PFSense com Snort
PFSense é um front-end para o PF (Packet Filter) do BSD, de fácil utilização. Neste artigo ensino como integrar o Snort (um poderoso sniffer) com o PFSense, que irá tomar a ação de bloquear o que o Snort considerar uma ameaça.
[ Hits: 83.226 ]
Por: Leonardo Damasceno em 25/09/2009 | Blog: https://techcraic.wordpress.com
Settings, Categories e Rules
Opção Settings
Agora clique em qualquer outro menu que a página será atualizada e você verá no menu "SERVICES" a opção "Snort", ou seja, a instalação obteve sucesso!Clique na opção "snort" do menu "services" e você irá visualizar essa tela:
Opções interessantes nessa aba são:
- Block offenders - Irá bloquear os "ofensores" que forem pegos e são exibidos na aba "ALERTS";
- Update rules automatically - Irá realizar atualizações automáticas das regras do Snort.
Antes de configurarmos as regras por modo visual, vamos baixar as regras do site e colocar no servidor!
O diretório usado pelo PFSense no BSD foi: /usr/local/etc/snort/
Faça o download das regras no site do Snort, copie o arquivo para o diretório citado a cima e agora descompacte usando:
# mkdir /usr/local/etc/snort/regras
# cp snortrules-snapshot-CURRENT.tar.gz /usr/local/etc/snort/regras
# cd /usr/local/etc/snort
# rm -rf rules
# cd regras
# tar -zxvf snortrules-snapshot-CURRENT.tar.gz
# cp rules ../
Opção Categories e Rules
Então vamos para "Categories" selecionar as regras que queremos utilizar!Para testar, vamos marcar icmp.rules e scan.rules:
Agora vamos editar as RULES(Regras). Não iremos alterar nada em icmp.rules porque todas as regras já são bem definidas, porém vamos alterar as regras de scan, ou melhor, apenas habilitá-las. Em Category selecione scan.rules e clique na aba RULES:
- SCAN synscan portscan
- SCAN nmap XMAS
Basta observar a coluna MESSAGE, clique na primeira (SCAN synscan portscan), então clique no botão ao lado com um "E" e você irá para essa tela:
The Snort rule configuration has been changed. You must apply the changes in order for them to take effect.
Ao lado terá um botão "Apply Changes", clique nele para aplicar realmente a regra editada (habilitada).
Faça o mesmo em "SCAN nmap XMAS" para habilitá-la também.
Páginas do artigo
1. Um pouco do nosso projeto2. Settings, Categories e Rules
3. Monitorando e verificando erros
Outros artigos deste autor
Servidor de log no Debian com Syslog-ng
Leitura recomendada
Inprotect + Nessus: Scanner de vulnerabilidades
Double Dragon: chkrootkit e portsentry, agora vai rolar pancadaria nos intrusos!
Como funcionam os sistemas de biometria: um estudo geral
Comentários
[1] Comentário enviado por drakula em 25/09/2009 - 15:50h
Parabéns pelo artigo o pfsense é um firewall box interessante, deixa até muitas soluções pagas no chinelo e esse é apenas uma funcionalidade dele.
Parabéns pelo artigo o pfsense é um firewall box interessante, deixa até muitas soluções pagas no chinelo e esse é apenas uma funcionalidade dele.
[2] Comentário enviado por riav em 25/09/2009 - 16:10h
Excelente Dica Leonardo!!!!
Utilizo em minha rede o PfSense junto com squid a mais de 6 meses, quando migrei meu firewall baseado no iptables que escrevi na mão.
Digo com muita enfase que o front-end PfSense é fanstástico, possui inúmeras as funcionalidades de um firewall coorporativo e nunca me deixou na mão.
É robusto, rápido e fácil de usar, juntamente com seus plugins (SNORT é um deles, como mostra a dica) o torna uma das melhores ferramentas open source no mercado.
Um forte abraço a todos.
Excelente Dica Leonardo!!!!
Utilizo em minha rede o PfSense junto com squid a mais de 6 meses, quando migrei meu firewall baseado no iptables que escrevi na mão.
Digo com muita enfase que o front-end PfSense é fanstástico, possui inúmeras as funcionalidades de um firewall coorporativo e nunca me deixou na mão.
É robusto, rápido e fácil de usar, juntamente com seus plugins (SNORT é um deles, como mostra a dica) o torna uma das melhores ferramentas open source no mercado.
Um forte abraço a todos.
[3] Comentário enviado por leodamasceno em 25/09/2009 - 16:18h
Sim riav! PFSense é muito bom.
Eu sempre estiver acostumado com iptables, e ainda gosto muito dele, mas não podemos negar que o PFSense é uma ótima ferramenta :D.
Sim riav! PFSense é muito bom.
Eu sempre estiver acostumado com iptables, e ainda gosto muito dele, mas não podemos negar que o PFSense é uma ótima ferramenta :D.
[4] Comentário enviado por riav em 25/09/2009 - 16:27h
Complementando a dica do Leonardo, podemos obter as regras automaticamente utilizando a opção Oinkmaster code (Menu Service -> Snort -> Settings).
Você precisa se cadastrar no snort.org (https://www.snort.org/signup).
Após o cadastro, demora um pouco para o site confirmar seu login, você se autentica e gera seu oinkcode (https://www.snort.org/account/oinkcode).
Depois e so jogar o oinkcode no snort (aba Settings) salvar e clicar na aba Update Rules.
Pronto, ele vai comecar a baixar as regras, só não sei ao certo se ele as atualiza depois automaticamente, pelo o que li sim, mas não testei ainda.
Viva o mundo open source!!!!!
Um abraço.
Complementando a dica do Leonardo, podemos obter as regras automaticamente utilizando a opção Oinkmaster code (Menu Service -> Snort -> Settings).
Você precisa se cadastrar no snort.org (https://www.snort.org/signup).
Após o cadastro, demora um pouco para o site confirmar seu login, você se autentica e gera seu oinkcode (https://www.snort.org/account/oinkcode).
Depois e so jogar o oinkcode no snort (aba Settings) salvar e clicar na aba Update Rules.
Pronto, ele vai comecar a baixar as regras, só não sei ao certo se ele as atualiza depois automaticamente, pelo o que li sim, mas não testei ainda.
Viva o mundo open source!!!!!
Um abraço.
[5] Comentário enviado por removido em 16/10/2009 - 13:34h
Grande léo,
Parabéns pelo artigo, está muito bom cara. Continue assim !
Um abraço
Grande léo,
Parabéns pelo artigo, está muito bom cara. Continue assim !
Um abraço
[6] Comentário enviado por danillofa em 28/07/2013 - 21:52h
Acho que o começo do arquivo esta errado né, segue do site oficial:
pfSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution.
[]'s
Acho que o começo do arquivo esta errado né, segue do site oficial:
pfSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution.
[]'s
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Git config não aplica configurações
O que você quer para sua vida ao usar o Linux?
Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal
Tópicos
Inciativa Pé no chão - Profissional Sério. (Jovem) (2)
Inciativa Pé no chão - Profissional Sério. (Jovem) (1)
Exibir detalhes de vídeo no Caja (0)
Criar um servidor de arquivos local com o ubuntu server e o samba? (2)
Top 10 do mês
-
Xerxes
1° lugar - 72.414 pts -
Fábio Berbert de Paula
2° lugar - 51.391 pts -
Daniel Lara Souza
3° lugar - 17.595 pts -
Mauricio Ferrari
4° lugar - 16.544 pts -
Alberto Federman Neto.
5° lugar - 14.167 pts -
edps
6° lugar - 13.583 pts -
Buckminster
7° lugar - 13.118 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 12.679 pts -
Diego Mendes Rodrigues
9° lugar - 12.311 pts -
Andre (pinduvoz)
10° lugar - 12.064 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
