Snort: detecta intrusos en pfSense

En artículos previos aprendimos a instalar pfSense en nuestro router. Asimismo, en este aprenderemos a integrar Snort con pfSense para poder detectar intrusos en nuestra red.

¿SNORT? ¿pfSense?

pfSense es un paquete de software de cortafuegos de código abierto que ofrece una interfaz web para realizar la configuración relacionada con los servidores DHCP/DN, un sistema de prevención de intrusiones (IPS) y mucho más.

Snort es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL. Durante su instalación, provee de cientos de filtros o reglas para backdoorDDoSfingerFTP, ataques web, CGINmap, entre otros.

Durante este tutorial, aprenderás a instalar e integrar Snort (Sistema de prevención de intrusión) en su firewall pfSense.

Instalación de Snort en pfSense

Paso 1: instalar Snort en pfSense.

En primer lugar, para integrar SNORT a nuestro PFsense debemos de descargar e instalar este paquete: Snort Security 2.9.12

Primer paso de la instalación de SNORT en PFSense.

Paso 2: habilitar Snort en la interfaz WAN.

Una vez está instalado y habilitado, nos dirigimos al menú de nuestro IPS en pfSense:

En el paso 2, accedemos al menú de Snort en nuestra interfaz web de pfsense.

Una vez accedemos al menú de Snort en Pfsense, lo habilitaremos en el interfaz WAN pero, nosotros, para realizar pruebas, trabajaremos en la interfaz LAN.

Paso 2 de la instalación de Snort en pfSense: habilitar Snort en la interfaz WAN.

Para añadir los interfaces los dejamos por defecto, simplemente asignamos la interfaz en la que queremos poner nuestro sistema a analizar tráfico.

Paso 3: seleccionar LAN rules.

A continuación editaremos la interfaz LAN añadida anteriormente seleccionando la opción mostrada.

Seleccionamos la opción LAN Rules:

Paso 4: introducir nuestras reglas.

En este apartado tendremos diferentes opciones para introducir reglas ya creadas por la comunidad, pero nosotros introduciremos reglas personalizadas, para ello seleccionamos la opción custom.rules.

Paso 4 del proceso de instalación de Snort en pfsense: introducimos reglas personalizadas.

En la parte inferior (Defined Custom Rules) introduciremos las reglas que deseemos.

Paso 4 del proceso de instalación de Snort en pfsense: introducimos reglas personalizadas.

Paso 5: guardar los cambios.

Por último guardamos los cambios y nos aparecerá un mensaje en la parte superior en la que nos indica que los cambios se realizaron correctamente.

Paso 6: seguimiento de las alertas.

A continuación para ver las alertas que generan las reglas seleccionamos la opción Alerts:

En Alerts podremos ver las alertas que generan las reglas introducidas en pfSense.

Una vez llegamos a este punto, solo falta realizar las comprobaciones haciendo ping a nuestra puerta de enlace desde algún equipo que pertenezca a la red de la interfaz LAN y la conexión SSH:

En esta imagen se podrá ver los logs con las diferentes alertas que generan nuestras reglas de pfsense.

Visita otros artículos de nuestro blog y suscríbete a nuestra newsletter para estar pendiente de todas nuestras novedades.

Artículo redactado por Álvaro Rojas Fernández.