Manual de Instalacin y configuracin de Snort en el firewall PFsense.

Arian Molina Aguilera.

Snort es un sistema de prevencin y deteccin de intrusos. Se puede configurar para que simplemente registrar

eventos y alertas de red detectados y/o bloquear las amenazas. Este paquete est disponible para instalar desde System> Packages.

Requerimiento tener agregado en System>Advanced>Misselaneas, El proxy del nodo con su respectivo usuario y

contrasea para la autenticacin en el mismo, y se pueda descargar el paquete desde el mirror oficial de pfsense en internet.

Snort funciona con firmas de deteccin llamadas reglas. Las reglas se pueden crear para requisitos particulares por el

usuario, o se pueden habilitar cualquiera de los diversos conjuntos de reglas pre-empacadas y para su descarga. El

paquete de Snort actualmente ofrece soporte para estas reglas preempacadas: (1) Reglas Snort VRT (Vulnerability

Research Team), (2) Reglas Snort GPLv2 de la Comunidad, (3) Reglas Emerging Threats Open, y (4) Reglas Emerging

Threats Open Pro. Las reglas GPLv2 de la Comunidad de Snort y las Emerging Threats Open son ambas disponibles de

forma gratuita, sin registro requerido. Las reglas de Snort VRT se ofrecen en dos formas. Una de ellas es una versin

de usuario registrado que es gratuito, pero requiere inscripcin en http://www.snort.org . La versin gratuita-usuario registrado slo proporciona acceso a las reglas que son actualizadas cada 30 das.

Lanzamiento de GUI de configuracin de Snort

Para iniciar la aplicacin de configuracin de Snort, vaya a Services> Snort en el men en pfSense.

Configurar paquete Snort por primera vez

Haga clic en la ficha Configuracin global (Global Settings) y permitir las descargas de conjuntos de reglas para su

uso. Si se comprueban ya sea el Snort VRT o Amenazas Emergentes reglas Pro, un cuadro de texto se mostrar a

introducir el cdigo de suscriptor nico obtenido con la suscripcin o registro.Ms de un conjunto de reglas puede

estar habilitado para su descarga, pero tenga en cuenta las siguientes advertencias. Si una suscripcin de pago est

disponible para las reglas de Snort VRT, a continuacin, todas las reglas de Snort GPLv2 comunitarias se incluyen

automticamente en el archivo descargado con las reglas de Snort VRT; por lo tanto, no permiten las normas

comunitarias GPLv2 si una cuenta de suscriptor de pago se utiliza para las reglas de Snort VRT. Todas las reglas

Emerging Threats Open se incluyen dentro de la suscripcin de pago para las reglas Emerging Threats Open Pro. Si se habilitan las reglas Emerging Threats Open Pro, las Emerging Threats Open se desactivan automticamente.

Una vez que los conjuntos de reglas deseadas estn habilitados, al lado establecer el intervalo de Snort para

comprobar si hay actualizaciones de los paquetes de reglas habilitadas. Utilice el desplegable Intervalo de

actualizacin (Update Interval) para elegir un intervalo de actualizacin de reglas. En la mayora de los casos

cada 12 horas es una buena opcin. La actualizacin de la hora de inicio puede ser personalizado si lo

desea. Introduzca el tiempo en horas y minutos en formato de 24 horas. La hora de inicio por defecto es

de 3 minutos despus de la medianoche hora local. As, con un intervalo de 12 -horas actualizacin seleccionada,

Snort comprobar la Snort VRT o emergentes Amenazas sitios web a los 3 minutos despus de la medianoche y 3 minutos despus del medioda de cada da para las actualizaciones de paquetes de reglas publicadas.

Actualizacin de las reglas.

La pestaa Updates (Actualizaciones) se utiliza para comprobar el estado de los paquetes descargados reglas y

descargar nuevas actualizaciones. La tabla muestra los paquetes de reglas disponibles y su estado actual (no est

activado, no descargado, o una suma de control MD5 vlida y la fecha). En la primera imagen de abajo, anote el

Snort VRT y Amenazas Emergentes paquetes de reglas abierto estn habilitadas, pero an no se han descargado. Las

reglas de Snort GPLv2 comunitarios no estn habilitadas. El estado habilitado / inhabilitado paquetes de reglas puede activarse de nuevo en la ficha Global Settings.

Haga clic en el botn CHECK para comprobar si hay actualizaciones de paquetes regla. Si hay un conjunto nuevo de

reglas envasados en el sitio web del proveedor, ser descargado e instalado. La determinacin se realiza

comparando el MD5 del archivo local con la del archivo remoto en el sitio web del proveedor. Si hay una

discrepancia, un nuevo archivo se descarga. El botn FORCE se puede utilizar la descarga de los paquetes de reglas

desde el sitio web del proveedor para forzar que sean las pruebas de hash MD5 cabo.

En la pantalla de abajo, las Snort VRT y Emerging Threats Open se han descargado correctamente. Se muestran el

hash MD5 calculado y la fecha de descarga de archivos y el tiempo. Tambin tenga en cuenta el ltimo tiempo de actualizacin y el resultado se muestra en el centro de la pgina.

