Want to create interactive content? It’s easy in Genially!

Get started free

Integración Snort en pfSense

José Ramón Albendín

Created on November 13, 2023

Start designing with a free template

Discover more than 1500 professional designs like these:

Corporate Christmas Presentation

Business Results Presentation

Meeting Plan Presentation

Customer Service Manual

Business vision deck

Economic Presentation

Tech Presentation Mobile

Explore all templates

Transcript

SNORT

IES Gran Capitán. Departamento de Informática y Comunciaciones

INTEGRACIÓN EN PFSENSE

ÍNDICE

Configuración / Categorías

Introducción

Acceso a la Configuración

Configuración / Reglas

Configuración / General

Configuración / Preprocs.

Configuración / Actualizaciones

Alertas

Configuración / Interfaces

Gracias

INTRODUCCIÓN

SNORT: IDS / IPS

  • Snort se instala como otro paquete en pfSense
  • Utiliza reglas para la detección de firmas
  • El paquete Snort package permite la utilización de una serie de grupos de reglas
Snort VRT (registro/pago)Snort GPLv2 Community Rules (gratis) Emerging Threats Open Rules (gratis) Emerging Threats Pro Rules (pago) OpenAppID para detección de aplicaciones (gratis)

+INFO

Lorem ipsum dolor sit amet

+INFO

Configuración de Snort: Servicios -> Snort

CONFIGURACIÓN INICIAL

CONFIGURACIÓN GENERAL

Desde la configuración general podemos configurar qué conjunto de reglas vamos a utilizar. Tendremos que introducir los códigos de suscripción en aquellos casos en los que sea necesario. Una vez que se ha decidio qué reglas activar, también hay que indicar cada cuánto tiempo se comprueba si hay nuevas reglas.

Lorem ipsum dolor sit amet

+INFO

CONFIGURACIÓN INICIAL

CONF. ACTUALIZACIONES

Desde la pestaña de actualizaciones podemos comprobar el estado del conjunto de reglas descargadas y descargar nuevas actualizaciones.

Lorem ipsum dolor sit amet

+INFO

Lorem ipsum dolor sit amet

Al añadir o modificar un interfaz nos apare un nuevo nivel de menús donde podemos configurar el funcionamiento de Snort en dicho interfaz.

configuración inicial

INTERFACES

Pulsando sobre el botón + podemos añadir un nuevo interfaz a Snort.

+INFO

CONFIGURACIÓN INICIAL

CATEGORÍAS del INTERFAZ

Desde la pestaña de categorías podemos habilitar y deshabilitar conjunto concretos de reglas.

Lorem ipsum dolor sit amet

+INFO

CONFIGURACIÓN INICIAL

REGLAS del INTERFAZ

Desde la pestaña de reglas podemos seleccionar una categoría concreta para conocer qué reglas están activas y deshabilitadas por defecto. Se pueden activar y deshabilitar en bloque o de forma individual

Lorem ipsum dolor sit amet

+INFO

CONFIGURACIÓN INICIAL

PREPROCS del INTERFAZ

Hay reglas que requieren de determinados filtros activos en la pestaña preprocs. Por ejemplo, la detección de aplicaciones o la detección de escaneo de puertos requieren activar los filtros correspondientes.

+INFO

ALERTAS

DETECCIÓN DE INCIDENTES

En la pestaña alertas podemos ver los incidentes detectados por Snort. Si Snort se está ehecutando en más de un interfaz hay que elegir primero el mismo. Podemos descargar los registros en formato .CSV para su posterior análisis.

+INFO

¡GRACIAS!