Bufar no pfsense

Jackie Blanda
Bufar no pfsense
Este tutorial explica como adicionar os IDs do Snort (sistema de detecção de intrusões) ao PFSense.

Este artigo abrange os seguintes assuntos:

  • Recebendo uma chave grátis para atualizações automáticas
  • Instalando o bufo no pfsense
  • Configurando o bufo no pfsense

Depois de ler este documento, você obterá sua instalação no PFSense para começar a proteger sua rede, aumentando consideravelmente o nível de segurança que o PFSense traz por padrão.

Todas as etapas descritas neste tutorial de Snort/PfSense incluem capturas de tela, facilitando para qualquer usuário segui -las.

Obtendo sua chave grátis para atualizações automáticas:

Antes de adicionar o Snort ao PfSense, vamos obter uma chave gratuita para permitir atualizações automáticas mantendo sua rede em segurança, para que você não precise atualizar o Snort manualmente.

Para obter a chave gratuita, acesse este link https: // www.bufo.org/usuários/sinal_up e preencha os campos com seu endereço de e -mail e senha, concorde com os termos da condição, preencha o recaptcha e pressione o Inscrever-se botão.

Você receberá um email de confirmação; aperte o Confirme minha conta link como mostrado abaixo.

Depois de pressionar o link de confirmação, você será redirecionado para a página de login. Preencha seu endereço de e -mail e senha e pressione o Entrar botão.

Depois de conectado, no menu esquerdo, pressione OinkCode e copie o código mostrado na captura de tela abaixo; Salve este código para usar mais tarde.

Instalando o Snort no PfSense:

Para começar a instalar o Snort no PFSense, faça o login na sua interface da web pfsense e no menu superior, pressione Sistema, então aperte Gerenciador de pacotes, Como mostrado na imagem a seguir.

Uma vez na página do gerenciador de pacotes, pressione o Pacotes disponíveis link como mostrado abaixo.

Uma vez na tela de pacotes disponíveis, na Termo de pesquisa tipo de campo "Bufo”E pressione o Procurar botão; Quando o pacote de bufo aparecer, pressione o +Instalar botão.

Você será obrigado a confirmar a instalação; aperte o confirme botão como mostrado abaixo.

O processo de instalação pode levar alguns minutos, como mostrado abaixo.

Depois que a instalação for concluída, você verá uma mensagem de sucesso, como mostrado na imagem abaixo.

Agora que o Snort está instalado corretamente no PfSense, vamos ver como configurá -lo nas seções a seguir.

Configurando a interface Snort em PfSense:

Pressione o botão Serviços no menu superior do PFSense; você verá o Bufo a opção foi adicionada; pressione.

É assim que a tela principal do bufo parece; Por padrão, ele abre a primeira guia chamada Interfaces de bufo. Nesta tela, pressione o +Adicionar botão.

Por padrão, a interface de rede está ativada; Caso contrário, verifique se está ativado e selecione o correto. No meu caso específico, a interface é WAN. Todas as políticas que definiremos abaixo serão aplicadas a esta interface.

No meu caso, habilitei logs para alertas, uma opção que por padrão está desativada. Eu recomendo que você ative para que você possa seguir o comportamento do bufo.

Se uma conexão ou tráfego parecer suspeito e desencadear um alerta, aqui, você pode optar por bloqueá -lo com a regra dos infratores de blocos automaticamente. Por padrão, esta opção não é selecionada. Lembre -se de que, às vezes, um falso positivo pode desencadear um alerta.

Após a captura de tela abaixo, você pode ver as opções adicionais se habilitar o Block Offenders opção.

Você verá as três opções adicionais mostradas abaixo se ativar a opção Block Optures.

O Modo IPS permite dois modos:

  • Modo legado: Para explicá -lo facilmente, esse modo cria um clone do pacote a ser analisado enquanto permite que o pacote original passe pelo PfSense. De acordo com as regras, os pacotes futuros serão bloqueados se o pacote for malicioso.
  • Modo embutido: Nesse modo, o pacote é retido até que a análise termine. Este modo não funciona com todos os cartões de rede.

Kill States: Se selecionado, quando uma conexão estabelecida é bloqueada pelo bufo ou pelo firewall, a conexão é terminada.

Qual IP para bloquear: Esta opção permite bloquear o endereço de origem, o endereço de destino ou ambos.

Desempenho de detecção As configurações têm as seguintes opções descritas abaixo:

  • Método de pesquisa: A opção padrão (AC-BNFA) e Lowmen são boas opções para dispositivos de baixo recurso. O AC a opção é boa para computadores com bom desempenho e Ac-std é bom para dispositivos com hardware moderado.
  • Procurar: Esta opção é recomendada para métodos de pesquisa de AC, AC-split ou AC-BNFA, desde que combinados, pode melhorar o desempenho.
  • Inserções de fluxo: Otimizar: Se selecionado, os pacotes inseridos de fluxo não serão avaliados.
  • Verificação de soma de verificação desativada: Isso desativa a verificação da soma de verificação, mesmo que o firewall já o faça; Portanto, esta opção é quase irrelevante.