Aadir una interfaz a Snort.

Haga clic en la pestaa Snort Interfaces y luego el icono para agregar una nueva interfaz de Snort.

Una nueva pestaa Configuracin de la interfaz se abrir con la siguiente interfaz disponible seleccionada

automticamente. La seleccin de la interfaz se puede cambiar utilizando la interfaz desplegable si se desea. Un

nombre descriptivo tambin se puede proporcionar para la interfaz. Otros parmetros de la interfaz tambin se

pueden establecer en esta pgina. Asegrese de hacer clic en el botn SAVE abajo en la parte inferior de la pgina cuando haya terminado para guardar los cambios.

Despus de guardar, el navegador nos volver a la pestaa Snort Interfaces. Tenga en cuenta los iconos de

advertencia en la imagen de abajo muestra hay reglas han sido seleccionados para la nueva interfaz de Snort. Esas

reglas se configurarn siguiente. Haga clic en la icono (que se muestra resaltado con un recuadro rojo en la imagen de abajo) para editar la nueva interfaz de Snort nuevamente.

Seleccione qu tipos de reglas protegern la red

Haga clic en la pestaa Categoras (Categories) para la nueva interfaz.

Si se obtiene un cdigo de Snort VRT Oinkmaster (registrndonos libremente como usuario en el sitio web del snort),

permiti a las reglas de Snort VRT, y entr el cdigo Oinkmaster en la ficha Configuracin global entonces la opcin

de escoger entre tres polticas preconfiguradas IPS est disponible . Estas simplifican en gran medida el proceso de

eleccin de reglas para inspeccionar el trfico por Snort . Las polticas de IPS slo estn disponibles cuando se habilitan las reglas de Snort VRT.

Las tres polticas Snort VRT IPS son: (1) Conectividad (2) Equilibrado y (3) Seguridad. Estos se enumeran en orden

creciente de la seguridad. Sin embargo, se resisten a la tentacin de saltar inmediatamente a la poltica de

seguridad ms segura si Snort es desconocido. Los falsos positivos pueden ocurrir con frecuencia con las polticas

ms seguras, y una cuidadosa puesta a punto por un administrador con experiencia puede ser requerida. As que si

Snort es desconocida, a continuacin, utilizando la poltica de conectividad menos restrictiva en modo no-bloqueo se

recomienda como punto de partida. Una vez que la experiencia con Snort se ha ganado en este entorno de red, modo de bloqueo se puede activar y luego subir a las polticas ms restrictivas IPS.

Si no se habilitaron las reglas Snort VRT, o si alguno de los otros paquetes de reglas se va a utilizar, a continuacin, hacer la categora regla selecciones marcando las casillas de verificacin junto a las categoras de reglas para su uso.

Asegrese de hacer clic en Guardar cuando haya terminado para guardar la seleccin y construir el archivo de reglas de utilizar Snort.

Iniciando Snort en la interfaz creada.

Haga clic en la pestaa Snort Interfaces para visualizar las interfaces configuradas en Snort. Haga clic en el

icono (que se muestra resaltado con un recuadro rojo en la imagen de abajo) para iniciar Snort en la interfaz.

Tomar varios segundos para que Snort inicie. Una vez que se ha iniciado, el icono cambiar a Como se muestra

abajo. Para detener una instancia de Snort que se ejecuta en una interfaz, haga clic en el icono.

Seleccione qu tipos de firmas protegern la red

Haga clic en la ficha Reglas (Rules) para la interfaz para configurar reglas individuales en las categoras

habilitadas. En general, esta pgina slo se utiliza para desactivar reglas particulares que pueden estar generando

demasiados falsos positivos en un entorno de red particular. Asegrese que de hecho sean realmente falsos positivos antes de dar el paso de desactivar una regla de Snort!

Seleccione una categora de normas de la Categora desplegable para ver todas las reglas asignadas. Haga clic en

el icono en la extrema izquierda de una fila para cambiar el estado de la regla, para cambiar de habilitada a

deshabilitada o desde deshabilitada a habilitada. El icono cambiar de color para indicar las medidas adoptadas. En

la parte inferior de la pgina encontrar una leyenda que muestra los cuatro colores de iconos utilizados para indicar

el estado actual de una regla.

Definir los servidores para proteger y mejorar el rendimiento

Administrar los hosts bloqueados

La ficha Bloqueado (Blocked) muestra lo que los hosts que estn siendo bloqueadas por Snort (cuando se selecciona

la opcin block offenders en la pestaa Configuracin de la interfaz). Los host bloqueados se pueden borrar

automticamente por Snort cuando se selecciona uno de varios intervalos predefinidos. Las opciones de bloqueo

para una interfaz se configuran en la ficha Configuracin de la interfaz de Snort para la interfaz.

La gestin de las Pass List

Pasar Las listas son listas de direcciones IP que Snort nunca debe bloquear. Estos pueden ser creados y gestionados

en la ficha Listas Pass. Cuando una direccin IP aparece en una lista de Pass, Snort nunca insertar un bloque en esa direccin aunque se detecte trfico malicioso.

