Crónicas de un informático

Crónicas de un informático es un blog enfocado a configurar nuevos servicios informáticos, informar de su utilidad y centrado en la Educación y la FP.

Activar Snort IDS/IPS en PFSense

Introducción

Actualmente, es muy común escuchar los conceptos Sistema de detección de intrusos (IDS) o Sistema de prevención de intrusos (IPS). Dichos sistemas permiten analizar la red para identificar y bloquear comunicaciones maliciosas.

Se configuran mediante reglas y la detección puede estar basada en los siguientes aspectos:

  • Firmas
  • Estado protocolos
  • Anomalías
  • Sandboxing

Los IPS además permiten actuar de forma automática. Estos sistemas generalmente son complementarios a los cortafuegos. Los IPS permiten identificar y bloquear comunicaciones maliciosas o violaciones de las políticas de seguridad que aprovechan las comunicaciones que pueden estar permitidas en el firewall.

Hay que destacar que a la hora de desplegarlos, los configuraremos en modo IDS para analizar las detecciones e ir ajustándolos, para posteriormente activarlos como modo IDS y bloquear las amenazas.

Snort en PFSense

A través de PFSense se puede activar SNORT para actuar como IDS/IPS. En primer lugar, deberéis de instalar el paquete SNORT. Para ello, iremos a system => Package Manager y buscaremos el paquete SNORT:

Activar el paquete snort en Pfsense

Una vez instalado, activaremos las firmas gratuitas desde Services => Snort => Global Settings:

Activar firmas parte 1
Activar firmas parte 2

Snort nos permitirá hasta especificar cada cuanto queremos actualizar las reglas:

Posteriormente, añadiremos la interfaz a la escucha, en este caso, vamos a jugar con la Interfaz WAN. Será necesario analizar cada escenario para decidir cual es la interfaz mas adecuada para que sea monitorizada a través de Snort.

Interfaz a la escucha

Nota: los que uséis Vmware en Linux, para activar el modo promiscuo tenéis que ejecutar: chmod a+rw /dev/vmnet* Esta nota es para aquellos que estéis usando un PFSense Virtualizado.

En el caso que actualicemos las firmas a mano, editaremos la interfaz de escucha y seleccionaremos las reglas a emplear, podemos empezar con todos los casos y posteriormente ir ajustándolo.

Actualizaciones

Posible Ejercicio con el alumnado

Podemos realizar el siguiente ejercicio con el alumnado para detectar alertas:

Activar la escucha en la interfaz WAN, ahora realizaremos un escaneo a través de nmap desde el Ubuntu Desktop ubicado en la WAN, a la dirección VIP publicada. Realizaremos el siguiente escaneo:

El primero será del siguiente tipo: nmap -p 1-65535 -T4 -A -v -Pn IP ¿Tenemos alertas? Finalmente, ¿podríamos bloquear las peticiones? ¿Cómo lo haríamos?

Nota: no activéis los bloqueos hasta que estéis seguros que todas las alertas son correctas y que no hay falsos positivos. Adicionalmente, a veces suele tardar en visualizarse las alertas.

Ejemplo de posibles alertas:

Alerta de snort
, , , ,

Posted by:

Iñigo Aramendi Inchauspe

post recientes

Acerca de

Me llamo Iñigo Aramendi actualmente soy docente de formación profesional. Apasionado del mundo de las nuevas tecnologías, informática, ciberseguridad y la docencia. Siempre con ganas de seguir formándome y mejorando mis capacidades técnicas. Colegiado en el Colegio Oficial de Ingenieros en Informática.

suscríbete

Anuncios
A %d blogueros les gusta esto: