Internet

Como configurar a detecção de intrusão usando Snort no pfSense 2.0

Autor: Peter Berry
Data De Criação: 18 Julho 2021
Data De Atualização: 10 Poderia 2024
Anonim
Como configurar a detecção de intrusão usando Snort no pfSense 2.0 - Internet
Como configurar a detecção de intrusão usando Snort no pfSense 2.0 - Internet

Contente

Sam trabalha como analista de rede para uma empresa de comércio algorítmica. Ele obteve seu diploma de bacharel em tecnologia da informação pela UMKC.

Por que configurar um sistema de detecção de intrusão?

Hackers, vírus e outras ameaças estão constantemente sondando sua rede, procurando uma maneira de entrar. Basta uma máquina invadida para que toda a rede seja comprometida. Por esses motivos, recomendo configurar um sistema de detecção de intrusão para que você possa manter seus sistemas seguros e monitorar as várias ameaças na Internet.

Snort é um IDS de código aberto que pode ser facilmente instalado em um firewall pfSense para proteger uma rede doméstica ou corporativa de intrusos. O Snort também pode ser configurado para funcionar como um sistema de prevenção de intrusão (IPS), tornando-o muito flexível.


Neste artigo, vou guiá-lo pelo processo de instalação e configuração do Snort no pfSense 2.0 para que você possa começar a analisar o tráfego em tempo real.

Instalando o Pacote Snort

Para começar a usar o Snort, você precisará instalar o pacote usando o gerenciador de pacotes pfSense. O gerenciador de pacotes está localizado no menu do sistema da interface web do pfSense.

Localize o Snort na lista de pacotes e clique no símbolo de mais no lado direito para iniciar a instalação.

É normal que o snort demore alguns minutos para instalar, ele tem várias dependências que o pfSense deve primeiro baixar e instalar.

Depois que a instalação for concluída, o Snort aparecerá no menu de serviços.

Snort pode ser instalado usando o gerenciador de pacotes pfSense.

Obtendo um Código Oinkmaster

Para que o Snort seja útil, ele precisa ser atualizado com o último conjunto de regras. O pacote Snort pode atualizar automaticamente essas regras para você, mas primeiro você deve obter um código Oinkmaster.

Existem dois conjuntos diferentes de regras Snort disponíveis:

  • O conjunto de liberação do assinante é o conjunto de regras mais atualizado disponível. O acesso em tempo real a essas regras requer uma assinatura anual paga.
  • A outra versão das regras é a liberação do usuário registrado, que é totalmente gratuita para qualquer pessoa que se registrar no site Snort.org.

A principal diferença entre os dois conjuntos de regras é que as regras na liberação do usuário registrado estão 30 dias atrás das regras de assinatura. Se você deseja a proteção mais atualizada, deve obter uma assinatura.

Siga as etapas abaixo para obter seu código Oinkmaster:

  1. Visite a página de regras do Snort para baixar a versão que você precisa.
  2. Clique em 'Sign Up for an Account' e crie uma conta Snort.
  3. Depois de confirmar sua conta, faça o login em Snort.org.
  4. Clique em 'Minha conta' na barra de links superior.
  5. Clique na guia 'Assinaturas e Oinkcode'.
  6. Clique no link Oinkcodes e, em seguida, clique em 'Gerar código'.

O código permanecerá armazenado em sua conta para que você possa obtê-lo posteriormente, se necessário. Este código precisará ser inserido nas configurações do Snort no pfSense.


Um código Oinkmaster é necessário para baixar as regras de Snort.org.

Inserindo o código Oinkmaster no Snort

Depois de obter o Oinkcode, ele deve ser inserido nas configurações do pacote Snort. A página de configurações do Snort aparecerá no menu de serviços da interface da web. Se não estiver visível, certifique-se de que o pacote esteja instalado e reinstale o pacote, se necessário.

