- \n
- Instalando o Snort no pfSense<\/a><\/li>\n\n\n\n
- Iniciando a GUI(Interface de Usu\u00e1rio) de configura\u00e7\u00e3o do Snort<\/a><\/li>\n\n\n\n
- Configurando o pacote Snort pela primeira vez<\/a><\/li>\n\n\n\n
- A Aba Updates<\/a><\/li>\n\n\n\n
- Adicionar Snort a uma interface<\/a><\/li>\n\n\n\n
- A Guia Pass Lists<\/a><\/li>\n\n\n\n
- Limite de Alerta e Supress\u00e3o<\/a><\/li>\n\n\n\n
- Alertas do Snort<\/a><\/li>\n\n\n\n
- Detalhes do Alerta<\/a><\/li>\n<\/ul>\n\n\n\n
<\/p>\n\n\n\n
Instalando o Snort no pfSense<\/h2>\n\n\n\n
Para instalar o Snort \u00e9 bem simples, basta ir em Sistema–>Gerenciador de pacotes<\/strong>(System –> Package Manager<\/strong>), pesquisar por snort e realizar a instala\u00e7\u00e3o. Gra\u00e7as aos detectores e regras OpenAppID, o pacote Snort permite a detec\u00e7\u00e3o e filtragem de aplicativos.<\/p>\n\n\n\n
O Snort opera usando assinaturas de detec\u00e7\u00e3o chamadas regras. As regras do Snort podem ser criadas de forma personalizada pelo usu\u00e1rio, ou qualquer um dos v\u00e1rios conjuntos de regras pr\u00e9-empacotados pode ser ativado e baixado.<\/p>\n\n\n\n
- \n
- Snort VRT (Vulnerability Research Team) rules<\/li>\n\n\n\n
- Snort GPLv2 Community Rules<\/li>\n\n\n\n
- Emerging Threats Open Rules<\/li>\n\n\n\n
- Emerging Threats Pro Rules<\/li>\n\n\n\n
- OpenAppID Open detectors and rules for application detection<\/li>\n<\/ul>\n\n\n\n
As Regras Snort GPLv2 Community<\/strong> e Emerging Threats Open<\/strong> s\u00e3o dispon\u00edveis gratuitamente, sem necessidade de registro. As regras do Snort VRT<\/strong> s\u00e3o oferecidas em duas formas. Uma \u00e9 uma vers\u00e3o de usu\u00e1rio registrado que \u00e9 gratuita, mas requer registro em http:\/\/www.snort.org<\/a>. A vers\u00e3o gratuita para usu\u00e1rios registrados fornece acesso apenas a regras com 30 dias ou mais. Uma assinatura paga do Snort VRT pode ser adquirida e oferece atualiza\u00e7\u00f5es das regras duas vezes por semana (e \u00e0s vezes mais frequentes). As regras do Emerging Threats Pro <\/strong>s\u00e3o oferecidas apenas para assinantes pagos e oferecem atualiza\u00e7\u00f5es quase di\u00e1rias para lidar com amea\u00e7as que mudam rapidamente.<\/p>\n\n\n\n
Segundo o site da netgate.com:<\/p>\n\n\n\n
\n
A melhor pr\u00e1tica \u00e9 obter uma assinatura paga do Snort ou Emerging Threats para baixar as regras mais atuais. Isso \u00e9 altamente recomendado para aplica\u00e7\u00f5es comerciais.<\/em><\/p>\nnetgate<\/a><\/cite><\/blockquote>\n\n\n\n
Iniciando a GUI(Interface de Usu\u00e1rio) de configura\u00e7\u00e3o do Snort<\/h2>\n\n\n\n
Para iniciar o aplicativo de configura\u00e7\u00e3o do Snort, navegue at\u00e9 Servi\u00e7os –> Snort( Services –> Snort<\/strong>)<\/strong> no menu da p\u00e1gina do pfSense.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/launchsnortgui.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Configurando o pacote Snort pela primeira vez<\/h2>\n\n\n\n
Clique na guia Configura\u00e7\u00f5es globais<\/strong>(Global Settings<\/strong>) e ative os downloads do conjunto de regras a serem usados. Se as regras do Snort VRT ou do Emerging Threats Pro estiverem marcadas, uma caixa de texto ser\u00e1 exibida para inserir o c\u00f3digo de assinante exclusivo obtido com a assinatura ou registro.<\/p>\n\n\n\n
Mais de um conjunto de regras pode ser habilitado para download, mas observe as seguintes ressalvas: n\u00e3o habilite as regras da Comunidade GPLv2 se uma conta de assinante paga for usada para as regras Snort VRT, pois se uma assinatura paga estiver dispon\u00edvel para as regras do Snort VRT, todas as regras da comunidade Snort GPLv2 j\u00e1 ser\u00e3o automaticamente inclu\u00eddas no arquivo baixado com as regras do Snort VRT. Da mesma forma, todas as regras do Emerging Threats Open est\u00e3o inclu\u00eddas na assinatura paga das regras do Emerging Threats Pro. Se as regras do Emerging Threats Pro estiverem ativadas, as regras do Emerging Threats Open ser\u00e3o automaticamente desativadas.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/enablesnortrulesdownloads.png\")
<\/figure>\n\n\n\nDepois que os conjuntos de regras desejados estiverem ativados, defina o intervalo para o Snort verificar se h\u00e1 atualiza\u00e7\u00f5es nos pacotes de regras ativados. Clique em Intervalo de atualiza\u00e7\u00e3o(Update Interval<\/strong>) para escolher um intervalo de atualiza\u00e7\u00e3o de regra. Na maioria dos casos, a cada 12 horas \u00e9 uma boa escolha. <\/p>\n\n\n\n
A hora de in\u00edcio da atualiza\u00e7\u00e3o(Update Start Time<\/strong>) pode ser personalizada, se desejado. Digite a hora como horas e minutos no formato de 24 horas. A hora de in\u00edcio padr\u00e3o \u00e9 3 minutos depois da meia-noite, hor\u00e1rio local. Portanto, com um intervalo de atualiza\u00e7\u00e3o de 12 horas selecionado, o Snort verificar\u00e1 os sites Snort VRT ou Amea\u00e7as Emergentes(Emerging Threats<\/strong>) 3 minutos ap\u00f3s a meia-noite e 3 minutos ap\u00f3s o meio-dia todos os dias para verificar se h\u00e1 atualiza\u00e7\u00f5es de pacotes de regras publicadas.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortrulesupdatesettings.png\")
<\/figure>\n\n\n\nA guia Atualiza\u00e7\u00f5es(Updates<\/strong>) \u00e9 usada para verificar o status dos pacotes de regras baixados e para baixar novas atualiza\u00e7\u00f5es. A tabela mostra os pacotes de regras dispon\u00edveis e seus status atuais(n\u00e3o ativado, n\u00e3o baixado ou uma soma de verifica\u00e7\u00e3o MD5 v\u00e1lida e data).<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
A Aba Updates<\/h2>\n\n\n\n
A guia Atualiza\u00e7\u00f5es \u00e9 usada para verificar o status dos pacotes de regras baixados e para baixar novas atualiza\u00e7\u00f5es. A tabela mostra os pacotes de regras dispon\u00edveis e seus status atuais (n\u00e3o ativado, n\u00e3o baixado ou uma soma de verifica\u00e7\u00e3o MD5 v\u00e1lida e data) ou (not enabled, not downloaded, or a valid MD5 checksum and date).<\/p>\n\n\n\nClique no bot\u00e3o Atualizar regras<\/strong>(Update Rules<\/strong>) para baixar as \u00faltimas atualiza\u00e7\u00f5es do pacote de regras. Se houver um conjunto mais recente de regras empacotadas no site do fornecedor, ele ser\u00e1 baixado e instalado. A determina\u00e7\u00e3o \u00e9 feita comparando o MD5 do arquivo local com o do arquivo remoto no site do fornecedor. Se houver uma incompatibilidade, um novo arquivo ser\u00e1 baixado. O bot\u00e3o FORCE pode ser usado para for\u00e7ar o download dos pacotes de regras do site do fornecedor, independentemente de como o hash MD5 \u00e9 testado.<\/p>\n\n\n\n
