snort portada

Snort

Hola hoy vamos a instalar y configurar snort en Pfsense pero que es snort?, Snort es un Sistema de Detección de Intrusos (IDS). Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida

Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de dónde y cómo se produjo el ataque

Previamente a instalar Pfsense tendremos que crear un usuario en la pagina oficial de SNORT una vez dentro del panel administrador seleccionamos oinkcode esta sera nuestra llave para configurar mas adelante

Nos dirigimos : system / package manager / available packages buscamos snort instalamos 
Nos dirigimos : services / snort / global settings
---snort oinkmaster code


agregamos la lleve generada en la pagina snort

Nos dirigimos : services / snort / interfaces


agregamos las interfaces que queramos que snort empiece a trabajar 

Elegimos una interfaz y editamos con lápiz ejemplo yo seleccioné “Lan”

ahora nos movemos a “lan categories”

Resolve flowbits :  Enable



Use IPS Policy :  Enable



IPS Policy Selection : "connectivity"    estaya me funciona bien 


                       "Balanced" es la recomendada pero deberás tu de probar la que te convenga 

Snort GPLv2 Community Rules (Talos certified) : Enable



Enable	Ruleset: ET Open Rules : te recomiendo habilitar todas las de esta linea



Ruleset: Snort OPENAPPID Rules : te recomiendo habilitar todas las de esta linea

nos movemos : services / snort / lan interface-settings

enable : check enable interface 


Search Optimize : enable


ahora vamos a Block Settings


Block Offenders :  Enable 

IPS MODE :  legacy mode


kill states : enable


which ip to block : DST

regresamos a snort interfaces

ahora habilitaremos modo bloqueo boton snort tendremos que prestarle mucha atención cuando lo habilitemos, en la sección de “Blocked” ya que empezara a bloquear ips (paginas) tendremos que ir agregando a la lista blanca las paginas que sean falsos positivos

Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *