-
Manual de Instalacin y configuracin de Snort en el firewall
PFsense.
Arian Molina Aguilera.
Snort es un sistema de prevencin y deteccin de intrusos. Se
puede configurar para que simplemente registrar
eventos y alertas de red detectados y/o bloquear las amenazas.
Este paquete est disponible para instalar desde System>
Packages.
Requerimiento tener agregado en
System>Advanced>Misselaneas, El proxy del nodo con su
respectivo usuario y
contrasea para la autenticacin en el mismo, y se pueda descargar
el paquete desde el mirror oficial de pfsense en internet.
Snort funciona con firmas de deteccin llamadas reglas. Las
reglas se pueden crear para requisitos particulares por el
usuario, o se pueden habilitar cualquiera de los diversos
conjuntos de reglas pre-empacadas y para su descarga. El
paquete de Snort actualmente ofrece soporte para estas reglas
preempacadas: (1) Reglas Snort VRT (Vulnerability
Research Team), (2) Reglas Snort GPLv2 de la Comunidad, (3)
Reglas Emerging Threats Open, y (4) Reglas Emerging
Threats Open Pro. Las reglas GPLv2 de la Comunidad de Snort y
las Emerging Threats Open son ambas disponibles de
forma gratuita, sin registro requerido. Las reglas de Snort VRT
se ofrecen en dos formas. Una de ellas es una versin
de usuario registrado que es gratuito, pero requiere inscripcin
en http://www.snort.org . La versin gratuita-usuario registrado slo
proporciona acceso a las reglas que son actualizadas cada 30
das.
Lanzamiento de GUI de configuracin de Snort
Para iniciar la aplicacin de configuracin de Snort, vaya a
Services> Snort en el men en pfSense.
-
Configurar paquete Snort por primera vez
Haga clic en la ficha Configuracin global (Global Settings) y
permitir las descargas de conjuntos de reglas para su
uso. Si se comprueban ya sea el Snort VRT o Amenazas Emergentes
reglas Pro, un cuadro de texto se mostrar a
introducir el cdigo de suscriptor nico obtenido con la
suscripcin o registro.Ms de un conjunto de reglas puede
estar habilitado para su descarga, pero tenga en cuenta las
siguientes advertencias. Si una suscripcin de pago est
disponible para las reglas de Snort VRT, a continuacin, todas
las reglas de Snort GPLv2 comunitarias se incluyen
automticamente en el archivo descargado con las reglas de Snort
VRT; por lo tanto, no permiten las normas
comunitarias GPLv2 si una cuenta de suscriptor de pago se
utiliza para las reglas de Snort VRT. Todas las reglas
Emerging Threats Open se incluyen dentro de la suscripcin de
pago para las reglas Emerging Threats Open Pro. Si se habilitan las
reglas Emerging Threats Open Pro, las Emerging Threats Open se
desactivan automticamente.
Una vez que los conjuntos de reglas deseadas estn habilitados,
al lado establecer el intervalo de Snort para
comprobar si hay actualizaciones de los paquetes de reglas
habilitadas. Utilice el desplegable Intervalo de
actualizacin (Update Interval) para elegir un intervalo de
actualizacin de reglas. En la mayora de los casos
cada 12 horas es una buena opcin. La actualizacin de la hora de
inicio puede ser personalizado si lo
desea. Introduzca el tiempo en horas y minutos en formato de 24
horas. La hora de inicio por defecto es
de 3 minutos despus de la medianoche hora local. As, con un
intervalo de 12 -horas actualizacin seleccionada,
Snort comprobar la Snort VRT o emergentes Amenazas sitios web a
los 3 minutos despus de la medianoche y 3 minutos despus del
medioda de cada da para las actualizaciones de paquetes de reglas
publicadas.
-
Actualizacin de las reglas.
La pestaa Updates (Actualizaciones) se utiliza para comprobar el
estado de los paquetes descargados reglas y
descargar nuevas actualizaciones. La tabla muestra los paquetes
de reglas disponibles y su estado actual (no est
activado, no descargado, o una suma de control MD5 vlida y la
fecha). En la primera imagen de abajo, anote el
Snort VRT y Amenazas Emergentes paquetes de reglas abierto estn
habilitadas, pero an no se han descargado. Las
reglas de Snort GPLv2 comunitarios no estn habilitadas. El
estado habilitado / inhabilitado paquetes de reglas puede activarse
de nuevo en la ficha Global Settings.
Haga clic en el botn CHECK para comprobar si hay actualizaciones
de paquetes regla. Si hay un conjunto nuevo de
reglas envasados en el sitio web del proveedor, ser descargado e
instalado. La determinacin se realiza
comparando el MD5 del archivo local con la del archivo remoto en
el sitio web del proveedor. Si hay una
discrepancia, un nuevo archivo se descarga. El botn FORCE se
puede utilizar la descarga de los paquetes de reglas
desde el sitio web del proveedor para forzar que sean las
pruebas de hash MD5 cabo.
-
En la pantalla de abajo, las Snort VRT y Emerging Threats Open
se han descargado correctamente. Se muestran el
hash MD5 calculado y la fecha de descarga de archivos y el
tiempo. Tambin tenga en cuenta el ltimo tiempo de actualizacin y el
resultado se muestra en el centro de la pgina.
-
Aadir una interfaz a Snort.
Haga clic en la pestaa Snort Interfaces y luego el icono para
agregar una nueva interfaz de Snort.
Una nueva pestaa Configuracin de la interfaz se abrir con la
siguiente interfaz disponible seleccionada
automticamente. La seleccin de la interfaz se puede cambiar
utilizando la interfaz desplegable si se desea. Un
nombre descriptivo tambin se puede proporcionar para la
interfaz. Otros parmetros de la interfaz tambin se
pueden establecer en esta pgina. Asegrese de hacer clic en el
botn SAVE abajo en la parte inferior de la pgina cuando haya
terminado para guardar los cambios.
-
Despus de guardar, el navegador nos volver a la pestaa Snort
Interfaces. Tenga en cuenta los iconos de
advertencia en la imagen de abajo muestra hay reglas han sido
seleccionados para la nueva interfaz de Snort. Esas
reglas se configurarn siguiente. Haga clic en la icono (que se
muestra resaltado con un recuadro rojo en la imagen de abajo) para
editar la nueva interfaz de Snort nuevamente.
-
Seleccione qu tipos de reglas protegern la red
Haga clic en la pestaa Categoras (Categories) para la nueva
interfaz.
Si se obtiene un cdigo de Snort VRT Oinkmaster (registrndonos
libremente como usuario en el sitio web del snort),
permiti a las reglas de Snort VRT, y entr el cdigo Oinkmaster en
la ficha Configuracin global entonces la opcin
de escoger entre tres polticas preconfiguradas IPS est
disponible . Estas simplifican en gran medida el proceso de
eleccin de reglas para inspeccionar el trfico por Snort . Las
polticas de IPS slo estn disponibles cuando se habilitan las reglas
de Snort VRT.
Las tres polticas Snort VRT IPS son: (1) Conectividad (2)
Equilibrado y (3) Seguridad. Estos se enumeran en orden
creciente de la seguridad. Sin embargo, se resisten a la
tentacin de saltar inmediatamente a la poltica de
seguridad ms segura si Snort es desconocido. Los falsos
positivos pueden ocurrir con frecuencia con las polticas
ms seguras, y una cuidadosa puesta a punto por un administrador
con experiencia puede ser requerida. As que si
Snort es desconocida, a continuacin, utilizando la poltica de
conectividad menos restrictiva en modo no-bloqueo se
recomienda como punto de partida. Una vez que la experiencia con
Snort se ha ganado en este entorno de red, modo de bloqueo se puede
activar y luego subir a las polticas ms restrictivas IPS.
