En artículos previos aprendimos a instalar pfSense en nuestro router. Asimismo, en este aprenderemos a integrar Snort con pfSense para poder detectar intrusos en nuestra red.
¿SNORT? ¿pfSense?
pfSense es un paquete de software de cortafuegos de código abierto que ofrece una interfaz web para realizar la configuración relacionada con los servidores DHCP/DN, un sistema de prevención de intrusiones (IPS) y mucho más.
Snort es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL. Durante su instalación, provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap, entre otros.
Durante este tutorial, aprenderás a instalar e integrar Snort (Sistema de prevención de intrusión) en su firewall pfSense.
Instalación de Snort en pfSense
Paso 1: instalar Snort en pfSense.
En primer lugar, para integrar SNORT a nuestro PFsense debemos de descargar e instalar este paquete: Snort Security 2.9.12
Paso 2: habilitar Snort en la interfaz WAN.
Una vez está instalado y habilitado, nos dirigimos al menú de nuestro IPS en pfSense:
Una vez accedemos al menú de Snort en Pfsense, lo habilitaremos en el interfaz WAN pero, nosotros, para realizar pruebas, trabajaremos en la interfaz LAN.
Para añadir los interfaces los dejamos por defecto, simplemente asignamos la interfaz en la que queremos poner nuestro sistema a analizar tráfico.
Paso 3: seleccionar LAN rules.
A continuación editaremos la interfaz LAN añadida anteriormente seleccionando la opción mostrada.
Seleccionamos la opción LAN Rules:
Paso 4: introducir nuestras reglas.
En este apartado tendremos diferentes opciones para introducir reglas ya creadas por la comunidad, pero nosotros introduciremos reglas personalizadas, para ello seleccionamos la opción custom.rules.
En la parte inferior (Defined Custom Rules) introduciremos las reglas que deseemos.
Paso 5: guardar los cambios.
Por último guardamos los cambios y nos aparecerá un mensaje en la parte superior en la que nos indica que los cambios se realizaron correctamente.
Paso 6: seguimiento de las alertas.
A continuación para ver las alertas que generan las reglas seleccionamos la opción Alerts:
Una vez llegamos a este punto, solo falta realizar las comprobaciones haciendo ping a nuestra puerta de enlace desde algún equipo que pertenezca a la red de la interfaz LAN y la conexión SSH:
Visita otros artículos de nuestro blog y suscríbete a nuestra newsletter para estar pendiente de todas nuestras novedades.
Artículo redactado por Álvaro Rojas Fernández.