SNORT
IES Gran Capitán. Departamento de Informática y Comunciaciones
INTEGRACIÓN EN PFSENSE
ÍNDICE
Configuración / Categorías
Introducción
Acceso a la Configuración
Configuración / Reglas
Configuración / General
Configuración / Preprocs.
Configuración / Actualizaciones
Alertas
Configuración / Interfaces
Gracias
INTRODUCCIÓN
SNORT: IDS / IPS
- Snort se instala como otro paquete en pfSense
- Utiliza reglas para la detección de firmas
- El paquete Snort package permite la utilización de una serie de grupos de reglas
Snort VRT (registro/pago)Snort GPLv2 Community Rules (gratis) Emerging Threats Open Rules (gratis) Emerging Threats Pro Rules (pago) OpenAppID para detección de aplicaciones (gratis)
+INFO
Lorem ipsum dolor sit amet
+INFO
Configuración de Snort: Servicios -> Snort
CONFIGURACIÓN INICIAL
CONFIGURACIÓN GENERAL
Desde la configuración general podemos configurar qué conjunto de reglas vamos a utilizar. Tendremos que introducir los códigos de suscripción en aquellos casos en los que sea necesario. Una vez que se ha decidio qué reglas activar, también hay que indicar cada cuánto tiempo se comprueba si hay nuevas reglas.
Lorem ipsum dolor sit amet
+INFO
CONFIGURACIÓN INICIAL
CONF. ACTUALIZACIONES
Desde la pestaña de actualizaciones podemos comprobar el estado del conjunto de reglas descargadas y descargar nuevas actualizaciones.
Lorem ipsum dolor sit amet
+INFO
Lorem ipsum dolor sit amet
Al añadir o modificar un interfaz nos apare un nuevo nivel de menús donde podemos configurar el funcionamiento de Snort en dicho interfaz.
configuración inicial
INTERFACES
Pulsando sobre el botón + podemos añadir un nuevo interfaz a Snort.
+INFO
CONFIGURACIÓN INICIAL
CATEGORÍAS del INTERFAZ
Desde la pestaña de categorías podemos habilitar y deshabilitar conjunto concretos de reglas.
Lorem ipsum dolor sit amet
+INFO
CONFIGURACIÓN INICIAL
REGLAS del INTERFAZ
Desde la pestaña de reglas podemos seleccionar una categoría concreta para conocer qué reglas están activas y deshabilitadas por defecto. Se pueden activar y deshabilitar en bloque o de forma individual
Lorem ipsum dolor sit amet
+INFO
CONFIGURACIÓN INICIAL
PREPROCS del INTERFAZ
Hay reglas que requieren de determinados filtros activos en la pestaña preprocs. Por ejemplo, la detección de aplicaciones o la detección de escaneo de puertos requieren activar los filtros correspondientes.
+INFO
ALERTAS
DETECCIÓN DE INCIDENTES
En la pestaña alertas podemos ver los incidentes detectados por Snort. Si Snort se está ehecutando en más de un interfaz hay que elegir primero el mismo. Podemos descargar los registros en formato .CSV para su posterior análisis.
+INFO
¡GRACIAS!
Integración Snort en pfSense
José Ramón Albendín
Created on November 13, 2023
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Geniaflix Presentation
View
Vintage Mosaic Presentation
View
Shadow Presentation
View
Newspaper Presentation
View
Zen Presentation
View
Audio tutorial
View
Pechakucha Presentation
Explore all templates
Transcript
SNORT
IES Gran Capitán. Departamento de Informática y Comunciaciones
INTEGRACIÓN EN PFSENSE
ÍNDICE
Configuración / Categorías
Introducción
Acceso a la Configuración
Configuración / Reglas
Configuración / General
Configuración / Preprocs.
Configuración / Actualizaciones
Alertas
Configuración / Interfaces
Gracias
INTRODUCCIÓN
SNORT: IDS / IPS
- Snort se instala como otro paquete en pfSense
- Utiliza reglas para la detección de firmas
- El paquete Snort package permite la utilización de una serie de grupos de reglas
Snort VRT (registro/pago)Snort GPLv2 Community Rules (gratis) Emerging Threats Open Rules (gratis) Emerging Threats Pro Rules (pago) OpenAppID para detección de aplicaciones (gratis)+INFO
Lorem ipsum dolor sit amet
+INFO
Configuración de Snort: Servicios -> Snort
CONFIGURACIÓN INICIAL
CONFIGURACIÓN GENERAL
Desde la configuración general podemos configurar qué conjunto de reglas vamos a utilizar. Tendremos que introducir los códigos de suscripción en aquellos casos en los que sea necesario. Una vez que se ha decidio qué reglas activar, también hay que indicar cada cuánto tiempo se comprueba si hay nuevas reglas.
Lorem ipsum dolor sit amet
+INFO
CONFIGURACIÓN INICIAL
CONF. ACTUALIZACIONES
Desde la pestaña de actualizaciones podemos comprobar el estado del conjunto de reglas descargadas y descargar nuevas actualizaciones.
Lorem ipsum dolor sit amet
+INFO
Lorem ipsum dolor sit amet
Al añadir o modificar un interfaz nos apare un nuevo nivel de menús donde podemos configurar el funcionamiento de Snort en dicho interfaz.
configuración inicial
INTERFACES
Pulsando sobre el botón + podemos añadir un nuevo interfaz a Snort.
+INFO
CONFIGURACIÓN INICIAL
CATEGORÍAS del INTERFAZ
Desde la pestaña de categorías podemos habilitar y deshabilitar conjunto concretos de reglas.
Lorem ipsum dolor sit amet
+INFO
CONFIGURACIÓN INICIAL
REGLAS del INTERFAZ
Desde la pestaña de reglas podemos seleccionar una categoría concreta para conocer qué reglas están activas y deshabilitadas por defecto. Se pueden activar y deshabilitar en bloque o de forma individual
Lorem ipsum dolor sit amet
+INFO
CONFIGURACIÓN INICIAL
PREPROCS del INTERFAZ
Hay reglas que requieren de determinados filtros activos en la pestaña preprocs. Por ejemplo, la detección de aplicaciones o la detección de escaneo de puertos requieren activar los filtros correspondientes.
+INFO
ALERTAS
DETECCIÓN DE INCIDENTES
En la pestaña alertas podemos ver los incidentes detectados por Snort. Si Snort se está ehecutando en más de un interfaz hay que elegir primero el mismo. Podemos descargar los registros en formato .CSV para su posterior análisis.
+INFO
¡GRACIAS!