Snort3 en Pfsense: Defendiendo la Red

DestacadasEstudios

Published on:

Vamos a explicar paso a paso la instalación y configuración del IDS Snort3 en Pfsense para poder monitorizar las alertas. Vamos a instalar estas máquinas virtuales en VirtualBox. Pfsense es un firewall open source o código abierto, virtual basado en el sistema operativo (SO) FreeBSD. Por otra parte, Snort es un IDS e IPS también open source, que nos permite realizar un monitoreo de nuestras redes para detectar alertas y tomar determinadas acciones programadas sobre esas alertas.

Pfsense

Descargar Pfsense

Acudiremos a la página oficial de pfsense para descargar la imagen:

1 - descargar imagen de pfsense
1. Descargar imagen de Pfsense

Utilizaremos la arquitectura AMD64 (64-bit), el instalador para ISO, para descargarlo tendremos que registrarnos.

Instalar Pfsense en VirtualBox

Elegiremos Tipo BSD y la versión compatible con nuestro ordenador.

2 - configurar pfsense en virtualbox sistema operativo
2. Configurar Sistema Operativo

En memoria habría que meterle a partir de 1GB de RAM.

3 - configurar pfsense en virtualbox tamaño memoria ram
3. Configurar cantidad de memoria RAM

El tipo de archivo de disco duro elegiremos VDI, con un tipo de almacenamiento de reservado dinámico.

4 - configurar pfsense en virtualbox tipo disco duro VDI Virtualbox Disk Image
4 . Configurar tipo de Disco Duro

Para el tamaño del disco pondremos 8GB.

Configurar Red Pfsense

Configuraremos dos adaptadores de red, uno en modo puente y otro de red interna. Más tarde las configuraremos.

Adaptador 1 > Adaptador Puente

5 - configurar red pfsense adaptador de red 1
5. Configurar adaptador de red 1 (Adaptador Puente)

Adaptador 2 > Red interna

6 - configurar red pfsense adaptador de red 2
6. Configurar adaptador de red 2 (Red Interna)

Tendremos que configurar dos redes: una WAN y una LAN. 
Una vez que hayamos cargado el Pfsense, encontramos esta pantalla.

Introducimos el numero dos para establecer las direcciones IP de las interfaces.
A continuación, nos indica si queremos configurar la red WAN o LAN. Primero vamos a configurar la red WAN.  

Configuración WAN

7 - configuración de red pfsense wan lan
7. Configurar WAN en Pfsense

Nos pregunta el numero de interfaces que queremos configurar: 1

Configurar la dirección IPv4 vía DHCP: n

8 - configuracion de red pfsense en red wan
8. Configuración DHCP en WAN

Introducimos la dirección IP que queremos que tenga nuestra red WAN.

9 - configuracion de red pfsense dirección ip
9. Configuración dirección IP en WAN

Lo siguiente que nos pide es la máscara de red. Introducimos 24.
La dirección Gateway será nuestro router: 192.168.1.1

Configurar DHCP para IPv6: n

10 - configuracion de red pfsense dhcp versión 6 IPv6
10. Configuración de IPv6 y HTTPs

Por último, también le decimos que no en la opción de utilizar el protocolo HTTP como configurador de red.

Configuración LAN

Volveríamos a la pantalla inicial una vez terminado de configurar la red WAN.
En este caso volvemos a elegir la opción para configurar direcciones IPs.

Elegiríamos la opción 2 para redes LAN
La dirección IP que vamos a escoger en este ejemplo será la 192.168.55.1
Elegiremos una máscara de red de 29 en nuestro caso, para tener 6 host.

11 - configuracion de red pfsense lan
11. Configuración LAN Pfsense

Lo siguiente será configurar el servidor DHCP para IPv4
Indicamos el rango de red para que empiece en 192.168.55.2 y termine en 192.168.55.4.
Tampoco querremos configurar HTTP, por lo que obtendremos esta pantalla:

12 - configuracion de red pfsense lan dhcp ipv4
12. Configuración IPv4 en LAN Pfsense

Ya hemos completado el registro de Pfsense. Ahora tendremos que configurar Snort a través del servicio web de Pfsense. 

Conexión de red Máquina Virtual

Llegados a este punto, necesitaremos tener instalada un maquina virtual, da igual el tipo. En mi caso, tengo instalado un Xubuntu, ya que es una distribución ligera de Ubuntu. Podéis tener un Windows o cualquier Linux. 

En el apartado de Configuración de la Máquina Virtual, configuraremos la red para que esta máquina se conecte a la red interna que creamos con la máquina Pfsense. 

13 - conexión de red maquina virtual virtualbox pfsense y snort
13. Configuración de red (Adaptador 1) para la máquina virtual

Conectarse a Pfsense vía Web

Abrimos nuestra máquina virtual y lo primero que hacemos es comprobar si está bien configurada la red. Abrimos el terminal e introducimos ifconfig. Podemos comprobar que nuestra maquina está conectada a la red con una IP 192.168.55.3. 
Lo siguiente es conectarse a Pfsense a través del navegador. Para ello nos conectamos con https://192.168.55.1 
El usuario admin y contraseña por defecto es pfsense.


