Cấu Hình Snort Trên pfSense

26

Snort là một hệ thống ngăn chặn và phát hiện sự xâm nhập trái phép (IDS/IPS) mã nguồn mở và miễn phí nhưng có nhiều tính năng đáng mong đợi. Snort có kiến trúc kiểu module, dễ dàng cho các quản trị viên tự bổ sung để tăng cường tính năng cho hệ thống của mình.

Bài viết này mình sẽ hướng dẫn bạn đọc cách cài đặt và cấu hình Snort trên firewall pfsense.

Mở trình duyệt và nhập IP của pfSense, như mọi khi mình vẫn dùng IP :

  • https://192.168.15.30

Trang đăng nhập sẽ hiện ra :

pfsense menu đăng nhập Cấu Hình Snort Trên pfSense

Nhập vào username và password. Mình sử dụng như mặc định :

  • Username: admin
  • Password: pfsense

Sau khi login thành công, bạn sẽ được chuyển qua Dashboard.

pfsense dashboard Cấu Hình Snort Trên pfSense

Truy cập vào menu System -> Package Manager.

package-manager-pfsense Cấu Hình Snort Trên pfSense

Ở Package Manager, truy cập vào Available packages tab.

Ở Available packages tab, tìm Snort và install package Snort.

packages pfsense Cấu Hình Snort Trên pfSense

Ở ví dụ của mình, version Snort được cài đặt là 3.2.9.10.

Bấm Install và chờ đợi tiến trình cài đặt hoàn thành.

Truy cập menu Services và chọn Snort.

pfsense menu snort Cấu Hình Snort Trên pfSense

Ở tab setting Global, chọn Snort Subscriber Rules và thực hiện những cấu hình sau :

  • Enable Snort VRT – Yes
  • Snort Oinkmaster Code – Enter you OikCode

Nếu không có Oinkcode, hãy truy cập trang web của Snort, tạo account và lấy Oinkcode miễn phí.

snort subcriber rules Cấu Hình Snort Trên pfSense

Truy cập Rules Update Settings, và thực hiện những cấu hình sau :

  • Update Interval – chọn khoảng thời gian gửi gói tin update Interval
  • Update Start Time – chọn khoảng thời gian để update Snort rules

rules update setting Cấu Hình Snort Trên pfSense

Đến General Settings và thực hiện những cấu hình sau :

  • Remove Blocked Hosts Interval – 1 Hour
  • Remove Blocked Hosts After Deinstall – No
  • Keep Snort Settings After Deinstall – Yes
  • Startup/Shutdown LoggingUpdate Interval – no

General setting pfsense Cấu Hình Snort Trên pfSense

Ở mục Updates tab, bấm vào nút Updates rules để download Rule Snort.

update your rule set Cấu Hình Snort Trên pfSense

Ở tab Snort, bấm vào nút add và thực hiện những cấu hình sau :

  • Enable – Yes
  • Interface – chọn Interface chạy dịch vụ Snort

general setting pfsense Cấu Hình Snort Trên pfSense

Đến mục Alert Settings, và thực hiện những cấu hình sau :

  • Send Alerts to System Log – Yes
  • Block Offenders – Enable if you want to block offenders
  • Kill States – Yes
  • Which IP to Block – BOTH

alert setting pfsense Cấu Hình Snort Trên pfSense

Sau khi kết thúc cấu hình, bấm vào nút Save.

Ở màn hình giao diện Snort, tiến hành edit Interface :

interface overview setting Cấu Hình Snort Trên pfSense

Truy cập tab Wan, và thực hiện những cấu hình sau :

  • Resolve Flowbits – Yes
  • Use IPS Policy – Yes
  • IPS Policy Selection – Connectivity

automatic flowbit resolution Cấu Hình Snort Trên pfSense

Ở ví dụ của mình, enable tính năng IPS và chọn policy tên Connectivity.

Sau khi kết thúc cấu hình, bấm vào nút Save, và Start service Snort ở Interface này.

interface setting overview Cấu Hình Snort Trên pfSense

Như vậy là chúng ta đã hoàn thành cài đặt và cấu hình service Snort trên Interface.

Hướng Dẫn Cài Đặt Firewall pfSense

Cài Đặt Failover và Load Balancing Cho pfSense

Làm Quen Menu Cấu Hình pfSense Bằng Giao Diện Web

Hướng Dẫn Tạo Và Cấu Hình Rule Trong pfSense

Cấu Hình openvpn Trên pfSense

Cấu Hình Cài Đặt Captive Portal pfSense

Cấu hình Traffic Sharper Trên pfSense

Reset Firewall pfSense Về Factory Setting

Cấu Hình NTP Server cho pfSense

Cấu Hình VLAN Cho Firewall pfSense

Cấu Hình Link Aggregation Trên pfSense

Backup & Restore Trên pfSense

Cấu Hình Remote Syslog trên pfSense

BÌNH LUẬN

Please enter your comment!
Please enter your name here