Internet

Com configurar la detecció d'intrusions mitjançant Snort a pfSense 2.0

Autora: Peter Berry
Data De La Creació: 18 Juliol 2021
Data D’Actualització: 10 Ser Possible 2024
Anonim
Com configurar la detecció d'intrusions mitjançant Snort a pfSense 2.0 - Internet
Com configurar la detecció d'intrusions mitjançant Snort a pfSense 2.0 - Internet

Content

Sam treballa com a analista de xarxa per a una empresa comercial algorítmica. Va obtenir el títol de batxiller en tecnologia de la informació per la UMKC.

Per què instal·lar un sistema de detecció d’intrusos?

Els pirates informàtics, els virus i altres amenaces investiguen constantment la vostra xarxa i busquen la manera d’entrar-hi. Només cal una màquina piratejada perquè tota una xarxa es vegi compromesa. Per aquests motius, recomano configurar un sistema de detecció d'intrusions perquè pugueu mantenir els sistemes segurs i controlar les diverses amenaces a Internet.

Snort és un IDS de codi obert que es pot instal·lar fàcilment en un tallafoc pfSense per protegir una xarxa domèstica o corporativa dels intrusos. Snort també es pot configurar perquè funcioni com un sistema de prevenció d’intrusos (IPS), cosa que el fa molt flexible.


En aquest article, us guiaré pel procés d’instal·lació i configuració de Snort a pfSense 2.0 perquè pugueu començar a analitzar el trànsit en temps real.

Instal·lació del paquet Snort

Per començar a utilitzar Snort, haureu d’instal·lar el paquet mitjançant el gestor de paquets pfSense. El gestor de paquets es troba al menú del sistema de la GUI web de pfSense.

Localitzeu Snort a la llista de paquets i feu clic al símbol més a la part dreta per començar la instal·lació.

És normal que el snort trigui un parell de minuts a instal·lar-se, té diverses dependències que primer pfSense ha de descarregar i instal·lar.

Un cop finalitzada la instal·lació, Snort apareixerà al menú de serveis.

Snort es pot instal·lar mitjançant el gestor de paquets pfSense.

Obtenció d’un codi Oinkmaster

Perquè Snort sigui útil, cal actualitzar-lo amb l’últim conjunt de regles. El paquet Snort us pot actualitzar aquestes regles automàticament, però primer heu d’obtenir un codi Oinkmaster.

Hi ha dos conjunts diferents de regles Snort disponibles:

  • El conjunt de versions de subscriptors és el conjunt de regles més actualitzat disponible. L’accés en temps real a aquestes regles requereix una subscripció anual de pagament.
  • L'altra versió de les regles és la versió de l'usuari registrat, que és totalment gratuïta per a qualsevol persona que es registri al lloc Snort.org.

La principal diferència entre els dos conjunts de regles és que les regles de la versió de l'usuari registrat estan 30 dies per darrere de les regles de subscripció. Si voleu obtenir la protecció més actualitzada, heu d’obtenir una subscripció.

Seguiu els passos següents per obtenir el codi Oinkmaster:

  1. Visiteu la pàgina web de les regles de Snort per descarregar la versió que necessiteu.
  2. Feu clic a "Registra't per obtenir un compte" i crea un compte de Snort.
  3. Després de confirmar el vostre compte, inicieu sessió a Snort.org.
  4. Feu clic a "El meu compte" a la barra d'enllaç superior.
  5. Feu clic a la pestanya "Subscripcions i Oinkcode".
  6. Feu clic a l'enllaç Oinkcodes i, a continuació, feu clic a "Genera codi".

El codi romandrà emmagatzemat al vostre compte, de manera que pugueu obtenir-lo més tard si cal. Aquest codi s’haurà d’introduir a la configuració de Snort a pfSense.


Es necessita un codi Oinkmaster per descarregar les regles de Snort.org.

Introduint el codi Oinkmaster a Snort

Després d’obtenir el codi Oink, s’ha d’introduir a la configuració del paquet Snort. La pàgina de configuració de Snort apareixerà al menú de serveis de la interfície web. Si no és visible, assegureu-vos que el paquet està instal·lat i torneu-lo a instal·lar si cal.

