• Pour installer Snort, il faut aller dans le package manager de pfsense et l'installer.
- 6.png (10.06 Kio) Vu 33547 fois
• Ensuite :
- 5.png (138.76 Kio) Vu 33547 fois
- 4.png (54.1 Kio) Vu 33547 fois
Mais avant de sauvegarder, il faut créer un compte gratuit Snort. Procédez comme suit :
- 3.png (119.13 Kio) Vu 33547 fois
Ceci as pour effet d'ouvrir le site web de Snort, où vous pouvez vous inscrire gratuitement :
- 2.png (143.02 Kio) Vu 33547 fois
Une fois inscrit, connectez-vous.
Allez ensuite copier votre "Oinkcode"
•
- 1.png (44.12 Kio) Vu 33547 fois
• Puis, revenez dans l'interface web de pfSense, et collez le dans la zone qui lui est déstinée :
•
- 19.png (74.31 Kio) Vu 33547 fois
•
• Cliquez ensuite sur "Save", en bas de la page.
• Ciquez sur "Updates" en haut :
- 18.png (37.22 Kio) Vu 33547 fois
• Allez dans interfacs et choisissez WAN (en cliquant sur [+Add] :
- 17.png (13.52 Kio) Vu 33547 fois
- 16.png (39.62 Kio) Vu 33547 fois
• Tout est bien configuré par défaut.
• Cliquez sur "Save"
• L'interface wan est apparue dans "Snort Interfaces". Activez-la en cliquant sur le bouton rond bleu en forme de "Play"
- 15.png (105.37 Kio) Vu 33547 fois
• Aller dans "WAN Categories"
- 14.png (104.56 Kio) Vu 33547 fois
• Faites les modifications si nécessaires (activer le mode IPS).
- 13.png (124.71 Kio) Vu 33547 fois
• Aller dans "WAN Rules"
- 12.png (132.36 Kio) Vu 33547 fois
• Autoriser un faux positif (3 façons différentes) (voir en dessous) :
- 11.png (29.2 Kio) Vu 33547 fois
- Pour autoriser des codes IP :
• Aller dans "Alerts"
○ Trouver le code IP que vous voulez autoriser, puis cliquez sur la croix à côté (autorisation temporelle).
• Pour autoriser des codes IP (définitivement) :
○ Soit l'ajouter à la "Pass Lists" (demande un redémarrage de pfSense)
○ Soit cliquer sur le petit plus, dans un carré, en dessous de "GID:SID" (plus rapide, demande qu'un redémarrage de l'interface WAN). (De loin la meilleure méthode pour moi, c'est celle que j'utilise tout le temps) :
○
- 10.png (106.75 Kio) Vu 33547 fois
- 9.png (27.47 Kio) Vu 33547 fois
•
•
•
• Il faut ensuite, soit redémarrer le service snort, et si ça ne fonctionne pas, redémarrer pfSense en entier.
Re-bloquer une règle par identifiant :
- 8.png (97.58 Kio) Vu 33547 fois
- 7.png (59.38 Kio) Vu 33547 fois
1) Dans "Suppression Rules", supprimez la-les lignes des règles que vous voulez re-bloquer,
2) Sauvegardez.
- Puis redémarrez l'interface WAN.
Source :
https://openclassrooms.com/fr/courses/1 ... tre-reseau
https://docs.netgate.com/pfsense/en/lat ... setup.html• Pour installer Snort, il faut aller dans le package manager de pfsense et l'installer.
[attachment=18]1.png[/attachment]
• Ensuite :
[attachment=17]2.png[/attachment]
[attachment=16]3.png[/attachment]
Mais avant de sauvegarder, il faut créer un compte gratuit Snort. Procédez comme suit :
[attachment=15]4.png[/attachment]
Ceci as pour effet d'ouvrir le site web de Snort, où vous pouvez vous inscrire gratuitement :
[attachment=14]5.png[/attachment]
Une fois inscrit, connectez-vous.
Allez ensuite copier votre "Oinkcode"
• [attachment=13]6.png[/attachment]
• Puis, revenez dans l'interface web de pfSense, et collez le dans la zone qui lui est déstinée :
• [attachment=12]7.png[/attachment]
•
• Cliquez ensuite sur "Save", en bas de la page.
• Ciquez sur "Updates" en haut :
[attachment=11]8.png[/attachment]
• Allez dans interfacs et choisissez WAN (en cliquant sur [+Add] :
[attachment=10]9.png[/attachment]
[attachment=9]10.png[/attachment]
• Tout est bien configuré par défaut.
• Cliquez sur "Save"
• L'interface wan est apparue dans "Snort Interfaces". Activez-la en cliquant sur le bouton rond bleu en forme de "Play"
[attachment=8]11.png[/attachment]
• Aller dans "WAN Categories"
[attachment=7]12.png[/attachment]
• Faites les modifications si nécessaires (activer le mode IPS).
[attachment=6]13.png[/attachment]
• Aller dans "WAN Rules"
[attachment=5]14.png[/attachment]
• Autoriser un faux positif (3 façons différentes) (voir en dessous) :
[attachment=4]15.png[/attachment]
- Pour autoriser des codes IP :
• Aller dans "Alerts"
○ Trouver le code IP que vous voulez autoriser, puis cliquez sur la croix à côté (autorisation temporelle).
• Pour autoriser des codes IP (définitivement) :
○ Soit l'ajouter à la "Pass Lists" (demande un redémarrage de pfSense)
○ Soit cliquer sur le petit plus, dans un carré, en dessous de "GID:SID" (plus rapide, demande qu'un redémarrage de l'interface WAN). (De loin la meilleure méthode pour moi, c'est celle que j'utilise tout le temps) :
○ [attachment=3]16.png[/attachment]
[attachment=2]17.png[/attachment]
•
•
•
• Il faut ensuite, soit redémarrer le service snort, et si ça ne fonctionne pas, redémarrer pfSense en entier.
Re-bloquer une règle par identifiant :
[attachment=1]18.png[/attachment]
[attachment=0]19.png[/attachment]
1) Dans "Suppression Rules", supprimez la-les lignes des règles que vous voulez re-bloquer,
2) Sauvegardez.
- Puis redémarrez l'interface WAN.
Source :
https://openclassrooms.com/fr/courses/1750566-optimisez-la-securite-informatique-grace-au-monitoring/7145108-surveillez-les-logs-de-votre-reseau
https://docs.netgate.com/pfsense/en/latest/packages/snort/setup.html