Manual de Instalación y configuración de Snort en el firewall PFsense. Arian Molina Aguilera. Snort es un sistema de prevención y detección de intrusos. Se puede configurar para que simplemente registrar eventos y alertas de red detectados y/o bloquear las amenazas. Este paquete está disponible para instalar desde System> Packages. Requerimiento tener agregado en System>Advanced>Misselaneas, El proxy del nodo con su respectivo usuario y contraseña para la autenticación en el mismo, y se pueda descargar el paquete desde el mirror oficial de pfsense en internet. Snort funciona con firmas de detección llamadas reglas. Las reglas se pueden crear para requisitos particulares por el usuario, o se pueden habilitar cualquiera de los diversos conjuntos de reglas pre-empacadas y para su descarga. El paquete de Snort actualmente ofrece soporte para estas reglas preempacadas: (1) Reglas Snort VRT (Vulnerability Research Team), (2) Reglas Snort GPLv2 de la Comunidad, (3) Reglas Emerging Threats Open, y (4) Reglas Emerging Threats Open Pro. Las reglas GPLv2 de la Comunidad de Snort y las Emerging Threats Open son ambas disponibles de forma gratuita, sin registro requerido. Las reglas de Snort VRT se ofrecen en dos formas. Una de ellas es una versión de usuario registrado que es gratuito, pero requiere inscripción en http://www.snort.org . La versión gratuitausuario registrado sólo proporciona acceso a las reglas que son actualizadas cada 30 días.
Lanzamiento de GUI de configuración de Snort Para iniciar la aplicación de configuración de Snort, vaya a Services> Snort en el menú en pfSense.
Configurar paquete Snort por primera vez Haga clic en la ficha Configuración global (Global Settings) y permitir las descargas de conjuntos de reglas para su uso. Si se comprueban ya sea el Snort VRT o Amenazas Emergentes reglas Pro, un cuadro de texto se mostrará a introducir el código de suscriptor único obtenido con la suscripción o registro.Más de un conjunto de reglas puede estar habilitado para su descarga, pero tenga en cuenta las siguientes advertencias. Si una suscripción de pago está disponible para las reglas de Snort VRT, a continuación, todas las reglas de Snort GPLv2 comunitarias se incluyen automáticamente en el archivo descargado con las reglas de Snort VRT; por lo tanto, no permiten las normas comunitarias GPLv2 si una cuenta de suscriptor de pago se utiliza para las reglas de Snort VRT. Todas las reglas Emerging Threats Open se incluyen dentro de la suscripción de pago para las reglas Emerging Threats Open Pro. Si se habilitan las reglas Emerging Threats Open Pro, las Emerging Threats Open se desactivan automáticamente.
Una vez que los conjuntos de reglas deseadas están habilitados, al lado establecer el intervalo de Snort para comprobar si hay actualizaciones de los paquetes de reglas habilitadas. Utilice el desplegable Intervalo de actualización (Update Interval) para elegir un intervalo de actualización de reglas. En la mayoría de los casos cada 12 horas es una buena opción. La actualización de la hora de inicio puede ser personalizado si lo desea. Introduzca el tiempo en horas y minutos en formato de 24 horas. La hora de inicio por defecto es de 3 minutos después de la medianoche hora local. Así, con un intervalo de 12 -horas actualización seleccionada, Snort comprobará la Snort VRT o emergentes Amenazas sitios web a los 3 minutos después de la medianoche y 3 minutos después del mediodía de cada día para las actualizaciones de paquetes de reglas publicadas.
Actualización de las reglas. La pestaña Updates (Actualizaciones) se utiliza para comprobar el estado de los paquetes descargados reglas y descargar nuevas actualizaciones. La tabla muestra los paquetes de reglas disponibles y su estado actual (no está activado, no descargado, o una suma de control MD5 válida y la fecha). En la primera imagen de abajo, anote el Snort VRT y Amenazas Emergentes paquetes de reglas abierto están habilitadas, pero aún no se han descargado. Las reglas de Snort GPLv2 comunitarios no están habilitadas. El estado habilitado / inhabilitado paquetes de reglas puede activarse de nuevo en la ficha Global Settings.
Haga clic en el botón CHECK para comprobar si hay actualizaciones de paquetes regla. Si hay un conjunto nuevo de reglas envasados en el sitio web del proveedor, será descargado e instalado. La determinación se realiza comparando el MD5 del archivo local con la del archivo remoto en el sitio web del proveedor. Si hay una discrepancia, un nuevo archivo se descarga. El botón FORCE se puede utilizar la descarga de los paquetes de reglas desde el sitio web del proveedor para forzar que sean las pruebas de hash MD5 cabo.
En la pantalla de abajo, las Snort VRT y Emerging Threats Open se han descargado correctamente. Se muestran el hash MD5 calculado y la fecha de descarga de archivos y el tiempo. También tenga en cuenta el último tiempo de actualización y el resultado se muestra en el centro de la página.
