pfsense 2.4.4 - Como configurar IPS/IDS no pfSense usando o SNORT
Вставка
- Опубліковано 7 вер 2024
- Olá Pessoal,
Neste vídeo demonstramos como configurar IPS/IDS no pfSense usando o SNORT, abordaremos também uma prova de conceito (POC) no qual o SNORT irá detectar um portscan.
Se gostou do vídeo se inscreva no canal click em gostei.
Obrigado e até o próximo vídeo!
#pfsense
#firewall
#utm
#opensource
#free
#ips/ids
#snort
#networking
Poh cara, parabéns pelo vídeo, aula... tem meu apoio neste projeto, ganhou um inscrito e vou divulgar. valeu
Excelente explicação e didática, ótimos vídeos! Obrigado por compartilhar conhecimentos.
Show.... Parabéns pelas explicações e passagem de conhecimento.
mais outro video show
Aula top, parabéns 🎉
Estou pensando em instalar no pfsense da empresa, mais tenho medo de bloquear muita coisa, muitos falsos positivos.. como saber se é um falso positivo??
@@edvanlima8588 Talvez o ideal é que no começo você não marque block ofenders e trabalhe com o snort apenas em modo IDS (detect) e a medida que os alertas forem aparecendo você vai checando os ips de origem em algum whois como este www2.cqcounter.com/whois/ assim você consegue saber se o IP de origem é do google, akamai, bancos e etc ou não, e a medida que você for suprimindo os falso positivos e sentir que os alertas estão alarmando apenas tráfego malicioso para então você habilitar o block offenders, penso ser essa a melhor estratégia para implementação do Snort.
Você dar treinamento no pfsense? Me manda um e-mail como funciona a questão de consultoria!!
edvan.je@gmail.com
@@edvanlima8588 Nós ainda não oferecemos treinamos, estamos negociando com a NETGATE empresa mantenedora do pfSense para desenvolver o curso oficial em Português mais ainda não há nada certo, mais fique ligado aqui no canal que ainda tem muito conteúdo de pfSense a ser liberado. Sobre a consultoria vou pedir para alguém do time comercial entrar em contato contigo na próxima semana.
Abs e boa páscoa!
Parabéns pelo canal, Muito bom o conteúdo dos vídeos.
Parabéns amigo, excelentes videos..
Ola!! Excelente vídeo aula!!! muito bom mesmo. Se possível uma pergunta, um servidor firewall Pfsense com 8 Gb de memoria, core i3, tenho squid e squid guardian rodando com proxy autenticação, vpn e 2 link's. Será que consigo instalar o SNORT sem ocorrer lentidão ou travamento? desde já agradeço a atenção e mais uma vez Excelente o vídeo!!!
show.. Parabéns
Ótima explicação...muito bom...
Em 2023, qual seria melhor utilizar, snort ou suricata?
O zeek, entra na lista?
Excelente, obrigado!!!!
Show
show
muito bom
Beleza professor. testado e funcionando. Parabéns pelo conteúdo simples e funcional. Agora me tira uma dúvida, se o FW do Pfsense já está bloqueando esses acessos, qual seria a diferença de se habilitar o recurso, versus, o trabalho já exercido pelo Firewall. Abraços.
Olá, nesse raciocínio, entram dois conceitos;
- Firewall: trabalha baseado nas regras que você define.
- IDS/IPS: trabalha comparando comportamentos com assinaturas podendo ou não ter relação com as definições que você criou para o trafego IN/OUT.
Entendendo isso, fica fácil te responder por que é importante usar um IDS/IPS para proteger sua rede (NIDS - Network Intrusion Detection System), por que ele analisa o comportamento de determinados protocolos de rede muitas vezes inspecionando o seu conteúdo, diferente de um firewall que vai permitir ou não determinando trafego sem os critérios de um IDS/IPS.
Talvez você possa considerar ter um firewall sem nenhum porta aberta de entrada, mais é o trafego de saída da rede LAN por exemplo como você monitora? Mais importante do que usar um sistema de segurança para sua rede, é entender as particularidades dela e assim avaliar a necessidade de cada ferramenta. Espero ter conseguido responder sua pergunta. Abs
Primeiramente parabéns pelo vídeo ficou dez , excelentes explicações e tenho uma dúvida o Oinkcode posso utilizar em mais de um PF ?
Ricardo, funciona sim. Abs
Eu devo instalar esse software em uma maquina certo? e garantir que ela esteja em uma posição estratégica na topologia de rede?
gostei do video! Cara estou implementando um pfsense em uma empresa, era apenas para fazer pppoe e agora estou pensando usar mais recursos. Qual minimo devo usar para dois? lembrando estou usando atualmente core 2 duo e 2gb ram.
Olá, depende bastante do que você vai usar de pacote adicional, se for apenas para funcionalidades de firewall nativas com o link pppoe o setup que você mencionou é suficiente, agora que se vai usar o snort e pensa em habilitar todas as assinaturas, lembre que elas serão carregadas em memória penso que seria o ideal trabalhar com 4GB de memória se o trafego de rede não for muito intenso.
Fiz igualzinho e meu snort não inicia. Oque pode ser?
Gostaria de saber se da curso e se sim deixa o contato para nos , obrigado.
tambem estou implementando porem fiz um teste em casa e o snort faz bloqueios das minhas smart TV.
Rapha Bessoni segundo o vídeo acima, você terá que suprimir esses falsos positivos pra não bloquear mas sua smart tv
Desabilite o block ofenders a principio! Vá fazendo consultas dos IPs de origem em www2.cqcounter.com/whois/ e vai suprimindo os falso positivos, e caso você perceba que está caindo muitas vezes na mesma regra faça a supressão da regra ou invés de suprimir apenas por origem, quando sentir que os alarmes são realmente alarmes de IPs suspeitos ai você habilita o block ofenders. A ideia é inicialmente "Treinar o Snort" para depois de uma ou duas semanas de treino você poder habilitá-lo como IDS/IPS usando o block ofenders.
@@NETWORKPROBR OK , Seu video caiu como luva , as explicações foram excelentes e com certeza vai ajudar muitos.
@@Raphael-df8zt obrigado pelo feedback e sempre muito importante pra nós!!
Quando um sensor (LAN) trava fica engranagem rodando sem fim, o que posso fazer para resolver?
Nesse caso o que você pode fazer é clicar novamente em interfaces, e ver se quando recarrega a pagina se o sensor aparece como iniciado, do contrário da uma olhada em status/system logs para analisar se existem alguma problema na execução do snort.
@@NETWORKPROBR eu estava lendo mais sobre, a verdade que o pfsence travou rsrs.. nem abre mais, como eu a tinha configurado o proxy squid nele, creio q deu algum pau de memoria, na segunda eu vou pedir para o cara de infra reinciiar a VM, e analisar se pode aumentar a memoria da maquina, nao encontrei nada de requisito minimo sobre esse assunto e me dei mau! O ideial seria uma VM com pfsence para cada servico? Ou posso rodar tudo junto?
@@AtilaMello então, dependendo da quantidade interfaces nas quais você vai habilitar os sensores, realmente haverá um consumo de considerável de memória , se você tiver o Squid com o Clamav habilitado ai você precisar considerar um bom volume de memória. Você pode ter tudo em um pf apenas, basta melhorar a quantidade de memória alocada para esta VM e como é uma VM, antes de fazer alterações tire uma snapshop para que em caso de problemas ao habilitar esses serviços você consiga rapidamente voltar a VM para o estado anterior.
Cara, hj em dia vale apenas implantar pfsense em uma empresa de médio porte ?
Se a empresa é de médio porte já deve ter bons recursos financeiros, aí nesse caso eu iria de Fortigate ou outra solução proprietária que já entrega todos os recursos Next Generation prontos para você e com suporte completo da fabricante.
Eu penso em usar o Pfsense em pequenos estabelecimentos comerciais que precisam de segurança ou pequenas empresas sem muitos recursos para investimento.
Como adiciono um IP específico que quero bloquear, manualmente ?
Ao editar a configuração sensor você tem a penúltima aba IP REP, você pode criar uma lista de IPs e adicionar na blacklist. Você também consegue fazer via regra de firewall para 1 IPs ou vários dentro de um alias.
@@NETWORKPROBR Certo, muito obrigado, outra dúvida demora mto pra baixar os pacotes do Snort ? E a instalação é feita pelo PfSense msm ?
@@wendelsantos8603 o pacote do snort não, mais as assinaturas dependendo do seu link, podem demorar um pouco sim.......