sobre a configuração para definir. O próprio PfSense é excelente para gerenciar redes domésticas e comerciais. A comunidade apóia amplamente o PfSense e o bufo. Eles têm suporte comercial opcional, facilitando para todos os usuários usá -los e ótima segurança e gerenciamento de rede para empresas. Snort e PfSense têm versões gratuitas e são soluções de código aberto.

Obrigado por ler este artigo do Snort e PfSense. Espero que tenha sido útil para você. Continue lendo nosso blog para mais tutoriais profissionais.

Banco de dados Oracle
Como cache a sequência Oracle para melhorar os recursos do dicionário de dados?
As opções cache, noorder e mantenha podem ser utilizadas para armazenar em cache a sequência do Orac...
Shaun Bogan
Golang
O que são pacotes em Golang?
Um pacote é uma técnica de agrupamento de código em busca em pedaços reutilizáveis ​​e gerenciáveis....
Mr. Warren Cummerata
Golang
Como usar o tempo.Função de sono em Golang
A Hora.Sleep () A função é frequentemente usada para criar atrasos entre operações ou para breves pa...
Orlando Green
Pitão
Grupo de Pandas por Quantil
Mr. Warren Cummerata
Pitão
Python encontra o índice de todas as ocorrências em uma lista
Salvatore Watsica
Pitão
Pandas Read_CSV multiprocessamento
Carl Hintz DDS
Pitão
Converter uma string em json python
Jackie Blanda
Golang
Introdução à linguagem de programação de Golang
Pedro Macejkovic
php
Como usar o Array_Reverse Função no PHP
Bryant Rowe Sr.
Banco de dados Oracle
Como o Oracle Database é diferente do desenvolvedor Oracle SQL?
Orlando Green
Docker
Quais são as etapas para implantar uma imagem nginx usando o docker?
Evan Mueller
Java
Como converter um mapa em uma string em java?
Rickey Greenholt
Powershell
Você pode explicar a funcionalidade do comando de localização de PowerShell?
Benny Hilll DDS