Añadir una interfaz a Snort. Haga clic en la pestaña Snort Interfaces y luego el
icono para agregar una nueva interfaz de Snort.
Una nueva pestaña Configuración de la interfaz se abrirá con l a siguiente interfaz disponible seleccionada automáticamente. La selección de la interfaz se puede cambiar utilizando la interfaz desplegable si se desea. Un nombre descriptivo también se puede proporcionar para la interfaz. Otros parámetros de la interfaz también se pueden establecer en esta página. Asegúrese de hacer clic en el botón SAVE abajo en la parte inferior de la página cuando haya terminado para guardar los cambios.
Después de guardar, el navegador nos volverá a la pestaña Snort Interfaces. Tenga en cuenta los iconos de advertencia en la imagen de abajo muestra hay reglas han sido seleccionados para la nueva interfaz de Snort. Esas reglas se configurarán siguiente. Haga clic en la icono (que se muestra resaltado con un recuadro rojo en la imagen de abajo) para editar la nueva interfaz de Snort nuevamente.
Seleccione qué tipos de reglas protegerán la red Haga clic en la pestaña Categorías (Categories) para la nueva interfaz. Si se obtiene un código de Snort VRT Oinkmaster (registrándonos libremente como usuario en el sitio web del snort), permitió a las reglas de Snort VRT, y entró el código Oinkmaster en la ficha Configuración global entonces la opción de escoger entre tres políticas preconfiguradas IPS está disponible . Estas simplifican en gran medida el proceso de elección de reglas para inspeccionar el tráfico por Snort . Las políticas de IPS sólo están disponibles cuando se habilitan las reglas de Snort VRT. Las tres políticas Snort VRT IPS son: (1) Conectividad (2) Equilibrado y (3) Seguridad. Estos se enumeran en orden creciente de la seguridad. Sin embargo, se resisten a la tentación de saltar inmediatamente a la política de seguridad más segura si Snort es desconocido. Los falsos positivos pueden ocurrir con frecuencia con las políticas más seguras, y una cuidadosa puesta a punto por un administrador con experiencia puede ser requerida. Así que si Snort es desconocida, a continuación, utilizando la política de conectividad menos restrictiva en modo no-bloqueo se recomienda como punto de partida. Una vez que la experiencia con Snort se ha ganado en este entorno de red, modo de bloqueo se puede activar y luego subir a las políticas más restrictivas IPS.
Si no se habilitaron las reglas Snort VRT, o si alguno de los otros paquetes de reglas se va a utilizar, a continuación, hacer la categoría regla selecciones marcando las casillas de verificación junto a las categorías de reglas para su uso.
Asegúrese de hacer clic en Guardar cuando haya terminado para guardar la selección y construir el archivo de reglas de utilizará Snort.
Iniciando Snort en la interfaz creada. Haga clic en la pestaña Snort Interfaces para visualizar las interfaces configuradas en Snort. Haga clic en el icono
(que se muestra resaltado con un recuadro rojo en la imagen de abajo) para iniciar Snort en la interfaz.
Tomará varios segundos para que Snort inicie. Una vez que se ha iniciado, el icono cambiará a abajo. Para detener una instancia de Snort que se ejecuta en una interfaz, haga clic en el
Como se muestra
icono.
Seleccione qué tipos de firmas protegerán la red Haga clic en la ficha Reglas (Rules) para la interfaz para configurar reglas individuales en las categorías habilitadas. En general, esta página sólo se utiliza para desactivar reglas particulares que pueden estar generando demasiados falsos positivos en un entorno de red particular. Asegúrese que de hecho sean realmente falsos positivos antes de dar el paso de desactivar una regla de Snort! Seleccione una categoría de normas de la Categoría desplegable para ver todas las reglas asignadas. Haga clic en el icono en la extrema izquierda de una fila para cambiar el estado de la regla, para cambiar de habilitada a deshabilitada o desde deshabilitada a habilitada. El icono cambiará de color para indicar las medidas adoptadas. En la parte inferior de la página encontrará una leyenda que muestra los cuatro colores de iconos utilizados para indicar el estado actual de una regla.
Definir los servidores para proteger y mejorar el rendimiento
Administrar los hosts bloqueados La ficha Bloqueado (Blocked) muestra lo que los hosts que están siendo bloqueadas por Snort (cuando se selecciona la opción block offenders en la pestaña Configuración de la interfaz). Los host bloqueados se pueden borrar automáticamente por Snort cuando se selecciona uno de varios intervalos predefinidos. Las opciones de bloqueo para una interfaz se configuran en la ficha Configuración de la interfaz de Snort para la interfaz.
La gestión de las Pass List Pasar Las listas son listas de direcciones IP que Snort nunca debe bloquear. Estos pueden ser creados y gestionados en la ficha Listas Pass. Cuando una dirección IP aparece en una lista de Pass, Snort nunca insertar un bloque en esa dirección aunque se detecte tráfico malicioso. Para crear una nueva Pass List, haga clic en
. Para editar una Pass List existente, haga clic en
. Para eliminar
una Pass List, haga clic en . Tenga en cuenta que una Pass List no se puede eliminar si está actualmente asignada a una o más interfaces de Snort.
