Snort là một hệ thống ngăn chặn và phát hiện sự xâm nhập trái phép (IDS/IPS) mã nguồn mở và miễn phí nhưng có nhiều tính năng đáng mong đợi. Snort có kiến trúc kiểu module, dễ dàng cho các quản trị viên tự bổ sung để tăng cường tính năng cho hệ thống của mình.
Bài viết này mình sẽ hướng dẫn bạn đọc cách cài đặt và cấu hình Snort trên firewall pfsense.
Mở trình duyệt và nhập IP của pfSense, như mọi khi mình vẫn dùng IP :
-
https://192.168.15.30
Trang đăng nhập sẽ hiện ra :
Nhập vào username và password. Mình sử dụng như mặc định :
- Username: admin
- Password: pfsense
Sau khi login thành công, bạn sẽ được chuyển qua Dashboard.
Truy cập vào menu System -> Package Manager.
Ở Package Manager, truy cập vào Available packages tab.
Ở Available packages tab, tìm Snort và install package Snort.
Ở ví dụ của mình, version Snort được cài đặt là 3.2.9.10.
Bấm Install và chờ đợi tiến trình cài đặt hoàn thành.
Truy cập menu Services và chọn Snort.
Ở tab setting Global, chọn Snort Subscriber Rules và thực hiện những cấu hình sau :
- Enable Snort VRT – Yes
- Snort Oinkmaster Code – Enter you OikCode
Nếu không có Oinkcode, hãy truy cập trang web của Snort, tạo account và lấy Oinkcode miễn phí.
Truy cập Rules Update Settings, và thực hiện những cấu hình sau :
- Update Interval – chọn khoảng thời gian gửi gói tin update Interval
- Update Start Time – chọn khoảng thời gian để update Snort rules
Đến General Settings và thực hiện những cấu hình sau :
- Remove Blocked Hosts Interval – 1 Hour
- Remove Blocked Hosts After Deinstall – No
- Keep Snort Settings After Deinstall – Yes
- Startup/Shutdown LoggingUpdate Interval – no
Ở mục Updates tab, bấm vào nút Updates rules để download Rule Snort.
Ở tab Snort, bấm vào nút add và thực hiện những cấu hình sau :
- Enable – Yes
- Interface – chọn Interface chạy dịch vụ Snort
Đến mục Alert Settings, và thực hiện những cấu hình sau :
- Send Alerts to System Log – Yes
- Block Offenders – Enable if you want to block offenders
- Kill States – Yes
- Which IP to Block – BOTH
Sau khi kết thúc cấu hình, bấm vào nút Save.
Ở màn hình giao diện Snort, tiến hành edit Interface :
Truy cập tab Wan, và thực hiện những cấu hình sau :
- Resolve Flowbits – Yes
- Use IPS Policy – Yes
- IPS Policy Selection – Connectivity
Ở ví dụ của mình, enable tính năng IPS và chọn policy tên Connectivity.
Sau khi kết thúc cấu hình, bấm vào nút Save, và Start service Snort ở Interface này.
Như vậy là chúng ta đã hoàn thành cài đặt và cấu hình service Snort trên Interface.
Hướng Dẫn Cài Đặt Firewall pfSense
Cài Đặt Failover và Load Balancing Cho pfSense
Làm Quen Menu Cấu Hình pfSense Bằng Giao Diện Web
Hướng Dẫn Tạo Và Cấu Hình Rule Trong pfSense
Cấu Hình Cài Đặt Captive Portal pfSense
Cấu hình Traffic Sharper Trên pfSense
Reset Firewall pfSense Về Factory Setting
Cấu Hình NTP Server cho pfSense
Cấu Hình VLAN Cho Firewall pfSense
Cấu Hình Link Aggregation Trên pfSense
Cấu Hình Remote Syslog trên pfSense