Instalación de Snort para IDS / IPS en

PfSense 2.4
Escrito el 3 de noviembre de 2017 a las 06:19 , por Kapitein Vorkbaard
Este artículo explica cómo configurar un sistema IDS / IPS usando Snort de PfSense 2.4. Hay
otros howtos; Esta documentación es principalmente para mi propio beneficio.
Si mi documentación lo ayudó, considere hacer clic en algunos de los anuncios en esta
página. No me hará rico, pero sabría que alguien lo encontró útil :) Si estás realmente eufórico
al respecto, también hay un botón de donación de PayPal a la derecha.
Abra las capturas de pantalla en una nueva pestaña para obtener las versiones completas.
IDS / IPS
Un sistema de detección de intrusiones (IDS) es un método para identificar tráfico de red
malicioso. Un Sistema de prevención de intrusiones (IPS) es un método para actuar sobre esa
identificación y evitar que el tráfico llegue a los clientes en su red.
IDS / IPS se logra con Snort o Suricata. Estos dos programas ofrecen la misma funcionalidad,
pero Snort es más antiguo, está mejor documentado y es más conocido, y Suricata es más
nuevo, un poco más eficiente en algunos lugares pero está menos documentado.
Snort
Snort / Suricata es el software que realiza la identificación y el bloqueo reales; ambos
necesitan listas para escanear. Snort ofrece su propia lista que viene en dos sabores:
categorizados y no categorizados. Puede usar la lista no categorizada sin una cuenta Snort; La
lista categorizada es mucho más fácil de entender y usar, pero requiere una cuenta de
Snort. Esta cuenta viene en tres tipos (precios al momento de la escritura por año por sensor
(= básicamente por firewall)):
gratis pero con al menos 30 días de antigüedad;
- personal (US $ 29,99)
- Comercial (US $ 399)
Es posible usar la lista Snort en Suricata, pero existen algunas incompatibilidades
menores. Probablemente solo funcione, pero Suricata puede maldecirlo a veces. El foro
PfSense tiene algunas sugerencias y opiniones al respecto.
Amenazas emergentes
Otro proveedor de la lista es la lista de Amenazas emergentes (ET) de Proofpoint. Este es
gratuito, pero no está categorizado y es apropiado tanto para Snort como para
Suricata. También pueden ofrecer soluciones comerciales. Si corrigieran su sitio y eliminaran
la salsa de administración, probablemente podríamos encontrar lo que hacen y no ofrecen.
Lo más fácil para este documento es crear una cuenta gratuita de Snort y usar Snort con la
lista de 30 días, conocer el sistema y luego cambiar a Suricata o pagar por Snort.
Tenga en cuenta que ejecutar IDS / IPS y el análisis de virus puede requerir bastante recursos,
así que asegúrese de que su hardware esté preparado. También tenga en cuenta que durante
los primeros días de producción, Snort / Suricata probablemente necesitará algunos ajustes.
Fuentes
https://rules.emergingthreats.net/open/
http://www.squidguard.org/
https://snort.org/
https://forum.pfsense.org/index.php?topic=61018.0
http: //www.shallalist.de/
Versiones
PfSense 2.4.1-RELEASE
Instalaremos Snort con las listas anteriores porque son gratuitas y la configuración es idéntica
a las versiones pagas.
Vaya a Sistema> Administrador de paquetes> Paquetes disponibles. Encuentra Snort y haz
clic en Instalar.

FIN