Home אבטחת מידעFirewalls הגדרת Snort ב pfsense כ- NIDS – IPS – IDS

הגדרת Snort ב pfsense כ- NIDS – IPS – IDS

by Tal Ben Shushan 05/05/2018 0 comment
הגדרת Snort ב pfsense כ- NIDS – IPS – IDS

הגדרת Snort ב pfsense כ- NIDS – IPS – IDS

Snort – הוא IDS \ IPS למערכות לינוקס קיצור של  intrusion detection system המערכת פותחת את ה Segment – TCP ובודקת את התוכן בכדי לזהות Payload, סריקות לא מאושרות (Nmap למשל) התקפות DOS , Buffer Overflow , פרובים וכו’, הוא מבוסס libpcap שהוא כלי מבוסס packet capture וכך הוא סורק מערכת ה IDS זה קיצור של intrusion detection system שכן הוא רק מזהה את התהליכים האלו ואילו ה IPS הוא הכלי האקטיבי שחוסם ולכן הפירוש שלו intrusion detection system.

במאמר זה נסקור את Snort כאשר הוא מוטמע ב pfsense בתור inline שהוא בין הרשתות ובא “להגן” על הרשת הפנימית מפני הרשת החיצונית שממנה יכולים להגיע “התקפות” ובכך לחסום אותם.

התרשים שלנו זהה למאמר “הסבר על Firewall והתקנת pfsense” ו*חובה לבצע את המאמר הזה אלא אם אתם מכירים כבר את pfsense ויודעים להגדיר אותו לבד ואת הניתובים בו.

 

התרשים:

 

ב pfsense יש להיכנס ל System – > Package Manager – > Availble Packes ובחיפוש לחפש Snort

לחצו על Install

בסיום ההתקנה תקבלו הודעת Success

כעת נעבור לשירות עצמו ל Snort

Services – > Snort

ונלחץ על Global Settings

כעת נסמן ב V

Enable Snort VRT

זה פיצ’ר מבית Snort  שעוקב אחרי ה”חתימות” של ההתקפות הכי חדשות וחוסם אותם

בשביל להשתמש בפיצ’ר תחילה יש להירשם בחשבון “חינמי” באתר Snort

לאחר ההרשמה, בחשבון שלכם כנסו ל OinkCode והעתיקו אותו

לתוך ה Snort OinkMaster Code

סמנו גם את Enable Snort GPLv2 – סט של חוקים, חתימות של מה מותר ומה אסור שהוחלט על ידי הקהילה

וסמנו גם את Enable ET Open – מוריד את החוקים של Emerging Theats

נרד קצת למטה ונסמן את Update Interval לכמות הימים שאתם רוצים שהמערכת תבצע עדכון

ונסמן את Remove Blocked Hosts Interval שבו אם הוסט נחסם אז לכמה זמן? לרוב במערכות פרודקשין נשאיר את זה על Never אבל אנחנו בסביבת מעבדה ולכן נסמן כמה שעות

כעת נעבור ללשונית Updates ונלחץ על Update Rules ונמתין עד שייסיים – כ100MB

כעת ב Snort Interfaces נגדיר גם את WAN וגם את LAN

תחילה את LAN ונסמן את Send Alerts to system log

בLAN Categories נסמן את Resolve Flowbits

Flowbits הוא פיצ’ר שעוקב אחרי החוקים ואחרי Exploits שהמטרה שלהם היא מחשבים שיושבים בLAN

נרד קצת למטה ונסמן Select All

ואז הכי למטה Save

כעת הפעלנו את המערכת בצורה הכי נוקשה, עלולים להיות חסימות שהם False Postive אבל אנחנו בסביבת ניסוי ולכן הגדרנו כך את המערכת

כאשר LAN נוצר

ונריץ אותו על ידי הלחיצה על הכפתור

נמתין עד שיציג את הV הירוק

ניצור באותה הצורה את WAN

ונריץ גם אותו

כעת נעבור ל Kali שיושב ב WAN וננסה להריץ סריקת NMAP פשוטה

nmap -sS 192.168.5.20

נחזור ל pfsense ונעבור ל Alerts ונסמן ב Interface WAN

ניתן לראות שSnort מודע לסריקה ומציג לוג, האם הוא חסם את Kali שביצע עליו את הסריקה?

כן, נעבור ללשונית Blocked

זהו, הגדרנו את Snort וניתן כעת לנסות לבדוק את היכולות שלו בהגנה על הרשת

מאמרים קשורים

Leave a Comment