Cal introduir el codi Oink a la pàgina de configuració global de la configuració de Snort. També m’agrada marcar la casella per habilitar les regles d’Amenaques emergents. Les regles ET són mantingudes per una comunitat de codi obert i poden proporcionar algunes regles addicionals que potser no es troben al conjunt Snort.

Actualitzacions automàtiques

Per defecte, el paquet Snort no actualitzarà les regles automàticament. L'interval d'actualització recomanat és un cop cada 12 hores, però podeu canviar-lo segons el vostre entorn.

No oblideu fer clic al botó "Desa" un cop hàgiu acabat de fer els canvis.

Actualització manual de les regles

Snort no inclou cap norma, de manera que haureu d’actualitzar-les manualment la primera vegada. Per executar l'actualització manual, feu clic a la pestanya Actualitzacions i, a continuació, feu clic al botó Regles d'actualització.

El paquet descarregarà els darrers conjunts de regles de Snort.org i també Emerging Threats si teniu aquesta opció seleccionada.

Un cop acabades les actualitzacions, les regles s’extreuran i es podran utilitzar.

Les regles s'han de descarregar manualment la primera vegada que es configura Snort.

Afegir interfícies

Abans que Snort pugui començar a funcionar com a sistema de detecció d’intrusos, heu d’assignar interfícies perquè el monitoritzi. La configuració típica és que Snort supervisi qualsevol interfície WAN. L’altra configuració més comuna és que Snort supervisi la interfície WAN i LAN.

El control de la interfície LAN pot proporcionar certa visibilitat als atacs que es produeixen des de la vostra xarxa. No és estrany que un PC de la xarxa LAN s’infecti de programari maliciós i comenci a llançar atacs a sistemes dins i fora de la xarxa.

Per afegir una interfície, feu clic al símbol més que es troba a la pestanya de la interfície Snort.

Configuració de la interfície

Després de fer clic al botó Afegeix interfície, veureu la pàgina de configuració de la interfície.La pàgina de configuració conté moltes opcions, però només n’hi ha algunes que necessiteu per posar-vos en marxa.

  1. Primer, marqueu la casella d’activació a la part superior de la pàgina.
  2. A continuació, seleccioneu la interfície que voleu configurar (en aquest exemple, primer estic configurant la WAN).
  3. Estableix el rendiment de la memòria a AC-BNFA.
  4. Marqueu la casella "Registra les alertes per esbufegar el fitxer unified2" perquè Barnyard2 funcioni.
  5. Feu clic a Desa.

Si esteu executant un fitxer encaminador multi-wan, podeu continuar i configurar les altres interfícies WAN del vostre sistema. També recomano afegir la interfície LAN.

Selecció de categories de regles

Abans d'iniciar les interfícies, hi ha alguns paràmetres més que cal configurar per a cada interfície. Per configurar els paràmetres addicionals, torneu a la pestanya Interfícies Snort i feu clic al símbol "E" a la part dreta de la pàgina al costat de la interfície. Això us tornarà a la pàgina de configuració d'aquesta interfície en particular.

Per seleccionar les categories de regles que s'han d'activar per a la interfície, feu clic a la pestanya Categories. Totes les regles de detecció es divideixen en categories. Les categories que contenen regles d'Emergències emergents començaran per "emergents" i les regles de Snort.org començaran per "esbufegar".

Després de seleccionar les categories, feu clic al botó Desa a la part inferior de la pàgina.

Quin és el propòsit de les categories de regles?

En dividir les regles en categories, només podeu habilitar les categories particulars que us interessin. Us recomano habilitar algunes de les categories més generals. Si esteu executant serveis específics a la vostra xarxa, com ara un servidor web o un servidor de bases de dades, també heu d’habilitar les categories que els pertanyen.

És important recordar que Snort requerirà més recursos del sistema cada vegada que s'activi una categoria addicional. Això també pot augmentar el nombre de falsos positius. En general, és millor activar només els grups que necessiteu, però no dubteu a experimentar amb les categories i veure què funciona millor.

Com puc obtenir més informació sobre les categories de regles?

Si voleu esbrinar quines regles hi ha en una categoria i obtenir més informació sobre què fan, podeu fer clic a la categoria. Això us enllaçarà directament a la llista de totes les regles de la categoria.

Categories de regles Snort populars

Aquestes són algunes de les categories de regles de Snort més populars que és possible que vulgueu habilitar.

Nom de la categoriaDescripció

snort_botnet-cnc.rules

Es dirigeix ​​als ordinadors de botnet i control coneguts.

snort_ddos.rules

Detecta atacs de denegació de servei.

snort_scan.rules

Aquestes regles detecten exploracions de ports, sondes Nessus i altres atacs de recopilació d'informació.

snort_virus.rules

Detecta signatures de troians, virus i cucs coneguts. Es recomana utilitzar aquesta categoria.

Configuració del preprocessador i del flux

Hi ha alguns paràmetres a la pàgina de configuració dels preprocessadors que haurien d’estar habilitats. Moltes de les regles de detecció requereixen habilitar la inspecció HTTP perquè funcioni.

  1. A la configuració d'inspecció HTTP, activeu "Utilitza la inspecció HTTP per normalitzar / descodificar".
  2. A la secció de configuració general del preprocessador, activeu "Detecció de portscan".
  3. Deseu la configuració.

Inici de les interfícies

Quan s'afegeix una nova interfície a Snort, aquesta no comença a executar-se automàticament. Per iniciar les interfícies manualment, feu clic al botó de reproducció verd al costat esquerre de cada interfície configurada.

Quan Snort s’executa, el text darrere del nom de la interfície apareixerà en verd. Per aturar Snort, feu clic al botó vermell d'aturada situat al costat esquerre de la interfície.

Si Snort no pot començar

Hi ha un parell de problemes comuns que poden evitar que Snort comenci.

  • Consulteu les regles: Per verificar la instal·lació de les regles, feu clic a la pestanya Actualitzacions i cerqueu un hash a la secció del conjunt de regles de signatures instal·lades. Hauríeu de veure alguna cosa com SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70".
  • Configuració del preprocessador: Diverses de les regles requereixen que l'opció d'inspecció HTTP estigui habilitada a la configuració del preprocessador, així que assegureu-vos que tingueu aquesta funció activada.
  • Comproveu els registres del sistema: Si Snort detecta un error, veureu el missatge als registres del sistema. Els registres del sistema es poden trobar a Estat / Registres del sistema. Sovint, l’error us indicarà exactament quin és el problema.

S'estan cercant alertes

Després que Snort s'hagi configurat i iniciat amb èxit, hauríeu de començar a veure alertes un cop detectat el trànsit que coincideix amb les regles.

Si no veieu cap alerta, doneu-li una mica de temps i torneu a comprovar-ho. Pot passar una estona abans de veure cap alerta, en funció de la quantitat de trànsit i les regles que estiguin activades.

Si voleu veure les alertes de forma remota, podeu habilitar la configuració de la interfície "Enviar alertes als registres del sistema principal". Les alertes que apareixen als registres del sistema poden ser visualitzats de forma remota mitjançant Syslog.

Aquest article és precís i fidel al millor coneixement de l'autor. El contingut només té finalitats informatives o d’entreteniment i no substitueix l’assessorament personal ni l’assessorament professional en qüestions comercials, financeres, legals o tècniques.

Article Anterior

Tipus d’ordinadors: classificació dels ordinadors per mida

Article Següent

PowerColor RX Vega 64: mínims de referència i overclock

Publicacions Interessants

Articles Frescos

Com s'utilitza l'eina Patch a Photoshop
 Ordinadors

Com s'utilitza l'eina Patch a Photoshop

M’agrada donar con ell obre com utilitzar le funcion de Photo hop.Aque t article e tà e crit per ajudar el u uari de Photo hop amb l'eina Patch. Faré ervir in truccion pa a pa perquè...
11 Reasons PewDiePie és el canal més subscrit de Youtube
 Internet

11 Reasons PewDiePie és el canal més subscrit de Youtube

Krzy ztof é un inve tigador de YouTube de mé de 8 any que pa a hore inve tigant, analitzant i de cobrint tendèncie , de afiament i mitjan de comunicació de YouTube.PewDiePie, tamb&...