PFSense com Snort

leodamasceno

PFSense é um front-end para o PF (Packet Filter) do BSD, de fácil utilização. Neste artigo ensino como integrar o Snort (um poderoso sniffer) com o PFSense, que irá tomar a ação de bloquear o que o Snort considerar uma ameaça.

[ Hits: 82.996 ]

Por: Leonardo Damasceno em 25/09/2009 | Blog: https://techcraic.wordpress.com

4 0
Denuncie   Favoritos   Indicar   Impressora

Monitorando e verificando erros



Bem, agora vamos esperar e aguardar olhando no log, na aba "Alerts". No meu caso já detectei uma atividade suspeita, de acordo com minhas regras editadas:
Caso você queira limpar o log, clique no botão "Clear log".

Bem, agora sabemos que tudo está rodando certo! Ou não!?

Para ter certeza, vamos fazer o seguinte. Rode o snort com um simples:

# /usr/local/etc/rc.d/snort.sh

Caso dê algum erro do tipo:

snort[12994]: FATAL ERROR: Dynamic detection lib /usr/local/lib/snort/dynamicrules//lib_sfdynamic_example_rule.so 1.0 isn't compatible with the current dynamic engine library /usr/local/lib/snort/dynamicengine/libsf_engine.so 1.10. The dynamic detection lib is compiled with an older version of the dynamic engine.

Apenas remova essa lib usando:

# rm /usr/local/lib/snort/dynamicrules/lib_sfdynamic_example_rule.so

Em caso de outro erro relacionado ao diretório "dynamicengine", este é causado porque no arquivo de configuração do Snort, o "snort.conf", diz que um dos diretórios das libs é o /usr/local/lib/snort/dynamicengine/, porém lá no arquivo temos:

/usr/local/lib/snort_dynamicengine/

Então ajuste isso de maneira simples, apagando o "_" (underline) e colocando "/" (barra).

Até a próxima. :)

Página anterior    

Páginas do artigo
   1. Um pouco do nosso projeto
   2. Settings, Categories e Rules
   3. Monitorando e verificando erros
Outros artigos deste autor

Instalando o WebHTB

Criando VPN com o PFSense

Qmail: simples e funcional

Segurança em seu Linux (parte 2)

Segurança com iptables

Leitura recomendada

Verificação de integridade de arquivos - Ferramenta OSSEC

Autenticação via hardware: o módulo pam_blue

Impedindo o compartilhamento de conexão

Proxy reverso com ModSecurity no Debian Etch

Criptografia de disco

  
Comentários
[1] Comentário enviado por drakula em 25/09/2009 - 15:50h

Parabéns pelo artigo o pfsense é um firewall box interessante, deixa até muitas soluções pagas no chinelo e esse é apenas uma funcionalidade dele.

[2] Comentário enviado por riav em 25/09/2009 - 16:10h

Excelente Dica Leonardo!!!!

Utilizo em minha rede o PfSense junto com squid a mais de 6 meses, quando migrei meu firewall baseado no iptables que escrevi na mão.
Digo com muita enfase que o front-end PfSense é fanstástico, possui inúmeras as funcionalidades de um firewall coorporativo e nunca me deixou na mão.
É robusto, rápido e fácil de usar, juntamente com seus plugins (SNORT é um deles, como mostra a dica) o torna uma das melhores ferramentas open source no mercado.

Um forte abraço a todos.

[3] Comentário enviado por leodamasceno em 25/09/2009 - 16:18h

Sim riav! PFSense é muito bom.

Eu sempre estiver acostumado com iptables, e ainda gosto muito dele, mas não podemos negar que o PFSense é uma ótima ferramenta :D.

[4] Comentário enviado por riav em 25/09/2009 - 16:27h

Complementando a dica do Leonardo, podemos obter as regras automaticamente utilizando a opção Oinkmaster code (Menu Service -> Snort -> Settings).
Você precisa se cadastrar no snort.org (https://www.snort.org/signup).

Após o cadastro, demora um pouco para o site confirmar seu login, você se autentica e gera seu oinkcode (https://www.snort.org/account/oinkcode).
Depois e so jogar o oinkcode no snort (aba Settings) salvar e clicar na aba Update Rules.

Pronto, ele vai comecar a baixar as regras, só não sei ao certo se ele as atualiza depois automaticamente, pelo o que li sim, mas não testei ainda.

Viva o mundo open source!!!!!

Um abraço.

[5] Comentário enviado por removido em 16/10/2009 - 13:34h

Grande léo,


Parabéns pelo artigo, está muito bom cara. Continue assim !


Um abraço

[6] Comentário enviado por danillofa em 28/07/2013 - 21:52h

Acho que o começo do arquivo esta errado né, segue do site oficial:

pfSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution.

[]'s


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Criar entrada (menuentry) ISO no Grub

Grande dificuldade tanto para rodar distros em modo LIVE como para instalar Linux em Sony Vaio PCG6131L / VPCEA24FM

Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado

Instalar e Configurar o Slackware Linux em 2025

Como configurar os repositórios do apt no Debian 12 em 2025

Dicas

Instalar o VIM 9.1 no Debian 12

Como saber o range de um IP público?

Muitas dificuldades ao instalar distro Linux em Notebook Sony Vaio PCG-6131L (VPCEA24FM)

Slackpkg+ (Slackpkg Plus) está de volta!

Como dividir duas janelas igualmente e lado-a-lado na sua tela

Tópicos

Ocomon 6.0.1 - Problemas ao editar configurações estendidas (7)

instalar o Linux em computadores Acer novos (7)

Será possível instalar Linux Mint LMDE em Sony Vaio? (19)

O livro "Linux - Guia do Administrador do Sistema (Rubem E. Ferre... (1)

Como redefinir o diretório Home? (2)

Top 10 do mês

Scripts

[C/C++] IPHunter - caçador de ip

[Shell Script] Script de Backup do Perfil dos Usuários do Sistema em Batch do Windows

[C/C++] Alucard - scan de redes defensivo

[Outros] Dicas e truques Matematica Básica

[C/C++] reverse shell na marra!

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: