Snort-Pfsense

1. V PFsensu odpremo zavihek “System” in kliknemo na “Packages”. Tu poiščemo “Snort” in ga naložimo na sistem.

2. Ko je paket naložen odprite zavihek “Services” in kliknete “Snort”.Odpre se vam okno za konfiguracijo.

3. Postavite se na jeziček Global settings. Tukaj določite katera rule (previla)  boste uporabljali za zaznavanje napadov… Za inštalacijo “Basic ruels” boste morali opraviti registracijo (registracija Basic Rule Account).

Install Emergingthreats rules – ( to so pravila, ki jih pišejo uporabniki open source združenja in ne potrebujejo kode ali aktivacje). Za začetek vam priporočam, da uporabite obe možnosti za pravila ( Basic in Emerging)

Update rules – lahko pustite onemogočeno (da, vam nova pravila ne bodo povozila starih).

Log Directory size limit –  lahko pustite na “default”, kar pomeni, da bodo dnevniki zasedli največ 20% vašega diska.

Remove blocked hosts every – to možnost uporabite, če želite nastaviti čas po katerem bodo blokirani uporabniki sproščeni.

Alert file description type – FULL (celotno poročilo o dogodku)

NA KONCU MORATE KLIKNITI NA GUMB “SAVE” !!!

4. Postavite se na zavihek “Updates” in kliknete “Update Rules”. S tem boste prenesli zadnja pravila.

5. Ko naredite update pravil, pojdite nazaj na zavihek “Snort Interface” in kliknite na “+” za namestitev novega senzorja.

6. Odpre se vam okno za konfiguracijo senzorja.

Enable – omogočite senzor.

Interface – WAN (izberite interface, ki ga boste varovali. Lahko je LAN, WAN, WIFI, odvisno od števila mrežnih kartic…).

Description – vnesete poljubno ime za senzor.

Memory performance – izberete možnost, glede na količino pomnilnika in zmoglivost računalnika (AC-STD je srednja možnost).

Home net – pustite default (tega lahko spreminjate preko ssh-ja v sistemu).

External net- pustite default (tega lahko spreminjate preko ssh-ja v sistemu).

Block offenders – začetnikom priporočam, da ne vklapljajo te možnosti, saj lahko zaklenejo sami sebe in si onemogočijo dostop do sistema!!!

White List – izberete listo IP-jev, ki ne bodo blokirani, tudi če sprožijo alarme. Več o nastavitvi whiteliste tukaj !!!

 

 

7. Zavihek “Categories” prikazuje vsa prenešena pravila po kategorijah. Za izbiro kategorije pravil obkljukamo željena pravila in shranimo!! Pravila je pametno izbirati glede na stanje v mreži. Če nimate strežnika z SSH dostopom, potem ne izberite pravil, ki preverjajo anomalije in napade na ssh! Dobro je vedeti, da večje kot je število omogočenih pravil, večja bo poraba resorsov na mašini!  Več o pravilih v članku Snort rules!!!

8. V zavihku Rules lahko pogledate vsa pravila, ki pripadajo izbrani kategoriji. Če je pravilo sive barve, pomeni da je onemogočeno. Pravila lahko urejamo tako, da kliknemo na ikono “e”.

9. Zavihek “Servers” omogoča vpis DNS, mail, SSH, SMTP… serverjev in portov. S tem zmanjšamo število lažnih alarmov in usmerimo snorta (primer, če prestavimo ssh port iz 22 na 2333, potem vpišemo tukaj SSH port 2333).

 

10. Zavihek “Preprocesors”. Če imate vse izklopljene Snort ne bo deloval! Če želite pregledovati HTTP promet, morate vključiti “HTTP Inspect Settings”. Isto velja za ostale preprocesorje.

11. Barnyard2 uporabljate, ko želite loge, alarme… shranjevati v Mysql bazo ali na oddaljeno lokacijo. Trenutno tega ne potrebujemo!

12. Ko imate vse osnovne parametre nastavljene, pojdite na zavihek “Snort Interfaces” in kliknite na zeleno ikono, ki mora postati rdeča. Če je ikona rdeča pomeni, da snort deluje!

13. Primer alarmov na delujočem sistemu. (IP naslovi so zaradi takih in drugačnih razlogov zakriti :) )

2 Responses to Snort-Pfsense

  • Carte R4i says:

    whoah this blog is fantastic i like reading your articles. Keep up the good paintings! You understand, a lot of people are hunting round for this info, you could aid them greatly.

Leave a Reply

Your email address will not be published. Required fields are marked *

Internetna zaščita

Copyright © 2013. All Rights Reserved.