Manual de Instalacin y configuracin de Snort en el firewall PFsense.

Arian Molina Aguilera.

Snort es un sistema de prevencin y deteccin de intrusos. Se puede configurar para que simplemente registrar
eventos y alertas de red detectados y/o bloquear las amenazas. Este paquete est disponible para instalar
desde System> Packages.
Requerimiento tener agregado en System>Advanced>Misselaneas, El proxy del nodo con su respectivo usuario y
contrasea para la autenticacin en el mismo, y se pueda descargar el paquete desde el mirror oficial de pfsense en
internet.
Snort funciona con firmas de deteccin llamadas reglas. Las reglas se pueden crear para requisitos particulares por el
usuario, o se pueden habilitar cualquiera de los diversos conjuntos de reglas pre-empacadas y para su descarga. El
paquete de Snort actualmente ofrece soporte para estas reglas preempacadas: (1) Reglas Snort VRT (Vulnerability
Research Team), (2) Reglas Snort GPLv2 de la Comunidad, (3) Reglas Emerging Threats Open, y (4) Reglas Emerging
Threats Open Pro. Las reglas GPLv2 de la Comunidad de Snort y las Emerging Threats Open son ambas disponibles de
forma gratuita, sin registro requerido. Las reglas de Snort VRT se ofrecen en dos formas. Una de ellas es una versin
de usuario registrado que es gratuito, pero requiere inscripcin en http://www.snort.org . La versin gratuitausuario registrado slo proporciona acceso a las reglas que son actualizadas cada 30 das.

Lanzamiento de GUI de configuracin de Snort

Para iniciar la aplicacin de configuracin de Snort, vaya a Services> Snort en el men en pfSense.

Configurar paquete Snort por primera vez

Haga clic en la ficha Configuracin global (Global Settings) y permitir las descargas de conjuntos de reglas para su
uso. Si se comprueban ya sea el Snort VRT o Amenazas Emergentes reglas Pro, un cuadro de texto se mostrar a
introducir el cdigo de suscriptor nico obtenido con la suscripcin o registro.Ms de un conjunto de reglas puede
estar habilitado para su descarga, pero tenga en cuenta las siguientes advertencias. Si una suscripcin de pago est
disponible para las reglas de Snort VRT, a continuacin, todas las reglas de Snort GPLv2 comunitarias se incluyen
automticamente en el archivo descargado con las reglas de Snort VRT; por lo tanto, no permiten las normas
comunitarias GPLv2 si una cuenta de suscriptor de pago se utiliza para las reglas de Snort VRT. Todas las reglas
Emerging Threats Open se incluyen dentro de la suscripcin de pago para las reglas Emerging Threats Open Pro. Si se
habilitan las reglas Emerging Threats Open Pro, las Emerging Threats Open se desactivan automticamente.

Una vez que los conjuntos de reglas deseadas estn habilitados, al lado establecer el intervalo de Snort para
comprobar si hay actualizaciones de los paquetes de reglas habilitadas. Utilice el desplegable Intervalo de
actualizacin (Update Interval) para elegir un intervalo de actualizacin de reglas. En la mayora de los casos
cada 12 horas es una buena opcin. La actualizacin de la hora de inicio puede ser personalizado si lo
desea. Introduzca el tiempo en horas y minutos en formato de 24 horas. La hora de inicio por defecto es
de 3 minutos despus de la medianoche hora local. As, con un intervalo de 12 -horas actualizacin seleccionada,
Snort comprobar la Snort VRT o emergentes Amenazas sitios web a los 3 minutos despus de la medianoche y 3
minutos despus del medioda de cada da para las actualizaciones de paquetes de reglas publicadas.

Actualizacin de las reglas.

La pestaa Updates (Actualizaciones) se utiliza para comprobar el estado de los paquetes descargados reglas y
descargar nuevas actualizaciones. La tabla muestra los paquetes de reglas disponibles y su estado actual (no est
activado, no descargado, o una suma de control MD5 vlida y la fecha). En la primera imagen de abajo, anote el
Snort VRT y Amenazas Emergentes paquetes de reglas abierto estn habilitadas, pero an no se han descargado. Las
reglas de Snort GPLv2 comunitarios no estn habilitadas. El estado habilitado / inhabilitado paquetes de reglas
puede activarse de nuevo en la ficha Global Settings.

Haga clic en el botn CHECK para comprobar si hay actualizaciones de paquetes regla. Si hay un conjunto nuevo de
reglas envasados en el sitio web del proveedor, ser descargado e instalado. La determinacin se realiza
comparando el MD5 del archivo local con la del archivo remoto en el sitio web del proveedor. Si hay una
discrepancia, un nuevo archivo se descarga. El botn FORCE se puede utilizar la descarga de los paquetes de reglas
desde el sitio web del proveedor para forzar que sean las pruebas de hash MD5 cabo.

En la pantalla de abajo, las Snort VRT y Emerging Threats Open se han descargado correctamente. Se muestran el
hash MD5 calculado y la fecha de descarga de archivos y el tiempo. Tambin tenga en cuenta el ltimo tiempo de
actualizacin y el resultado se muestra en el centro de la pgina.

Aadir una interfaz a Snort.

Haga clic en la pestaa Snort Interfaces y luego el

icono para agregar una nueva interfaz de Snort.

Una nueva pestaa Configuracin de la interfaz se abrir con l a siguiente interfaz disponible seleccionada
automticamente. La seleccin de la interfaz se puede cambiar utilizando la interfaz desplegable si se desea. Un
nombre descriptivo tambin se puede proporcionar para la interfaz. Otros parmetros de la interfaz tambin se
pueden establecer en esta pgina. Asegrese de hacer clic en el botn SAVE abajo en la parte inferior de la pgina
cuando haya terminado para guardar los cambios.

Despus de guardar, el navegador nos volver a la pestaa Snort Interfaces. Tenga en cuenta los iconos de
advertencia en la imagen de abajo muestra hay reglas han sido seleccionados para la nueva interfaz de Snort. Esas
reglas se configurarn siguiente. Haga clic en la
icono (que se muestra resaltado con un recuadro rojo en la
imagen de abajo) para editar la nueva interfaz de Snort nuevamente.

Seleccione qu tipos de reglas protegern la red

Haga clic en la pestaa Categoras (Categories) para la nueva interfaz.
Si se obtiene un cdigo de Snort VRT Oinkmaster (registrndonos libremente como usuario en el sitio web del snort),
permiti a las reglas de Snort VRT, y entr el cdigo Oinkmaster en la ficha Configuracin global entonces la opcin
de escoger entre tres polticas preconfiguradas IPS est disponible . Estas simplifican en gran medida el proceso de
eleccin de reglas para inspeccionar el trfico por Snort . Las polticas de IPS slo estn disponibles cuando se
habilitan las reglas de Snort VRT.
Las tres polticas Snort VRT IPS son: (1) Conectividad (2) Equilibrado y (3) Seguridad. Estos se enumeran en orden
creciente de la seguridad. Sin embargo, se resisten a la tentacin de saltar inmediatamente a la poltica de
seguridad ms segura si Snort es desconocido. Los falsos positivos pueden ocurrir con frecuencia con las polticas
ms seguras, y una cuidadosa puesta a punto por un administrador con experiencia puede ser requerida. As que si
Snort es desconocida, a continuacin, utilizando la poltica de conectividad menos restrictiva en modo no-bloqueo se
recomienda como punto de partida. Una vez que la experiencia con Snort se ha ganado en este entorno de red,
modo de bloqueo se puede activar y luego subir a las polticas ms restrictivas IPS.

Si no se habilitaron las reglas Snort VRT, o si alguno de los otros paquetes de reglas se va a utilizar, a continuacin,
hacer la categora regla selecciones marcando las casillas de verificacin junto a las categoras de reglas para su uso.

Asegrese de hacer clic en Guardar cuando haya terminado para guardar la seleccin y construir el archivo de reglas
de utilizar Snort.

Iniciando Snort en la interfaz creada.

Haga clic en la pestaa Snort Interfaces para visualizar las interfaces configuradas en Snort. Haga clic en el
icono

(que se muestra resaltado con un recuadro rojo en la imagen de abajo) para iniciar Snort en la interfaz.

Tomar varios segundos para que Snort inicie. Una vez que se ha iniciado, el icono cambiar a
abajo. Para detener una instancia de Snort que se ejecuta en una interfaz, haga clic en el

Como se muestra

icono.

Seleccione qu tipos de firmas protegern la red

Haga clic en la ficha Reglas (Rules) para la interfaz para configurar reglas individuales en las categoras
habilitadas. En general, esta pgina slo se utiliza para desactivar reglas particulares que pueden estar generando
demasiados falsos positivos en un entorno de red particular. Asegrese que de hecho sean realmente falsos
positivos antes de dar el paso de desactivar una regla de Snort!
Seleccione una categora de normas de la Categora desplegable para ver todas las reglas asignadas. Haga clic en
el icono en la extrema izquierda de una fila para cambiar el estado de la regla, para cambiar de habilitada a
deshabilitada o desde deshabilitada a habilitada. El icono cambiar de color para indicar las medidas adoptadas. En
la parte inferior de la pgina encontrar una leyenda que muestra los cuatro colores de iconos utilizados para indicar
el estado actual de una regla.

Definir los servidores para proteger y mejorar el rendimiento

Administrar los hosts bloqueados

La ficha Bloqueado (Blocked) muestra lo que los hosts que estn siendo bloqueadas por Snort (cuando se selecciona
la opcin block offenders en la pestaa Configuracin de la interfaz). Los host bloqueados se pueden borrar
automticamente por Snort cuando se selecciona uno de varios intervalos predefinidos. Las opciones de bloqueo
para una interfaz se configuran en la ficha Configuracin de la interfaz de Snort para la interfaz.

La gestin de las Pass List

Pasar Las listas son listas de direcciones IP que Snort nunca debe bloquear. Estos pueden ser creados y gestionados
en la ficha Listas Pass. Cuando una direccin IP aparece en una lista de Pass, Snort nunca insertar un bloque en esa
direccin aunque se detecte trfico malicioso.
Para crear una nueva Pass List, haga clic en

. Para editar una Pass List existente, haga clic en

. Para eliminar

una Pass List, haga clic en

. Tenga en cuenta que una Pass List no se puede eliminar si est actualmente asignada
a una o ms interfaces de Snort.

Por defecto una Pass List se genera automticamente por Snort en cada interfaz, y esta lista por defecto se utiliza
cuando no se especifica otra lista. Las Pass List se asignan a una interfaz en la pestaa Configuracin de la interfaz.
Pass List personalizadas pueden ser creadas y asignadas a una interfaz. Esto podra hacerse cuando existen hosts
externos de confianza que no se encuentra en las redes conectadas directamente al servidor de seguridad. Para
agregar hosts externos de esta manera, primero crear un alias bajo Firewall> Aliases y luego asignar ese alias en el
campo Assigned Aliases. En el ejemplo que se muestra a continuacin, los alias "Friendly_ext_hosts" han sido
asignados. Este alias contendra las direcciones IP de los hosts externos de confianza.
Al crear una Pass List personalizada, dejar todas las direcciones IP generadas automticamente controladas en la
seccin de direcciones IP autogeneradas. No seleccionar las casillas de verificacin en esta seccin puede conducir al
bloqueo de direcciones crticas, incluyendo las propias interfaces del firewall. Esto podra resultar en que se cierre la
puerta del propio servidor de seguridad en la red. Slo desmarcar las casillas en esta seccin cuando sea
absolutamente necesario.

Haga clic en el botn de ALIASES para abrir una ventana que muestra los alias definidos previamente para la
seleccin. Recuerde hacer clic en GUARDAR para guardar los cambios.
NOTA: Recuerda que la simple creacin de una Pass List es slo el primer paso! Debe seleccionarse yendo a la
pestaa Configuracin de la interfaz para la interfaz de Snort y asignar la nueva Pass List que se cre, como se
muestra a continuacin. Despus de asignar y guardar la nueva Pass List, reinicie Snort en la interfaz afectada para
aplicar los cambios.

Umbral de alerta y Supresin

Las Listas de supresin permiten el control de las alertas generadas por las reglas de Snort. Cuando se suprime una
alerta, entonces Snort ya no registra una entrada de alerta (o bloquea la direccin IP si block offenders est activado)
cuando una regla en particular se enciende. Snort no obstante inspeccionar todo el trfico de la red nuevamente
para la regla, pero incluso cuando el trfico coincide con la firma de la regla, no se generar ninguna alerta. Esto es
diferente de la desactivacin de una regla. Cuando una regla est deshabilitada, Snort no intentara hacer coincidir en
ningn trfico de red. La Supresin de una regla que se podra hacer en lugar de deshabilitar la regla cuando las
alertas slo debe ser detenida con base en el origen o destino de la IP. Por ejemplo, para suprimir la alerta cuando el
trfico desde una direccin IP de confianza en particular es la fuente. Si cualquier otro IP es el origen o destino del
trfico, la regla seguira activa. Para eliminar todas las alertas de la regla, entonces es ms eficiente desactivar la
regla en lugar de suprimirla. La desactivacin de la regla la eliminar de la lista de reglas de Snort y por lo tanto hace
que el trabajo que Snort tiene que hacer sea menor.

En la pgina de edicin de Suppress List, una nueva Suppress List puede ser aadida o editarse manualmente. Por lo
general es ms fcil y ms rpido para agregar entradas de la Suppress List haciendo clic
mostrado en las
entradas de alerta en la pestaa Alerts. Recuerde hacer clic en el botn SAVA para guardar los cambios al editar
manualmente entradas de la Suppress List.

Conocer las alertas

La pestaa Alerts es donde se pueden visualizar las alertas generadas por Snort. Si Snort se ejecuta en ms de una
interfaz, seleccione la interfaz cuyas alertas necesite visualizar en el selector desplegable instance to inspect.
Usa el botn de Download para descargar en un archivo tar gzip que contiene todas las alertas registradas en la
mquina local. El botn Clear se usa para borrar el registro de alertas actual.

Detalles de Alerta

La columna Fecha muestra la fecha y la hora que se gener la alerta. Las columnas restantes muestran los datos de
la regla que genera la alerta.
En las columnas Source y Destination los iconos y son para realizar bsquedas de DNS inversas en las
direcciones IP, as como un icono utilizado para agregar automticamente a Suppress List la entrada para la alerta
utilizando la direccin IP y el SID (firma ID). Esto evitar futuras alertas que se generen por la regla para esa direccin
IP especfica solamente. Si cualquiera de las direcciones de origen o destino est siendo bloqueada por Snort,
entonces un icono se mostrar. Al hacer clic en ese icono se eliminar el bloque de la direccin IP.
La columna SID contiene dos iconos. El icono agregar automticamente ese SID a la Suppress List para la interfaz
y suprimir futuras alertas de la firma para todas las direcciones IP. El icono de la columna SID deshabilitar la regla
y la eliminar del conjunto de reglas de cumplimiento. Cuando una regla es desactivada manualmente, el icono en la
columna SID cambiar a .