Swota na PFSense

Swota na PFSense
Ten samouczek wyjaśnia, jak dodać identyfikatory Snort (system wykrywania włamań) do PFSense.

W tym artykule obejmuje następujące tematy:

  • Otrzymanie klucza bezpłatnego do automatycznych aktualizacji
  • Instalowanie prycie na PFSense
  • Konfigurowanie Snort na PFSense

Po przeczytaniu tego dokumentu otrzymasz instalację pryszczową na PFSense, aby rozpocząć ochronę sieci, znacznie zwiększając poziom bezpieczeństwa PFSense Domyślnie przynosi PFSense.

Wszystkie kroki opisane w tym samouczku Snort/PFSense obejmują zrzuty ekranu, co ułatwi każdemu użytkownikowi śledzenie.

Uzyskanie swojego klucza do prychania za automatyczne aktualizacje:

Przed dodaniem Snort do PFSense, uzyskajmy bezpłatny klucz, aby włączyć automatyczne aktualizacje zapewnienie bezpieczeństwa sieci, więc nie musisz aktualizować Snorta ręcznie.

Aby uzyskać bezpłatny klucz, uzyskaj dostęp do tego linku https: // www.parsknięcie.org/Users/sign_up i wypełnij pola adresem e -mail i hasłem, zgadzaj się na warunkach, wypełnij recaptcha i naciśnij Zapisać się przycisk.

Otrzymasz potwierdzenie emailem; wciśnij Potwierdź moje konto link, jak pokazano poniżej.

Po naciśnięciu linku potwierdzającego zostaniesz przekierowany na stronę logowania. Wypełnij swój adres e -mail i hasło i naciśnij Zalogować się przycisk.

Po zalogowaniu się w lewym menu naciśnij OinkCode i skopiuj kod pokazany na zrzucie ekranu poniżej; Zapisz ten kod, aby użyć później.

Instalowanie Snort na PFSense:

Aby rozpocząć instalowanie Snort na PFSense, zaloguj się do interfejsu internetowego PFSense i górnego menu, naciśnij System, następnie naciśnij Menedżer pakietów, Jak pokazano na poniższym obrazku.

Raz na stronie menedżera pakietu naciśnij Dostępne pakiety link, jak pokazano poniżej.

Raz na ekranie dostępnych pakietów, w Szukany termin typ pola "Parsknięcie”I naciśnij Szukaj przycisk; Kiedy pojawia się pakiet prychający, naciśnij +zainstalować przycisk.

Będziesz musiał potwierdzić instalację; wciśnij Potwierdzać przycisk, jak pokazano poniżej.

Proces instalacji może potrwać kilka minut, jak pokazano poniżej.

Po zakończeniu instalacji zobaczysz komunikat sukcesu, jak pokazano na poniższym obrazku.

Teraz, gdy pryszcz jest poprawnie zainstalowany na PFSense, zobaczmy, jak go skonfigurować w następnych sekcjach.

Konfigurowanie interfejsu prychania pod PFSense:

Naciśnij przycisk Usług w górnym menu PFSense; zobaczysz Parsknięcie Dodano opcję; naciśnij.

Tak wydaje się ekran główny parnaś; Domyślnie otwiera pierwszą nazwę Pwarki interfejsy. Na tym ekranie naciśnij +Dodać przycisk.

Domyślnie interfejs sieciowy jest włączony; Jeśli nie, upewnij się, że jest włączony i wybierz odpowiedni. W moim konkretnym przypadku interfejs jest WAN. Wszystkie zasady, które zdefiniujemy poniżej, będą miały zastosowanie do tego interfejsu.

W moim przypadku włączyłem dzienniki dla alertów, opcja domyślnie jest wyłączona. Polecam włączyć to, abyś mógł śledzić zachowanie Snort.

Jeśli połączenie lub ruch wydaje się podejrzane i wyzwala ostrzeżenie, tutaj możesz automatycznie zablokować go za pomocą reguły przestępców blokowych. Domyślnie ta opcja jest niezbędna. Pamiętaj, że czasami fałszywie dodatni może wywołać ostrzeżenie.

Po zrzucie ekranu poniżej możesz zobaczyć dodatkowe opcje, jeśli włączysz Blokujący przestępców opcja.

Zobaczysz trzy dodatkowe opcje pokazane poniżej, jeśli włączysz opcję przestępców bloków.

Tryb IPS Pozwala na dwa tryby:

  • Tryb starszy: Aby to łatwo wyjaśnić, ten tryb tworzy klon pakietu do analizy, umożliwiając przechodzenie oryginalnego pakietu PFSense. Zgodnie z zasadami przyszłe pakiety zostaną zablokowane, jeśli pakiet jest złośliwy.
  • Tryb inline: W tym trybie pakiet jest zachowywany do czasu zakończenia analizy. Ten tryb nie działa ze wszystkimi kartami sieciowymi.

Kill States: Jeśli zostanie wybrane, gdy ustalone połączenie jest blokowane przez Snort lub zaporę, wówczas połączenie jest zakończone.

Który IP zablokować: Ta opcja umożliwia zablokowanie adresu źródłowego, adresu docelowego lub obu.

Wydajność wykrywania Ustawienia mają następujące opcje opisane poniżej:

  • Metoda wyszukiwania: Opcja domyślna (AC-BNFA) I Lowmen to dobre opcje dla urządzeń o niskich zasobach. AC Opcja jest dobra dla komputerów o dobrej wydajności i AC-STD jest dobry dla urządzeń z umiarkowanym sprzętem.
  • Szukaj: Ta opcja jest zalecana dla metod wyszukiwania AC, AC-SPLIT lub AC-BNFA, ponieważ łącznie może poprawić wydajność.
  • Wkładki strumienia: Optymalizuj: jeśli zostanie wybrane, pakiety wstawiane przez strumień nie będą oceniane.
  • Suma kontrolna Wyłączona: To wyłącza kontrolę sumę kontrolną, mimo że zapora już to robi; Dlatego ta opcja jest prawie nieistotna.

Następna sekcja pozwala zdefiniować sieci domowe i zewnętrzne. Możesz pozostawić to jako domyślne, ponieważ nie dodałeś jeszcze urządzeń.

Wreszcie naciśnij Ratować przycisk, aby zastosować zmiany.

Po zapisaniu zmian interfejsy górne menu będzie podobne do tego, które pokazano na poniższym obrazku.

Konfigurowanie globalnych ustawień globalnych w PFSense:

Teraz skonfigurujmy parskawkę Ustawienia ogólne i naciśnij globalne ustawienia w górnym menu.

Zaznacz Włącz parszenie VRT opcja i wklej OinkCode (Bezpłatny klucz do prychania) Dostałeś w pierwszej części tego samouczka. Jeśli nie zrobisz tego kroku, będziesz musiał ręcznie zaktualizować Snort, co nie jest zalecane.

Również tyk Włącz parszenie GPLV2 I Włącz ET otwarte opcje.

Wybierz Aktualizacja interwała; W moim przypadku wybrałem 1 dzień, ale możesz wybrać dowolną inną opcję, którą chcesz.

Jeśli twój PFSense ma samozwańczy SSL, jak w moim przypadku, zaznacz Wyłącz SSL Peer Opcja weryfikacji.

W Ustawienia główne Zdefiniuj interwał w celu usunięcia zablokowanych hostów, zachowaj inne opcje jako domyślne i naciśnij Ratować przycisk.

Teraz twoje globalne ustawienia prycie są gotowe.

Ręczna aktualizacja zasad prerwotra:

Aby aktualizować Snort ręcznie, naciśnij aktualizacje i naciśnij przycisk ZASADY Aktualizacje w górnym menu.

Ten proces będzie trwał kilka minut, bądź cierpliwy.

Po zakończeniu reguły prycie zostaną zaktualizowane.

Pobieranie lub usuwanie dzienników ostrzegawczych:

Aby pobrać lub usunąć dzienniki alertów, naciśnij kartę alerty i naciśnij Pobierać przycisk lub Jasne przycisk, aby usunąć alerty. Usuwanie dzienników po pobraniu jest dobrą decyzją, aby zapobiec przejęciu miejsca na dysku.

Streszczenie:

Teraz twój prych jest skonfigurowany na PFSense. Możesz uzyskać informacje o zablokowanych hostach w Zablokowany Tab i biało -listy hosta można znaleźć w Listy przepustek patka. Stłumić Karta pozwala zobaczyć stłumione alerty. Możesz zarządzać reputacją IP z Listy IP patka. Możesz zautomatyzować zarządzanie regułami i zarządzać dziennikami z zakładki Log MGMT z SID MGMT.

Wniosek:

Dodanie Snort na PFSense to świetny sposób na zwiększenie bezpieczeństwa sieciowego. Włączenie identyfikatorów w sieci uzupełni konfigurację zapory, analizując ruch i decydując o konfiguracji do zdefiniowania. Sam PFSense jest doskonały do ​​zarządzania zarówno sieciami domowymi, jak i komercyjnymi. Społeczność szeroko wspiera zarówno PFSense, jak i Snort. Mają opcjonalne wsparcie komercyjne, ułatwiając wszystkim użytkownikom korzystanie z nich oraz świetne bezpieczeństwo i zarządzanie siecią dla firm. Zarówno Snort, jak i PFSense mają bezpłatne wersje i są rozwiązaniami typu open source.

Dziękujemy za przeczytanie tego artykułu Snort i PFSense. Mam nadzieję, że było to dla Ciebie przydatne. Czytaj dalej nasz blog, aby uzyskać bardziej profesjonalne samouczki.