O Oinkcode deve ser inserido na página de configurações globais das configurações do Snort. Também gosto de marcar a caixa para habilitar as regras de ameaças emergentes. As regras ET são mantidas por uma comunidade de código aberto e podem fornecer algumas regras adicionais que podem não ser encontradas no conjunto Snort.

Atualizações automáticas

Por padrão, o pacote Snort não atualizará as regras automaticamente. O intervalo de atualização recomendado é uma vez a cada 12 horas, mas você pode alterar isso para se adequar ao seu ambiente.

Não se esqueça de clicar no botão 'Salvar' quando terminar de fazer as alterações.

Atualização manual das regras

O Snort não vem com nenhuma regra, então você terá que atualizá-las manualmente na primeira vez. Para executar a atualização manual, clique na guia atualizações e, em seguida, clique no botão atualizar regras.

O pacote baixará os conjuntos de regras mais recentes de Snort.org e também Ameaças emergentes se você tiver essa opção selecionada.

Depois que as atualizações forem concluídas, as regras serão extraídas e estarão prontas para uso.

As regras devem ser baixadas manualmente na primeira vez que o Snort for configurado.

Adicionando Interfaces

Antes que o Snort possa começar a funcionar como um sistema de detecção de intrusão, você deve atribuir interfaces para ele monitorar. A configuração típica é para o Snort monitorar qualquer interface WAN. A outra configuração mais comum é o Snort monitorar a interface WAN e LAN.

O monitoramento da interface da LAN pode fornecer alguma visibilidade para ataques ocorrendo de dentro de sua rede. Não é incomum que um PC na rede LAN seja infectado com malware e comece a lançar ataques a sistemas dentro e fora da rede.

Para adicionar uma interface, clique no símbolo de adição encontrado na guia da interface do Snort.

Configurando a Interface

Após clicar no botão Adicionar interface, você verá a página de configurações da interface.A página de configurações contém muitas opções, mas existem apenas algumas com as quais você realmente precisa se preocupar para colocar as coisas em funcionamento.

  1. Primeiro, marque a caixa de ativação na parte superior da página.
  2. Em seguida, selecione a interface que deseja configurar (neste exemplo, estou configurando a WAN primeiro).
  3. Defina o desempenho da memória para AC-BNFA.
  4. Marque a caixa "Registrar alertas para snort arquivo unificado2" para que o barnyard2 funcione.
  5. Clique em salvar.

Se você está executando um roteador multi-wan, você pode prosseguir e configurar as outras interfaces WAN em seu sistema. Também recomendo adicionar a interface LAN.

Selecionando categorias de regra

Antes de iniciar as interfaces, existem mais algumas configurações que precisam ser definidas para cada interface. Para definir as configurações adicionais, volte para a guia de interfaces do Snort e clique no símbolo 'E' no lado direito da página ao lado da interface. Isso o levará de volta à página de configuração dessa interface específica.

Para selecionar as categorias de regras que devem ser habilitadas para a interface, clique na guia de categorias. Todas as regras de detecção são divididas em categorias. As categorias que contêm regras de Ameaças emergentes começarão com 'emergente' e as regras do Snort.org começarão com 'snort'.

Após selecionar as categorias, clique no botão Salvar na parte inferior da página.

Qual é o objetivo das categorias de regra?

Ao dividir as regras em categorias, você pode ativar apenas as categorias específicas nas quais está interessado. Recomendo ativar algumas das categorias mais gerais. Se você estiver executando serviços específicos em sua rede, como um servidor da web ou de banco de dados, também deverá habilitar as categorias pertencentes a eles.

É importante lembrar que o Snort exigirá mais recursos do sistema cada vez que uma categoria adicional for ativada. Isso também pode aumentar o número de falsos positivos. Em geral, é melhor ativar apenas os grupos de que você precisa, mas sinta-se à vontade para experimentar as categorias e ver o que funciona melhor.

Como posso obter mais informações sobre as categorias de regras?

Se você quiser descobrir quais regras estão em uma categoria e saber mais sobre o que elas fazem, clique na categoria. Isso o levará diretamente à lista de todas as regras da categoria.

Categorias populares de regras do Snort

Estas são algumas das categorias de regras do Snort mais populares que você pode querer habilitar.

Nome da CategoriaDescrição

snort_botnet-cnc.rules

Destina comandos de botnet conhecidos e hosts de controle.

snort_ddos.rules

Detecta ataques de negação de serviço.

snort_scan.rules

Essas regras detectam varreduras de portas, probes do Nessus e outros ataques de coleta de informações.

snort_virus.rules

Detecta assinaturas de cavalos de Troia, vírus e worm conhecidos. É altamente recomendável usar esta categoria.

Configurações de pré-processador e fluxo

Existem algumas configurações na página de configurações de pré-processadores que devem ser ativadas. Muitas das regras de detecção exigem que a inspeção de HTTP seja ativada para que funcionem.

  1. Nas configurações de inspeção de HTTP, ative 'Usar inspeção de HTTP para normalizar / decodificar'
  2. Na seção de configurações gerais do pré-processador, habilite 'Detecção do Portscan'
  3. Salve as configurações.

Iniciando as Interfaces

Quando uma nova interface é adicionada ao Snort, ele não começa a ser executado automaticamente. Para iniciar interfaces manualmente, clique no botão play verde no lado esquerdo de cada interface que está configurada.

Quando o Snort está rodando, o texto atrás do nome da interface aparecerá em verde. Para parar o Snort, clique no botão vermelho parar localizado no lado esquerdo da interface.

Se o Snort falhar ao iniciar

Existem alguns problemas comuns que podem impedir a inicialização do Snort.

  • Verifique as regras: Para verificar a instalação das regras, clique na guia atualizações e procure um hash na seção do conjunto de regras de assinatura instalado. Você deve ver algo como SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70."
  • Configurações do pré-processador: Várias das regras exigem que a opção de inspeção de HTTP esteja habilitada nas configurações do pré-processador, portanto, certifique-se de ter esse recurso ativado.
  • Verifique os registros do sistema: Se o Snort encontrar um erro, você verá a mensagem nos logs do sistema. Os logs do sistema podem ser encontrados em Status / Logs do sistema. O erro geralmente dirá exatamente qual é o problema.

Verificando Alertas

Depois que o Snort for configurado e iniciado com sucesso, você deve começar a ver alertas assim que o tráfego correspondente às regras for detectado.

Se você não vir nenhum alerta, aguarde um pouco e verifique novamente. Pode demorar um pouco antes de você ver qualquer alerta, dependendo da quantidade de tráfego e das regras habilitadas.

Se quiser ver os alertas remotamente, você pode habilitar a configuração da interface "Enviar alertas aos registros principais do sistema". Os alertas que aparecem nos logs do sistema podem ser visualizado remotamente usando Syslog.

Este artigo é preciso e verdadeiro, de acordo com o melhor conhecimento do autor. O conteúdo é apenas para fins informativos ou de entretenimento e não substitui aconselhamento pessoal ou consultoria profissional em questões comerciais, financeiras, jurídicas ou técnicas.

Artigo Anterior

Cinco maneiras de usarmos IA na vida cotidiana

Próximo Artigo

Como adicionar reflexo de água a uma imagem no GIMP

Nossa Escolha

Popular Hoje

Como você faz uma captura de tela em um computador PC com Windows?
 Computadores

Como você faz uma captura de tela em um computador PC com Windows?

Ao longo de muito ano , aprendi por mim me mo como uperar problema comun de computadore com Window e explicá-lo pa o a pa o para outra pe oa !Exi tem muito motivo pelo quai você pode preci a...
Seu primeiro relatório de visualização usando o Google Data Studio
 Computadores

Seu primeiro relatório de visualização usando o Google Data Studio

Heng Kiong en ina Tecnologia da Informação, incluindo análi e de negócio e i tema de informação de gerenciamento, em um in tituto terciário.O Google Data tudio é...