Lo siguiente que tendremos que hacer es configurar una serie de opciones del Pfsense.
Ponemos el nombre para el host y el dominio y los servidores DNS que en mi caso serán 8.8.8.8 para el servidor primario y 8.8.4.4 para el secundario. 

La opción del servidor NTP la podemos dejar por defecto y en la zona horaria elegiremos la que nos corresponde. El resto de las opciones las dejaremos como están por defecto. Por último, cambiaremos las contraseñas y ya habremos terminado por configurar el Pfsense.

SNORT3

Instalar y configurar SNort3 en Pfsense

Para instalar Snort3, tendremos que irnos a la barra de opciones de la parte de arriba de la página y seleccionar System y en el desplegable, seleccionar Package Manager

14 - instalación de snort3 en pfsense menu
14. Instalación de Snort3 en Pfsense – Menú «System»

Una vez aquí, acudimos a la opción de Available Packages y buscamos Snort. Una vez instalados podemos comprobar en Installed Packages que esté instalado. 

15 - instalación de snort3 en pfsense paquetes instalados
15. Instalación de Snort3 en Pfsense – Installed Packages y Available Packages

En este punto con Snort3 instalado, navegaremos a Services/Snort y añadiremos una interfaz tipo WAN.

16 - instalación de snort3 en pfsense configuración interfaces de red
16. Instalación de Snort3 en Pfsense – Configuración de la interfaz a monitorizar

Antes de configurar la interfaz, haremos una serie de cambios en la opción de Goblal Settings. En este apartado elegiremos las opciones de:

  • Enable Snort VRT. Para activar esta opción, será necesario tener una cuenta de Snort y obtener el OinkCode. Esto es completamente gratuito. 
17 - instalación de snort3 en pfsense reglas de snort
17. Instalación de Snort3 en Pfsense – Configuración de VRT y GPLv2
  • Enable Snort GLPv2. Esta opción sirve para descargarse las reglas oficiales de Snort.
  • Enable ET Open. Para descargar las amenazas más actuales. 
18 - instalación de snort3 en pfsense configurar ET Open Reglas Rules
18. Instalación de Snort3 en Pfsense – Configuración de ET Open
  • Enable OpenAppID y Enable OpenAppID RULES: Sirve para obtener alerta de las aplicaciones que estén instaladas.
19 - instalación de snort3 en pfsense configurar OpenAppID Detectors
19. Instalación de Snort3 en Pfsense – Configuración de OpenAppID

Elegimos el periodo de actualización de las reglas y el tiempo de bloqueo de los hosts. En mi caso he elegido 4 días y 1 hora respectivamente. 

Importante, Guardamos!!

Para configurar la interfaz, teclearemos en el botón de editar en la columna de Actions. Vamos a realizar una configuración muy simple.

En la pestaña que se nos abre en la opción de WAN Settings, en la parte de Detection .

Performance Settings añadiremos la opción de Search Optimize.

20 - instalación de snort3 en pfsense search optimize
20. Instalación de Snort3 en Pfsense – Configuración de Search Optimize

Es importante que después de cada cambio guardemos la configuración haciendo click en el botón Save.
Por último solo nos queda elegir las reglas que queremos que Snort aplique.
Acudiremos a WAN Categories

21 - instalación de snort3 en pfsense interfaces snort categorias wan
21. Instalación de Snort3 en Pfsense – Selección de reglas a monitorizar

En este punto, tenemos que hacer dos acciones aplicar la opción de Resolve Flowbits. En la parte de abajo, vamos a elegir todas las reglas para que Snort las aplique.

22 - instalación de snort3 en pfsense seleccionar conjunto de reglas
22. Instalación de Snort3 en Pfsense – Activar las reglas de Snort3

En próximos artículos explicaremos más a fondo las reglas, como añadir o quitar reglas y como tratar las alertas que genera Snort.
Ya tenemos Snort instalado y configurado. Vamos a la ventana de interfaces para iniciar Snort.

23 - instalación de snort3 en pfsense seleccionar interfaces de red snort
23. Instalación de Snort3 en Pfsense – Estado de los interfaces de Snort3

Para ver las alertas que está generando Snort, navegamos a la parte de Alertas y comprobamos las alertas que esté generando.  

Como podemos comprobar, las alertas de la imagen se refieren a alertas generadas por tráfico https. En futuros artículos comentaremos las diferentes opciones que hay para la selección de las alertas y de que forma podemos monitorearlas para tener un control seguro de la red.

24 - instalación de snort3 en pfsense alertas de snort
24. Instalación de Snort3 en Pfsense – Alertas generadas por Snort en Pfsense

Related

1 Comment

  1. Solo indicar que no es snort3 lo que se instala. aunque es lo que aparece en la version del apquete, el binario de snort sigue siendo la version 2.9

Leave a Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Javier Fernandez Bere
Javier Fernandez Bere

Copyright ©2024 DigitalNinjutsu. All rights reserved.