PFSense com Snort
PFSense é um front-end para o PF (Packet Filter) do BSD, de fácil utilização. Neste artigo ensino como integrar o Snort (um poderoso sniffer) com o PFSense, que irá tomar a ação de bloquear o que o Snort considerar uma ameaça.
Um pouco do nosso projeto
PFSense é um "front-end" para o firewall PF (Packet Filter) do BSD. Você tem a opção de instalar o FreeBSD, OpenBSD e outros BSDs e depois instalar o PFSense, ou simplesmente pode baixar o PFSense do site do PFSense, que já vem com o FreeBSD + PFSense, tudo isso numa instalação bem simples.
Neste tutorial não ensinarei como instalar, mas deixarei uma dica de um ótimo vídeo:
Então nosso projeto se resume a integrar o PFSense e o Snort. Para quem ainda não ouviu falar do Snort, ele é bem conhecido no mundo Unix. Inclusive aqui no VOL existem vários tutoriais sobre ele. O que vou explicar aqui é simplesmente o que ele vai fazer com o PFSense.
O Snort irá monitorar o tráfego da rede, relacionado ao protocolo ICMP e aos PORTSCANS.
Bem, então, após a instalação concluída e tendo seu PFSense devidamente configurado, vamos aprender a habilitar o Snort nele!
Clique no botão ao lado, com um sinal de mais "+", para instalar o Snort.
Uma observação importante é que vamos instalar o "snort" e não o "snort-dev".
Note também que na descrição do snort-dev temos um "WARNING", isso não é bom... o snort-dev ainda é um pacote instável com vários BUGS, então não vamos instalar ele, que é apenas um complemento.
Após clicar no botão "+" ao lado da descrição, o software Snort será instalado e você estará numa tela desse tipo:
Ele irá instalar algumas dependências e o MySQL, aguarde até aparecer a mensagem:
"Installation completed. Please check to make sure that the package is configured from the respective menu then start the package."
Neste tutorial não ensinarei como instalar, mas deixarei uma dica de um ótimo vídeo:
Então nosso projeto se resume a integrar o PFSense e o Snort. Para quem ainda não ouviu falar do Snort, ele é bem conhecido no mundo Unix. Inclusive aqui no VOL existem vários tutoriais sobre ele. O que vou explicar aqui é simplesmente o que ele vai fazer com o PFSense.
O Snort irá monitorar o tráfego da rede, relacionado ao protocolo ICMP e aos PORTSCANS.
Bem, então, após a instalação concluída e tendo seu PFSense devidamente configurado, vamos aprender a habilitar o Snort nele!
Acessando e instalando os packages
Bem, no menu "SYSTEM" escolha a opção "PACKAGES" (System > Packages), então você verá os pacotes disponíveis para download e instalação, entre eles, na versão 1.2.2 do PFSense, temos o Snort e o Snort-DEV, observe na imagem:
Uma observação importante é que vamos instalar o "snort" e não o "snort-dev".
Note também que na descrição do snort-dev temos um "WARNING", isso não é bom... o snort-dev ainda é um pacote instável com vários BUGS, então não vamos instalar ele, que é apenas um complemento.
Após clicar no botão "+" ao lado da descrição, o software Snort será instalado e você estará numa tela desse tipo:
"Installation completed. Please check to make sure that the package is configured from the respective menu then start the package."