pfSense 軟路由安裝 Snort 入侵檢測軟體

pfSense是一個基於FreeBSD的開源防火牆及路由平台,而Snort是一套開放原始碼的網路入侵預防軟體與網路入侵檢測軟體。

透過這兩套開源系統整合出可自行控制的軟體型路由器防火牆(?)

假設各位已安裝 pfSense, 我的環境是在 VMware 配置 pfsense,WAN 口是 VMware 的 NAT,LAN 是 Hostonly VMnet2

在 pfSense 網頁介面中的 System -> Package Manager

切到 Available Packages 搜尋 Snort 並安裝

安裝完成後會有個綠色字條出現。

在導覽列上 Services -> Snort 就會多出這個選項,點擊後進行設定

這一步需要到 snort 官網上註冊帳號

取得Oinkcode 貼上去 (我故意不截到所有code 的…)

接下來就勾選想要啟用的規則

更新規則的時間依需求調整

還有被封鎖時的主機什麼時候要解鎖

切換到 Snort -> Updates 更新一下 Rule … 需要一段時間

一切就緒後決定要配置在哪個 WAN 還是 LAN 上,那我這邊 NAT 其實外面是實體機伺服器, LAN 對的是內部的 VM 網路,裡面再配一台 Win10 透過 pfsense 的 LAN 口轉發 WAN 上網。

幾個比較重要的設定是妳 alert 的地方要不要啟用封包擷取跟傳到系統 log 上

在WAN Categories 中 為 Snort 開啟 IPS policy

下面規則記得勾選歐,是不是有種網路安全技能競賽每年都在考的題目在上面的既視感…

WAN Preprocs 就看需求要不要調整預處理的內容

最後回到 Snort Interface

點啟用的按鈕(我點了正在啟用中所以是齒輪圖案)

最後就準備一台機器攻擊看看會不會有 alert 跳出來囉!

這邊我 pfsense 的配置是

注意給軟路由的 LAN VMnet2 不要開 DHCP 的服務喔,如果 VM 抓錯抓到 VMware 的 DHCP 而不是 Pfsense 上的,網路直接斷給你看…. 這我弄了好久才查到這個問題

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。

thirteen − 8 =

Back To Top
error: Content is protected !!