Para crear una nueva Pass List, haga clic en . Para editar una Pass List existente, haga clic en . Para eliminar

una Pass List, haga clic en . Tenga en cuenta que una Pass List no se puede eliminar si est actualmente asignada a una o ms interfaces de Snort.

Por defecto una Pass List se genera automticamente por Snort en cada interfaz, y esta lista por defecto se utiliza cuando no se especifica otra lista. Las Pass List se asignan a una interfaz en la pestaa Configuracin de la interfaz.

Pass List personalizadas pueden ser creadas y asignadas a una interfaz. Esto podra hacerse cuando existen hosts

externos de confianza que no se encuentra en las redes conectadas directamente al servidor de seguridad. Para

agregar hosts externos de esta manera, primero crear un alias bajo Firewall> Aliases y luego asignar ese alias en el

campo Assigned Aliases. En el ejemplo que se muestra a continuacin, los alias "Friendly_ext_hosts" han sido

asignados. Este alias contendra las direcciones IP de los hosts externos de confianza.

Al crear una Pass List personalizada, dejar todas las direcciones IP generadas automticamente controladas en la

seccin de direcciones IP autogeneradas. No seleccionar las casillas de verificacin en esta seccin puede conducir al

bloqueo de direcciones crticas, incluyendo las propias interfaces del firewall. Esto podra resultar en que se cierre la

puerta del propio servidor de seguridad en la red. Slo desmarcar las casillas en esta seccin cuando sea absolutamente necesario.

Haga clic en el botn de ALIASES para abrir una ventana que muestra los alias definidos previamente para la seleccin. Recuerde hacer clic en GUARDAR para guardar los cambios.

NOTA: Recuerda que la simple creacin de una Pass List es slo el primer paso! Debe seleccionarse yendo a la

pestaa Configuracin de la interfaz para la interfaz de Snort y asignar la nueva Pass List que se cre, como se

muestra a continuacin. Despus de asignar y guardar la nueva Pass List, reinicie Snort en la interfaz afectada para aplicar los cambios.

Umbral de alerta y Supresin

Las Listas de supresin permiten el control de las alertas generadas por las reglas de Snort. Cuando se suprime una

alerta, entonces Snort ya no registra una entrada de alerta (o bloquea la direccin IP si block offenders est activado)

cuando una regla en particular se enciende. Snort no obstante inspeccionar todo el trfico de la red nuevamente

para la regla, pero incluso cuando el trfico coincide con la firma de la regla, no se generar ninguna alerta. Esto es

diferente de la desactivacin de una regla. Cuando una regla est deshabilitada, Snort no intentara hacer coincidir en

ningn trfico de red. La Supresin de una regla que se podra hacer en lugar de deshabilitar la regla cuando las

alertas slo debe ser detenida con base en el origen o destino de la IP. Por ejemplo, para suprimir la alerta cuando el

trfico desde una direccin IP de confianza en particular es la fuente. Si cualquier otro IP es el origen o destino del

trfico, la regla seguira activa. Para eliminar todas las alertas de la regla, entonces es ms eficiente desactivar la

regla en lugar de suprimirla. La desactivacin de la regla la eliminar de la lista de reglas de Snort y por lo tanto hace que el trabajo que Snort tiene que hacer sea menor.

En la pgina de edicin de Suppress List, una nueva Suppress List puede ser aadida o editarse manualmente. Por lo

general es ms fcil y ms rpido para agregar entradas de la Suppress List haciendo clic mostrado en las

entradas de alerta en la pestaa Alerts. Recuerde hacer clic en el botn SAVA para guardar los cambios al editar

manualmente entradas de la Suppress List.

Conocer las alertas

La pestaa Alerts es donde se pueden visualizar las alertas generadas por Snort. Si Snort se ejecuta en ms de una interfaz, seleccione la interfaz cuyas alertas necesite visualizar en el selector desplegable instance to inspect.

Usa el botn de Download para descargar en un archivo tar gzip que contiene todas las alertas registradas en la mquina local. El botn Clear se usa para borrar el registro de alertas actual.

Detalles de Alerta

La columna Fecha muestra la fecha y la hora que se gener la alerta. Las columnas restantes muestran los datos de la regla que genera la alerta.

En las columnas Source y Destination los iconos y son para realizar bsquedas de DNS inversas en las

direcciones IP, as como un icono utilizado para agregar automticamente a Suppress List la entrada para la alerta

utilizando la direccin IP y el SID (firma ID). Esto evitar futuras alertas que se generen por la regla para esa direccin

IP especfica solamente. Si cualquiera de las direcciones de origen o destino est siendo bloqueada por Snort,

entonces un icono se mostrar. Al hacer clic en ese icono se eliminar el bloque de la direccin IP.

La columna SID contiene dos iconos. El icono agregar automticamente ese SID a la Suppress List para la interfaz

y suprimir futuras alertas de la firma para todas las direcciones IP. El icono de la columna SID deshabilitar la regla

y la eliminar del conjunto de reglas de cumplimiento. Cuando una regla es desactivada manualmente, el icono en la

columna SID cambiar a .