PFSense com Snort

PFSense é um front-end para o PF (Packet Filter) do BSD, de fácil utilização. Neste artigo ensino como integrar o Snort (um poderoso sniffer) com o PFSense, que irá tomar a ação de bloquear o que o Snort considerar uma ameaça.

[ Hits: 82.756 ]

Por: Leonardo Damasceno em 25/09/2009 | Blog: https://techcraic.wordpress.com


Um pouco do nosso projeto



PFSense é um "front-end" para o firewall PF (Packet Filter) do BSD. Você tem a opção de instalar o FreeBSD, OpenBSD e outros BSDs e depois instalar o PFSense, ou simplesmente pode baixar o PFSense do site do PFSense, que já vem com o FreeBSD + PFSense, tudo isso numa instalação bem simples.

Neste tutorial não ensinarei como instalar, mas deixarei uma dica de um ótimo vídeo:
Então nosso projeto se resume a integrar o PFSense e o Snort. Para quem ainda não ouviu falar do Snort, ele é bem conhecido no mundo Unix. Inclusive aqui no VOL existem vários tutoriais sobre ele. O que vou explicar aqui é simplesmente o que ele vai fazer com o PFSense.

O Snort irá monitorar o tráfego da rede, relacionado ao protocolo ICMP e aos PORTSCANS.

Bem, então, após a instalação concluída e tendo seu PFSense devidamente configurado, vamos aprender a habilitar o Snort nele!

Acessando e instalando os packages

Bem, no menu "SYSTEM" escolha a opção "PACKAGES" (System > Packages), então você verá os pacotes disponíveis para download e instalação, entre eles, na versão 1.2.2 do PFSense, temos o Snort e o Snort-DEV, observe na imagem:
Linux: PFSense com SNORT
Clique no botão ao lado, com um sinal de mais "+", para instalar o Snort.

Uma observação importante é que vamos instalar o "snort" e não o "snort-dev".

Note também que na descrição do snort-dev temos um "WARNING", isso não é bom... o snort-dev ainda é um pacote instável com vários BUGS, então não vamos instalar ele, que é apenas um complemento.

Após clicar no botão "+" ao lado da descrição, o software Snort será instalado e você estará numa tela desse tipo:
Linux: PFSense com SNORT
Ele irá instalar algumas dependências e o MySQL, aguarde até aparecer a mensagem:

"Installation completed. Please check to make sure that the package is configured from the respective menu then start the package."

    Próxima página

Páginas do artigo
   1. Um pouco do nosso projeto
   2. Settings, Categories e Rules
   3. Monitorando e verificando erros
Outros artigos deste autor

Qmail: simples e funcional

Criando cluster com o PFSense

I-Educar no Gnu/Linux

Adicionando usuário no OpenLDAP

Desmistificando o GNU/Linux

Leitura recomendada

Os 5 princípios básicos de segurança para empresas

Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros

Burlando "MSN Sniffers" com TOR e Gaim

Suporte TCP Wrapper - Serviços stand-alone no Debian 6

SELinux na prática

  
Comentários
[1] Comentário enviado por drakula em 25/09/2009 - 15:50h

Parabéns pelo artigo o pfsense é um firewall box interessante, deixa até muitas soluções pagas no chinelo e esse é apenas uma funcionalidade dele.

[2] Comentário enviado por riav em 25/09/2009 - 16:10h

Excelente Dica Leonardo!!!!

Utilizo em minha rede o PfSense junto com squid a mais de 6 meses, quando migrei meu firewall baseado no iptables que escrevi na mão.
Digo com muita enfase que o front-end PfSense é fanstástico, possui inúmeras as funcionalidades de um firewall coorporativo e nunca me deixou na mão.
É robusto, rápido e fácil de usar, juntamente com seus plugins (SNORT é um deles, como mostra a dica) o torna uma das melhores ferramentas open source no mercado.

Um forte abraço a todos.

[3] Comentário enviado por leodamasceno em 25/09/2009 - 16:18h

Sim riav! PFSense é muito bom.

Eu sempre estiver acostumado com iptables, e ainda gosto muito dele, mas não podemos negar que o PFSense é uma ótima ferramenta :D.

[4] Comentário enviado por riav em 25/09/2009 - 16:27h

Complementando a dica do Leonardo, podemos obter as regras automaticamente utilizando a opção Oinkmaster code (Menu Service -> Snort -> Settings).
Você precisa se cadastrar no snort.org (https://www.snort.org/signup).

Após o cadastro, demora um pouco para o site confirmar seu login, você se autentica e gera seu oinkcode (https://www.snort.org/account/oinkcode).
Depois e so jogar o oinkcode no snort (aba Settings) salvar e clicar na aba Update Rules.

Pronto, ele vai comecar a baixar as regras, só não sei ao certo se ele as atualiza depois automaticamente, pelo o que li sim, mas não testei ainda.

Viva o mundo open source!!!!!

Um abraço.

[5] Comentário enviado por removido em 16/10/2009 - 13:34h

Grande léo,


Parabéns pelo artigo, está muito bom cara. Continue assim !


Um abraço

[6] Comentário enviado por danillofa em 28/07/2013 - 21:52h

Acho que o começo do arquivo esta errado né, segue do site oficial:

pfSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution.

[]'s


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts