Установка и настройка IDS/IPS SNORT в pfSense.

Русская ветка http://www.snortgroup.ru

 

В этой статье речь пойдет о системе обнаружения и предотвращения вторжений Snort. Давайте разберемся чем примечательна данная система и какую пользу может принести в «реальной среде».
Как написано на официальном сайте snort.org:
Snort является open source системой по обнаружению и предотвращению вторжений(IDS / IPS), разработанной Sourcefire. Сочетание таких преимуществ как сигнатурный анализ, анализ на основе протоколов и поведенческий анализ сделали Snort наиболее популярной IDS / IPS во всем мире. Миллионы загрузок и более 250000 зарегистрированных пользователей, Snort стал стандартом де-факто для IPS.


Если кратко, то Snort представляет собой приложение, которое проверяет ваш интернет трафик на наличие вредоносного контента. Последующие действия зависят уже от правил, созданных администратором. Snort в случае срабатывания одного из правил может пропустить трафик, заблокировать атакующего, послать уведомление администратору.
Для работы системы существуют минимальные и рекомендованные системные требования:
Минимальные требования - 256 Мб RAM, 500 МГц.
Рекомендуемые - 500 Мб RAM, 1 ГГц.

Установка Snort.

Переходим в веб-интерфейс управления Snort, затем в менеджер пакетов(System-Pakages). Находим пакет Snort и отмечаем плюсом для установки.

snortpakage

По завершению инсталляции откроем настройки установленного пакета(Services-Snort).

snortsettings

Бегло пробежимся по вкладке Settings:

-intarface интерфейс на которых Snort бедет контролировать трафик, в последних версиях появилась возможность «слушать» LAN и WAN одновременно.

-Memory Performance режим работы Snort в зависимости от объема оперативной памяти. До 256 мб. рекомендуется использовать режим lowmem, более 256 мб. - режим ac-bnfa (установленный по умолчанию и годится для большинства систем), ac большой объем оперативной памяти и высокая производительность, ac-std умеренный объем памяти и высокая производительность, acs мало памяти и умеренная производительность, ac-banded мало памяти и умеренная производительность, ac-sparsebands мало памяти и высокая производительность.

-Oinkmaster code специальный код, который дает зарегистрированным пользователям получать обновления Snort. Бесплатные подписчики получают обновление на 30 дней позже тех, кто оформил платную подписку. Платная подписка позволяет получать обновления незамедлительно и по мере их выхода.

-Snort.org subscriber отметить галочкой если вы являетесь платным подписчиком.

-Block Offenders автоматически блокировать хосты в ответ на срабатывание сигналов Snort.

-Remove Blocked hosts every промежуток времени через который правила блокировки хостов в pf удаляются.

-Update rules automatically временной промежуток, через который Snort обновляет свои правила.

-Whitelist VPNs automatically автоматически переносит в белый список все VPN сессии.

-Convert Snort alerts url to clickable links все ссылки в сигнале Snort автоматически делает «кликабельными».

-Associate events on Blocked tab автоматически ассоциировать причину блокировки с файлом сигнала.

-Install emergingthreats rules дополнительные правила от open source комьюнити.

Регистрация и обновление правил Snort.

Переходим на страницу регистрации и заполняем указанные поля(login,e-mail,password):

https://www.snort.org/signup

После регистрации входим в аккаунт:

https://www.snort.org/login

Далее щелкаем по вкладке My account -

-Subscriptions and Oinckodes-My

-Oinckodes

-Generate code

 

Этот сгенерированный код нужно вставить в поле "Oinkmaster code" во вкладке

Global Settings настроек Snort.

generatecode

Вместе с кодом проставляем все необходимые настройки.

settingssnort

Жмем Save и переходим во вкладку Update rules. Запустится процесс обновления правил. Здесь нужно сделать одно замечание, если вдруг во время скачки у вас произойдет обрыв соединения, следующая попытка скачать правила будет возможна только по истечении 15 минут.

updaterules

После скачки и распаковки правил, переходим во вкладку Categories. Здесь включаем все правила которые удовлетворят нашим потребностям в безопасности. Но нужно помнить, что чем больше мы включим правил, тем большая нагрузка ложится на систему, поэтому рекомендуется включать отслеживание только того трафика, который представляет опасность, не больше не меньше. Отмечаем нужные правила и жмем Save.

Во вкладке Rules можно настраивать и отключать конкретные правила из разных категорий.

Вкладка Servers содержит IP адреса и порты серверов в вашей сети на которые Snort должен особо акцентировать внимание.

Во вкладке Blocked отображаются все заблокированные хосты, любой хост можно исключить из списка бана, просто нажав пиктограмму удаления рядом с IP адресом.

 

оригинал: тут