Hola hoy vamos a instalar y configurar snort en Pfsense pero que es snort?, Snort es un Sistema de Detección de Intrusos (IDS). Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida
Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de dónde y cómo se produjo el ataque
Previamente a instalar Pfsense tendremos que crear un usuario en la pagina oficial de SNORT una vez dentro del panel administrador seleccionamos oinkcode esta sera nuestra llave para configurar mas adelante
![](https://techexperiencemx.com/wp-content/uploads/2022/03/snort-key-1.png)
Nos dirigimos : system / package manager / available packages buscamos snort instalamos
Nos dirigimos : services / snort / global settings
---snort oinkmaster code agregamos la lleve generada en la pagina snort
![](https://techexperiencemx.com/wp-content/uploads/2022/03/1-20.png)
![](https://techexperiencemx.com/wp-content/uploads/2022/03/2-3.png)
Nos dirigimos : services / snort / interfaces agregamos las interfaces que queramos que snort empiece a trabajar
Elegimos una interfaz y editamos con lápiz ejemplo yo seleccioné «Lan»
ahora nos movemos a «lan categories»
![](https://techexperiencemx.com/wp-content/uploads/2022/03/3-4.png)
Resolve flowbits : Enable Use IPS Policy : Enable IPS Policy Selection : "connectivity" estaya me funciona bien "Balanced" es la recomendada pero deberás tu de probar la que te convenga
Snort GPLv2 Community Rules (Talos certified) : Enable Enable Ruleset: ET Open Rules : te recomiendo habilitar todas las de esta linea Ruleset: Snort OPENAPPID Rules : te recomiendo habilitar todas las de esta linea
nos movemos : services / snort / lan interface-settings
enable : check enable interface Search Optimize : enable ahora vamos a Block Settings Block Offenders : Enable
![](https://techexperiencemx.com/wp-content/uploads/2022/03/4-4.png)
IPS MODE : legacy mode kill states : enable which ip to block : DST
regresamos a snort interfaces
![](https://techexperiencemx.com/wp-content/uploads/2022/03/5-2.png)
ahora habilitaremos modo bloqueo tendremos que prestarle mucha atención cuando lo habilitemos, en la sección de «Blocked» ya que empezara a bloquear ips (paginas) tendremos que ir agregando a la lista blanca las paginas que sean falsos positivos