Por defecto una Pass List se genera automáticamente por Snort en cada interfaz, y esta lista por defecto se utiliza cuando no se especifica otra lista. Las Pass List se asignan a una interfaz en la pestaña Configuración de la interfaz. Pass List personalizadas pueden ser creadas y asignadas a una interfaz. Esto podría hacerse cuando existen hosts externos de confianza que no se encuentra en las redes conectadas directamente al servidor de seguridad. Para agregar hosts externos de esta manera, primero crear un alias bajo Firewall> Aliases y luego asignar ese alias en el campo Assigned Aliases. En el ejemplo que se muestra a continuación, los alias "Friendly_ext_hosts" han sido asignados. Este alias contendría las direcciones IP de los hosts externos de confianza. Al crear una Pass List personalizada, dejar todas las direcciones IP generadas automáticamente controladas en la sección de direcciones IP autogeneradas. No seleccionar las casillas de verificación en esta sección puede conducir al bloqueo de direcciones críticas, incluyendo las propias interfaces del firewall. Esto podría resultar en que se cierre la puerta del propio servidor de seguridad en la red. Sólo desmarcar las casillas en esta sección cuando sea absolutamente necesario.
Haga clic en el botón de ALIASES para abrir una ventana que muestra los alias definidos previamente para la selección. Recuerde hacer clic en GUARDAR para guardar los cambios. NOTA: Recuerda que la simple creación de una Pass List es sólo el primer paso! Debe seleccionarse yendo a la pestaña Configuración de la interfaz para la interfaz de Snort y asignar la nueva Pass List que se creó, como se muestra a continuación. Después de asignar y guardar la nueva Pass List, reinicie Snort en la interfaz afectada para aplicar los cambios.
Umbral de alerta y Supresión Las Listas de supresión permiten el control de las alertas generadas por las reglas de Snort. Cuando se suprime una alerta, entonces Snort ya no registra una entrada de alerta (o bloquea la dirección IP si block offenders está activado) cuando una regla en particular se enciende. Snort no obstante inspeccionará todo el tráfico de la red nuevamente para la regla, pero incluso cuando el tráfico coincide con la firma de la regla, no se generará ninguna alerta. Esto es diferente de la desactivación de una regla. Cuando una regla está deshabilitada, Snort no intentara hacer coincidir en ningún tráfico de red. La Supresión de una regla que se podría hacer en lugar de deshabilitar la regla cuando las alertas sólo debe ser detenida con base en el origen o destino de la IP. Por ejemplo, para suprimir la alerta cuando el tráfico desde una dirección IP de confianza en particular es la fuente. Si cualquier otro IP es el origen o destino del tráfico, la regla seguiría activa. Para eliminar todas las alertas de la regla, entonces es más eficiente desactivar la regla en lugar de suprimirla. La desactivación de la regla la eliminará de la lista de reglas de Snort y por lo tanto hace que el trabajo que Snort tiene que hacer sea menor.
En la página de edición de Suppress List, una nueva Suppress List puede ser añadida o editarse manualmente. Por lo general es más fácil y más rápido para agregar entradas de la Suppress List haciendo clic mostrado en las entradas de alerta en la pestaña Alerts. Recuerde hacer clic en el botón SAVA para guardar los cambios al editar manualmente entradas de la Suppress List.
Conocer las alertas La pestaña Alerts es donde se pueden visualizar las alertas generadas por Snort. Si Snort se ejecuta en más de una interfaz, seleccione la interfaz cuyas alertas necesite visualizar en el selector desplegable instance to inspect. Usa el botón de Download para descargar en un archivo tar gzip que contiene todas las alertas registradas en la máquina local. El botón Clear se usa para borrar el registro de alertas actual.
Detalles de Alerta
La columna Fecha muestra la fecha y la hora que se generó la alerta. Las columnas restantes muestran los datos de la regla que genera la alerta. En las columnas Source y Destination los iconos y son para realizar búsquedas de DNS inversas en las direcciones IP, así como un icono utilizado para agregar automáticamente a Suppress List la entrada para la alerta utilizando la dirección IP y el SID (firma ID). Esto evitará futuras alertas que se generen por la regla para esa dirección IP específica solamente. Si cualquiera de las direcciones de origen o destino está siendo bloqueada por Snort, entonces un icono se mostrará. Al hacer clic en ese icono se eliminará el bloque de la dirección IP. La columna SID contiene dos iconos. El icono agregará automáticamente ese SID a la Suppress List para la interfaz y suprimir futuras alertas de la firma para todas las direcciones IP. El icono de la columna SID deshabilitará la regla y la eliminará del conjunto de reglas de cumplimiento. Cuando una regla es desactivada manualmente, el icono en la columna SID cambiará a .
