En este quinto capítulo sobre Pfsense (ver I, II, III y IV) se explicará la instalación y configuración de Snort, con el fin de incluir un NIDS en nuestro firewall.
Para instalar Snort en system > packages
Una vez instalado, en services > snort, se procede a su configuración:
-= Pestaña iface settings =-
Es donde se elige el lugar en el que Snort va a esnifar. wlan0 en caso de querer que actúe entre internet y la entrada del firewall, o ya si se quiere algo mas interno seria en opt1 para la DMZ o LAN para la red interna. En este caso para ver todo el tráfico hacia Internet lo mejor es elegir wlan0.
Respecto a la variable home_net y external_net se pueden dejar por defecto ya que home_net englobará a todas las direcciones IP internas y external_net a todas las que sean diferentes de home_net.
-= Pestaña WAN barnyard2 =-
Barnyard2 permite procesar los log de Snort e insertarlos en una base de datos externa:
En el apartado “MYSQL Database Output settings” es donde se configura el servidor MySQL externo, donde barnyard2 insertará los Log de Snort. Previamente en este servidor externo se debe crear la base de datos snort y dar permisos al usuario snort y a la dirección IP de Pfsense (192.168.1.2) para que pueda acceder a la bbdd:
mysql -u root -p CREATE DATABASE snort; grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on snort.* to snort@192.168.1.2 Set password for snort@192.168.1.2=PASSWORD('snortpass'); flush privileges;
y posteriormente crear el esquema de esta base de datos (se puede descargar desde aquí):
mysql -D snort -u root -p < ./schemas/create_mysql
-= Pestaña Global Settings =-
Las reglas de detección del IDS tienen un papel importante y en este apartado es donde se configuran. Para incluir las reglas VRT se debe incluir un código, que se consigue al registrarse en la web de Snort.
Al registrarse envían un correo con el enlace para entrar logeado en la web de snort.org, luego en nuestro perfil conseguimos el oinkcode.
-= Pestaña updates =-
Por último en la pestaña updates se procede a la descarga de las reglas:
-= Pestaña Suppress =-
Al igual que en el fichero threshold.conf de Snort, es aquí donde se puede limitar las alertas, por origen, destino,o por el numero de coincidencias en un determinado tiempo. Veamos un ejemplo:
Se tiene primero que buscar el sig_id (identificador único de cada regla), para poder limitar las alertas (para el ejemplo “1852”):
- No alertar cuando el origen sea 192.168.3.0/24.
- No alertar cuando el destino sea 192.168.1.10 y 192.168.1.11:
suppress gen_id 1, sig_id 1852, track by_src, ip [192.168.3.0/24] suppress gen_id 1, sig_id 1852, track by_dst, ip [192.168.1.10,192.168.1.11]
- Suprimir directamente toda la regla:
suppress gen_id 1, sig_id 1852
- Solo alertar de una de las alertas de la firma cada 3600 segundos:
event_filter gen_id 1, sig_id 1852, type limit, track by_src, count 1, seconds 3600
- Suprimir cualquier regla para un origen concreto:
suppress gen_id 1, sig_id 0, track by_src, ip [192.168.1.1]
Para mas información sobre las configuraciones, se puede visitar el siguiente link.
-= Pestaña Pass list y Blocked =-
En el caso de que Snort también funcione como IPS, es decir no solo alerte, sino que pueda bloquear, en estas dos pestañas se elige qué direcciones están exentas de bloqueo o cuáles bloquear. Por defecto las direcciones WAN, los gateway, servidores DNS, VPN, etc. están en la lista de no bloqueo.
Dentro de Services > snort > snort interfaces se edita (botón a la derecha con la letra “e”) en la pestaña WAN Categories:
Se pueden escoger qué reglas usar como se muestra en la imagen.
En la siguiente y última entrada de la serie sobre Pfsense veremos el tema de Squid como proxy HTTP. Espero que os haya parecido interesante.