A próxima seção permite definir redes domésticas e externas. Você pode deixá -lo como padrão, pois ainda não adicionou dispositivos.

Finalmente, pressione o Salvar botão para aplicar suas alterações.

Depois de salvar suas alterações, o menu superior das interfaces será semelhante ao mostrado na imagem abaixo.

Configurando as configurações globais do Snort no PfSense:

Agora vamos configurar o bufo Configurações globais e pressione as configurações globais no menu superior.

Marque a Habilite o Snort Vrt opção e cole o OinkCode (A chave de cheirar gratuita) que você recebeu na primeira seção deste tutorial. Se você não fizer essa etapa, precisará atualizar o bufo manualmente, o que não é recomendado.

Além disso, tick Habilite o Snort GPLV2 e Enable et Open opções.

Selecione um Intervalo de atualização; No meu caso, selecionei 1 dia, mas você pode escolher qualquer outra opção que desejar.

Se o seu PfSense tiver um SSL autoassinado como no meu caso, marque o Desative o SSL Peer Opção de verificação.

Em Configurações Gerais Defina um intervalo para remover hosts bloqueados, mantenha outras opções como padrão e pressione o Salvar botão.

Agora seu truque as configurações globais estão prontas.

Atualizando manualmente as regras do Snort:

Para atualizar o Snort manualmente, pressione atualizações e pressione o botão Regras de atualizações no menu superior.

Este processo durará alguns minutos, seja paciente.

Após o término, suas regras de bufo serão atualizadas.

Download ou remoção de toras de alerta de bufo:

Para baixar ou remover logs de alerta, pressione a guia Alertas e pressione o Download botão ou o Claro botão para remover os alertas. Remover toras após o download é uma boa decisão para impedir que os logs assumam o espaço do seu disco.

Resumo:

Agora seu bufo está configurado no PfSense. Você pode obter informações sobre hosts bloqueados no Bloqueado guia e hosts de permissões podem ser encontradas no Listas de passe aba. O Suprimir A guia permite que você veja alertas suprimidos. Você pode gerenciar a reputação de IP do Listas de IP aba. Você pode automatizar o gerenciamento de regras e gerenciar logs na guia Log Mgmt do SID MGMT.

Conclusão:

Adicionar bufo no pfsense é uma ótima maneira de aumentar a segurança da sua rede. A inclusão de um IDS em sua rede complementará sua configuração de firewall analisando o tráfego e decidindo sobre a configuração para definir. O próprio PfSense é excelente para gerenciar redes domésticas e comerciais. A comunidade apóia amplamente o PfSense e o bufo. Eles têm suporte comercial opcional, facilitando para todos os usuários usá -los e ótima segurança e gerenciamento de rede para empresas. Snort e PfSense têm versões gratuitas e são soluções de código aberto.

Obrigado por ler este artigo do Snort e PfSense. Espero que tenha sido útil para você. Continue lendo nosso blog para mais tutoriais profissionais.

C nítido
Condições e, se então declarações em C#
Condições em C# avaliam para verdadeiro ou falso. Condições tomam decisões sobre qual bloco de códig...
Salvatore Watsica
C nítido
Como usar matemática.Função redonda em c#
Matemática.Rodada () em C# arredonda um número para o número inteiro mais próximo ou um número espec...
Benny Hilll DDS
php
Como verificar se uma matriz está vazia em php?
Encontrar uma matriz vazia no PHP é crucial para garantir a execução suave e sem erros do código. Es...
Bryant Rowe Sr.
Pitão
Python OSERROR
Benny Hilll DDS
Pitão
Ocorrências de contagem de python na lista
Jackie Blanda
Pitão
Python nem todos os argumentos convertidos durante a formatação da string
Tommie Konopelski
Golang
Como converter string em tipo inteiro em Golang?
Marlon Bernhard
html
Como usar a propriedade Mouseevent Pagey?
Evan Mueller
Banco de dados Oracle
Como conectar -se ao Oracle Database Top 10C usando o desenvolvedor SQL?
Orlando Green
Golang
Quais são os tipos de dados em Golang
Bryant Rowe Sr.
Powershell
Você pode explicar a funcionalidade do comando de localização de PowerShell?
Benny Hilll DDS
Powershell
Como usar o comando Set-Variable no PowerShell
Bryant Rowe Sr.
Docker
Como fazer login no Docker via prompt de comando?
Evan Mueller