Pular para o conteúdo

PFSense com Snort

PFSense é um front-end para o PF (Packet Filter) do BSD, de fácil utilização. Neste artigo ensino como integrar o Snort (um poderoso sniffer) com o PFSense, que irá tomar a ação de bloquear o que o Snort considerar uma ameaça.
Leonardo Damasceno leodamasceno

Por Leonardo Damasceno em 25/09/2009

Hits: 84.228 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Parte 3: Monitorando e verificando erros

Bem, agora vamos esperar e aguardar olhando no log, na aba "Alerts". No meu caso já detectei uma atividade suspeita, de acordo com minhas regras editadas:
Linux: PFSense com SNORT
Caso você queira limpar o log, clique no botão "Clear log".

Bem, agora sabemos que tudo está rodando certo! Ou não!?

Para ter certeza, vamos fazer o seguinte. Rode o snort com um simples:

# /usr/local/etc/rc.d/snort.sh

Caso dê algum erro do tipo:

snort[12994]: FATAL ERROR: Dynamic detection lib /usr/local/lib/snort/dynamicrules//lib_sfdynamic_example_rule.so 1.0 isn't compatible with the current dynamic engine library /usr/local/lib/snort/dynamicengine/libsf_engine.so 1.10. The dynamic detection lib is compiled with an older version of the dynamic engine.

Apenas remova essa lib usando:

# rm /usr/local/lib/snort/dynamicrules/lib_sfdynamic_example_rule.so

Em caso de outro erro relacionado ao diretório "dynamicengine", este é causado porque no arquivo de configuração do Snort, o "snort.conf", diz que um dos diretórios das libs é o /usr/local/lib/snort/dynamicengine/, porém lá no arquivo temos:

/usr/local/lib/snort_dynamicengine/

Então ajuste isso de maneira simples, apagando o "_" (underline) e colocando "/" (barra).

Até a próxima. :)

Páginas do artigo

   1. Um pouco do nosso projeto
   2. Settings, Categories e Rules
   3. Monitorando e verificando erros

Outros artigos deste autor

Adicionando usuário no OpenLDAP

Criando cluster com o PFSense

I-Educar no Gnu/Linux

Criando VPN com o PFSense

Servidor de log no Debian com Syslog-ng

Leitura recomendada

Adicionando baterias automotivas extras em nobreaks

Auditando senhas com John The Ripper

SSH: Métodos e ferramentas para invasão

Configurando um servidor Freeradius + openLDAP

Definição de hacker

Comentários

#1 Comentário enviado por drakula em 25/09/2009 - 15:50h
Parabéns pelo artigo o pfsense é um firewall box interessante, deixa até muitas soluções pagas no chinelo e esse é apenas uma funcionalidade dele.
#2 Comentário enviado por riav em 25/09/2009 - 16:10h
Excelente Dica Leonardo!!!!

Utilizo em minha rede o PfSense junto com squid a mais de 6 meses, quando migrei meu firewall baseado no iptables que escrevi na mão.
Digo com muita enfase que o front-end PfSense é fanstástico, possui inúmeras as funcionalidades de um firewall coorporativo e nunca me deixou na mão.
É robusto, rápido e fácil de usar, juntamente com seus plugins (SNORT é um deles, como mostra a dica) o torna uma das melhores ferramentas open source no mercado.

Um forte abraço a todos.
#3 Comentário enviado por leodamasceno em 25/09/2009 - 16:18h
Sim riav! PFSense é muito bom.

Eu sempre estiver acostumado com iptables, e ainda gosto muito dele, mas não podemos negar que o PFSense é uma ótima ferramenta :D.
#4 Comentário enviado por riav em 25/09/2009 - 16:27h
Complementando a dica do Leonardo, podemos obter as regras automaticamente utilizando a opção Oinkmaster code (Menu Service -> Snort -> Settings).
Você precisa se cadastrar no snort.org (https://www.snort.org/signup).

Após o cadastro, demora um pouco para o site confirmar seu login, você se autentica e gera seu oinkcode (https://www.snort.org/account/oinkcode).
Depois e so jogar o oinkcode no snort (aba Settings) salvar e clicar na aba Update Rules.

Pronto, ele vai comecar a baixar as regras, só não sei ao certo se ele as atualiza depois automaticamente, pelo o que li sim, mas não testei ainda.

Viva o mundo open source!!!!!

Um abraço.
#5 Comentário enviado por removido em 16/10/2009 - 13:34h
Grande léo,


Parabéns pelo artigo, está muito bom cara. Continue assim !


Um abraço
#6 Comentário enviado por danillofa em 28/07/2013 - 21:52h
Acho que o começo do arquivo esta errado né, segue do site oficial:

pfSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution.

[]'s

Contribuir com comentário

Entre na sua conta para comentar.