3 : Installer Snort sur Pfsense : IDS (Intrusion Detection System) et IPS (Introsion Prevention System)

Modérateur : admin

Répondre
admin
Site Admin
Messages : 23
Enregistré le : 18 juil. 2017, 19:18

3 : Installer Snort sur Pfsense : IDS (Intrusion Detection System) et IPS (Introsion Prevention System)

Message par admin »

• Pour installer Snort, il faut aller dans le package manager de pfsense et l'installer.
1.png
1.png (44.12 Kio) Vu 33129 fois


• Ensuite :

2.png
2.png (143.02 Kio) Vu 33129 fois
3.png
3.png (119.13 Kio) Vu 33129 fois


Mais avant de sauvegarder, il faut créer un compte gratuit Snort. Procédez comme suit :
4.png
4.png (54.1 Kio) Vu 33129 fois

Ceci as pour effet d'ouvrir le site web de Snort, où vous pouvez vous inscrire gratuitement :
5.png
5.png (138.76 Kio) Vu 33129 fois
Une fois inscrit, connectez-vous.

Allez ensuite copier votre "Oinkcode"
6.png
6.png (10.06 Kio) Vu 33129 fois
• Puis, revenez dans l'interface web de pfSense, et collez le dans la zone qui lui est déstinée :
7.png
7.png (59.38 Kio) Vu 33129 fois

• Cliquez ensuite sur "Save", en bas de la page.

• Ciquez sur "Updates" en haut :
8.png
8.png (97.58 Kio) Vu 33129 fois

• Allez dans interfacs et choisissez WAN (en cliquant sur [+Add] :
9.png
9.png (27.47 Kio) Vu 33129 fois
10.png
10.png (106.75 Kio) Vu 33129 fois





• Tout est bien configuré par défaut.
• Cliquez sur "Save"


• L'interface wan est apparue dans "Snort Interfaces". Activez-la en cliquant sur le bouton rond bleu en forme de "Play"
11.png
11.png (29.2 Kio) Vu 33129 fois




• Aller dans "WAN Categories"
12.png
12.png (132.36 Kio) Vu 33129 fois

• Faites les modifications si nécessaires (activer le mode IPS).
13.png
13.png (124.71 Kio) Vu 33129 fois


• Aller dans "WAN Rules"
14.png
14.png (104.56 Kio) Vu 33129 fois


• Autoriser un faux positif (3 façons différentes) (voir en dessous) :
15.png
15.png (105.37 Kio) Vu 33129 fois


- Pour autoriser des codes IP :
• Aller dans "Alerts"
○ Trouver le code IP que vous voulez autoriser, puis cliquez sur la croix à côté (autorisation temporelle).
• Pour autoriser des codes IP (définitivement) :
○ Soit l'ajouter à la "Pass Lists" (demande un redémarrage de pfSense)
○ Soit cliquer sur le petit plus, dans un carré, en dessous de "GID:SID" (plus rapide, demande qu'un redémarrage de l'interface WAN). (De loin la meilleure méthode pour moi, c'est celle que j'utilise tout le temps) :
16.png
16.png (39.62 Kio) Vu 33129 fois
17.png
17.png (13.52 Kio) Vu 33129 fois



• Il faut ensuite, soit redémarrer le service snort, et si ça ne fonctionne pas, redémarrer pfSense en entier.





Re-bloquer une règle par identifiant :
18.png
18.png (37.22 Kio) Vu 33129 fois

19.png
19.png (74.31 Kio) Vu 33129 fois
1) Dans "Suppression Rules", supprimez la-les lignes des règles que vous voulez re-bloquer,
2) Sauvegardez.
- Puis redémarrez l'interface WAN.







Source :

https://openclassrooms.com/fr/courses/1 ... tre-reseau

https://docs.netgate.com/pfsense/en/lat ... setup.html
Haut
Répondre

Retourner vers « Les FireWall avec état »