Установка и настройка IDS/IPS SNORT в pfSense.
Русская ветка http://www.snortgroup.ru
В этой статье речь пойдет о системе обнаружения и предотвращения вторжений Snort. Давайте разберемся чем примечательна данная система и какую пользу может принести в «реальной среде».
Как написано на официальном сайте snort.org:
Snort является open source системой по обнаружению и предотвращению вторжений(IDS / IPS), разработанной Sourcefire. Сочетание таких преимуществ как сигнатурный анализ, анализ на основе протоколов и поведенческий анализ сделали Snort наиболее популярной IDS / IPS во всем мире. Миллионы загрузок и более 250000 зарегистрированных пользователей, Snort стал стандартом де-факто для IPS.
Если кратко, то Snort представляет собой приложение, которое проверяет ваш интернет трафик на наличие вредоносного контента. Последующие действия зависят уже от правил, созданных администратором. Snort в случае срабатывания одного из правил может пропустить трафик, заблокировать атакующего, послать уведомление администратору.
Для работы системы существуют минимальные и рекомендованные системные требования:
Минимальные требования - 256 Мб RAM, 500 МГц.
Рекомендуемые - 500 Мб RAM, 1 ГГц.
Установка Snort.
Переходим в веб-интерфейс управления Snort, затем в менеджер пакетов(System-Pakages). Находим пакет Snort и отмечаем плюсом для установки.
По завершению инсталляции откроем настройки установленного пакета(Services-Snort).
Бегло пробежимся по вкладке Settings:
-intarface интерфейс на которых Snort бедет контролировать трафик, в последних версиях появилась возможность «слушать» LAN и WAN одновременно.
-Memory Performance режим работы Snort в зависимости от объема оперативной памяти. До 256 мб. рекомендуется использовать режим lowmem, более 256 мб. - режим ac-bnfa (установленный по умолчанию и годится для большинства систем), ac большой объем оперативной памяти и высокая производительность, ac-std умеренный объем памяти и высокая производительность, acs мало памяти и умеренная производительность, ac-banded мало памяти и умеренная производительность, ac-sparsebands мало памяти и высокая производительность.
-Oinkmaster code специальный код, который дает зарегистрированным пользователям получать обновления Snort. Бесплатные подписчики получают обновление на 30 дней позже тех, кто оформил платную подписку. Платная подписка позволяет получать обновления незамедлительно и по мере их выхода.
-Snort.org subscriber отметить галочкой если вы являетесь платным подписчиком.
-Block Offenders автоматически блокировать хосты в ответ на срабатывание сигналов Snort.
-Remove Blocked hosts every промежуток времени через который правила блокировки хостов в pf удаляются.
-Update rules automatically временной промежуток, через который Snort обновляет свои правила.
-Whitelist VPNs automatically автоматически переносит в белый список все VPN сессии.
-Convert Snort alerts url to clickable links все ссылки в сигнале Snort автоматически делает «кликабельными».
-Associate events on Blocked tab автоматически ассоциировать причину блокировки с файлом сигнала.
-Install emergingthreats rules дополнительные правила от open source комьюнити.
Регистрация и обновление правил Snort.
Переходим на страницу регистрации и заполняем указанные поля(login,e-mail,password):
После регистрации входим в аккаунт:
Далее щелкаем по вкладке My account -
-Subscriptions and Oinckodes-My
-Oinckodes
-Generate code
Этот сгенерированный код нужно вставить в поле "Oinkmaster code" во вкладке
Global Settings настроек Snort.
Вместе с кодом проставляем все необходимые настройки.
Жмем Save и переходим во вкладку Update rules. Запустится процесс обновления правил. Здесь нужно сделать одно замечание, если вдруг во время скачки у вас произойдет обрыв соединения, следующая попытка скачать правила будет возможна только по истечении 15 минут.
После скачки и распаковки правил, переходим во вкладку Categories. Здесь включаем все правила которые удовлетворят нашим потребностям в безопасности. Но нужно помнить, что чем больше мы включим правил, тем большая нагрузка ложится на систему, поэтому рекомендуется включать отслеживание только того трафика, который представляет опасность, не больше не меньше. Отмечаем нужные правила и жмем Save.
Во вкладке Rules можно настраивать и отключать конкретные правила из разных категорий.
Вкладка Servers содержит IP адреса и порты серверов в вашей сети на которые Snort должен особо акцентировать внимание.
Во вкладке Blocked отображаются все заблокированные хосты, любой хост можно исключить из списка бана, просто нажав пиктограмму удаления рядом с IP адресом.
оригинал: тут