-
Si no se habilitaron las reglas Snort VRT, o si alguno de los
otros paquetes de reglas se va a utilizar, a continuacin, hacer la
categora regla selecciones marcando las casillas de verificacin
junto a las categoras de reglas para su uso.
-
Asegrese de hacer clic en Guardar cuando haya terminado para
guardar la seleccin y construir el archivo de reglas de utilizar
Snort.
-
Iniciando Snort en la interfaz creada.
Haga clic en la pestaa Snort Interfaces para visualizar las
interfaces configuradas en Snort. Haga clic en el
icono (que se muestra resaltado con un recuadro rojo en la
imagen de abajo) para iniciar Snort en la interfaz.
Tomar varios segundos para que Snort inicie. Una vez que se ha
iniciado, el icono cambiar a Como se muestra
abajo. Para detener una instancia de Snort que se ejecuta en una
interfaz, haga clic en el icono.
-
Seleccione qu tipos de firmas protegern la red
Haga clic en la ficha Reglas (Rules) para la interfaz para
configurar reglas individuales en las categoras
habilitadas. En general, esta pgina slo se utiliza para
desactivar reglas particulares que pueden estar generando
demasiados falsos positivos en un entorno de red particular.
Asegrese que de hecho sean realmente falsos positivos antes de dar
el paso de desactivar una regla de Snort!
Seleccione una categora de normas de la Categora desplegable
para ver todas las reglas asignadas. Haga clic en
el icono en la extrema izquierda de una fila para cambiar el
estado de la regla, para cambiar de habilitada a
deshabilitada o desde deshabilitada a habilitada. El icono
cambiar de color para indicar las medidas adoptadas. En
la parte inferior de la pgina encontrar una leyenda que muestra
los cuatro colores de iconos utilizados para indicar
el estado actual de una regla.
-
Definir los servidores para proteger y mejorar el
rendimiento
-
Administrar los hosts bloqueados
La ficha Bloqueado (Blocked) muestra lo que los hosts que estn
siendo bloqueadas por Snort (cuando se selecciona
la opcin block offenders en la pestaa Configuracin de la
interfaz). Los host bloqueados se pueden borrar
automticamente por Snort cuando se selecciona uno de varios
intervalos predefinidos. Las opciones de bloqueo
para una interfaz se configuran en la ficha Configuracin de la
interfaz de Snort para la interfaz.
-
La gestin de las Pass List
Pasar Las listas son listas de direcciones IP que Snort nunca
debe bloquear. Estos pueden ser creados y gestionados
en la ficha Listas Pass. Cuando una direccin IP aparece en una
lista de Pass, Snort nunca insertar un bloque en esa direccin
aunque se detecte trfico malicioso.
Para crear una nueva Pass List, haga clic en . Para editar una
Pass List existente, haga clic en . Para eliminar
una Pass List, haga clic en . Tenga en cuenta que una Pass List
no se puede eliminar si est actualmente asignada a una o ms
interfaces de Snort.
Por defecto una Pass List se genera automticamente por Snort en
cada interfaz, y esta lista por defecto se utiliza cuando no se
especifica otra lista. Las Pass List se asignan a una interfaz en
la pestaa Configuracin de la interfaz.
Pass List personalizadas pueden ser creadas y asignadas a una
interfaz. Esto podra hacerse cuando existen hosts
externos de confianza que no se encuentra en las redes
conectadas directamente al servidor de seguridad. Para
agregar hosts externos de esta manera, primero crear un alias
bajo Firewall> Aliases y luego asignar ese alias en el
campo Assigned Aliases. En el ejemplo que se muestra a
continuacin, los alias "Friendly_ext_hosts" han sido
asignados. Este alias contendra las direcciones IP de los hosts
externos de confianza.
Al crear una Pass List personalizada, dejar todas las
direcciones IP generadas automticamente controladas en la
seccin de direcciones IP autogeneradas. No seleccionar las
casillas de verificacin en esta seccin puede conducir al
bloqueo de direcciones crticas, incluyendo las propias
interfaces del firewall. Esto podra resultar en que se cierre
la
puerta del propio servidor de seguridad en la red. Slo desmarcar
las casillas en esta seccin cuando sea absolutamente necesario.
-
Haga clic en el botn de ALIASES para abrir una ventana que
muestra los alias definidos previamente para la seleccin. Recuerde
hacer clic en GUARDAR para guardar los cambios.
NOTA: Recuerda que la simple creacin de una Pass List es slo el
primer paso! Debe seleccionarse yendo a la
pestaa Configuracin de la interfaz para la interfaz de Snort y
asignar la nueva Pass List que se cre, como se
muestra a continuacin. Despus de asignar y guardar la nueva Pass
List, reinicie Snort en la interfaz afectada para aplicar los
cambios.
-
Umbral de alerta y Supresin
Las Listas de supresin permiten el control de las alertas
generadas por las reglas de Snort. Cuando se suprime una
alerta, entonces Snort ya no registra una entrada de alerta (o
bloquea la direccin IP si block offenders est activado)
cuando una regla en particular se enciende. Snort no obstante
inspeccionar todo el trfico de la red nuevamente
para la regla, pero incluso cuando el trfico coincide con la
firma de la regla, no se generar ninguna alerta. Esto es
diferente de la desactivacin de una regla. Cuando una regla est
deshabilitada, Snort no intentara hacer coincidir en
ningn trfico de red. La Supresin de una regla que se podra hacer
en lugar de deshabilitar la regla cuando las
alertas slo debe ser detenida con base en el origen o destino de
la IP. Por ejemplo, para suprimir la alerta cuando el
trfico desde una direccin IP de confianza en particular es la
fuente. Si cualquier otro IP es el origen o destino del
trfico, la regla seguira activa. Para eliminar todas las alertas
de la regla, entonces es ms eficiente desactivar la
regla en lugar de suprimirla. La desactivacin de la regla la
eliminar de la lista de reglas de Snort y por lo tanto hace que el
trabajo que Snort tiene que hacer sea menor.
En la pgina de edicin de Suppress List, una nueva Suppress List
puede ser aadida o editarse manualmente. Por lo
general es ms fcil y ms rpido para agregar entradas de la
Suppress List haciendo clic mostrado en las
entradas de alerta en la pestaa Alerts. Recuerde hacer clic en
el botn SAVA para guardar los cambios al editar
manualmente entradas de la Suppress List.
-
Conocer las alertas
La pestaa Alerts es donde se pueden visualizar las alertas
generadas por Snort. Si Snort se ejecuta en ms de una interfaz,
seleccione la interfaz cuyas alertas necesite visualizar en el
selector desplegable instance to inspect.
Usa el botn de Download para descargar en un archivo tar gzip
que contiene todas las alertas registradas en la mquina local. El
botn Clear se usa para borrar el registro de alertas actual.
-
Detalles de Alerta
La columna Fecha muestra la fecha y la hora que se gener la
alerta. Las columnas restantes muestran los datos de la regla que
genera la alerta.
En las columnas Source y Destination los iconos y son para
realizar bsquedas de DNS inversas en las
direcciones IP, as como un icono utilizado para agregar
automticamente a Suppress List la entrada para la alerta
utilizando la direccin IP y el SID (firma ID). Esto evitar
futuras alertas que se generen por la regla para esa direccin
IP especfica solamente. Si cualquiera de las direcciones de
origen o destino est siendo bloqueada por Snort,
entonces un icono se mostrar. Al hacer clic en ese icono se
eliminar el bloque de la direccin IP.
La columna SID contiene dos iconos. El icono agregar
automticamente ese SID a la Suppress List para la interfaz
y suprimir futuras alertas de la firma para todas las
direcciones IP. El icono de la columna SID deshabilitar la
regla
y la eliminar del conjunto de reglas de cumplimiento. Cuando una
regla es desactivada manualmente, el icono en la
columna SID cambiar a .