Na imagem abaixo, os pacotes de regras Snort VRT <\/strong>e Emerging Threats Open<\/strong> foram baixados com sucesso. O hash MD5 calculado e a data e hora de download do arquivo s\u00e3o mostrados. Observe tamb\u00e9m que o hor\u00e1rio da \u00faltima atualiza\u00e7\u00e3o e o resultado s\u00e3o exibidos no centro da p\u00e1gina.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortupdaterulesstatus2.png\")
<\/figure>\n\n\n\nAdicionar Snort a uma interface<\/h2>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\n![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortblockedhosts.png\")
snort para ids ips<\/figcaption><\/figure>\n\n\n\n A guia Bloqueado(Blocked<\/strong>) mostra quais hosts est\u00e3o sendo bloqueados pelo Snort quando a op\u00e7\u00e3o de bloquear infratores(block offenders<\/strong>) \u00e9 selecionada na guia Configura\u00e7\u00f5es de interface(Interface Settings<\/strong>). Os hosts bloqueados podem ser automaticamente limpos pelo Snort em um dos v\u00e1rios intervalos predefinidos. As op\u00e7\u00f5es de bloqueio para uma interface s\u00e3o configuradas na guia Snort Interface Settings <\/strong>da interface. Para remover manualmente um host bloqueado, clique no \u00edcone na coluna \u00e0 direita.<\/mark><\/p>\n\n\n\n
O \u00edcone em formato de lupa<\/strong> executa uma pesquisa DNS reversa no endere\u00e7o IP do host bloqueado quando clicado.<\/p>\n\n\n\n
A Guia Pass Lists<\/h2>\n\n\n\n
Pass Lists <\/strong>s\u00e3o listas de endere\u00e7os IP que o Snort nunca deve bloquear. Eles podem ser criados e gerenciados na guia Pass Lists. Quando um endere\u00e7o IP est\u00e1 listado em uma Pass List, o Snort nunca ir\u00e1 inserir um bloco naquele endere\u00e7o, mesmo quando o tr\u00e1fego malicioso for detectado.<\/p>\n\n\n\n
Para criar uma nova Pass List<\/strong>, clique no \u00edcone em formarto de +<\/strong>. Para editar uma Pass List existente, clique no arquivo. Para excluir uma lista de senhas, clique no \u00edcone em formato de l\u00e1pis. Observe que uma Pass List n\u00e3o pode ser exclu\u00edda se estiver atualmente atribu\u00edda a uma ou mais interfaces Snort.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortpasslists.png\")
<\/figure>\n\n\n\nUma Pass List padr\u00e3o \u00e9 gerada automaticamente pelo Snort para cada interface, e essa lista padr\u00e3o \u00e9 usada quando nenhuma outra lista \u00e9 especificada. Listas de passagem s\u00e3o atribu\u00eddas a uma interface na guia Interface Settings<\/strong>(Configura\u00e7\u00f5es de interface).<\/p>\n\n\n\n
A Pass List<\/strong> personalizada pode ser criada e atribu\u00edda a uma interface. Isso pode ser feito quando existem hosts externos confi\u00e1veis \u200b\u200bque n\u00e3o est\u00e3o localizados em redes conectadas diretamente ao firewall. Para adicionar hosts externos dessa maneira, primeiro crie um Alias \u200b\u200bem Firewall –> Aliases<\/strong> e, em seguida, atribua esse alias ao campo Assigned Aliases<\/strong>(Aliases atribu\u00eddos). No exemplo mostrado abaixo, o alias \u201cFriendly_ext_hosts\u201d foi atribu\u00eddo. Esse alias conteria os endere\u00e7os IP dos hosts externos confi\u00e1veis.<\/p>\n\n\n\n
Ao criar uma Pass List personalizada, deixe todos os endere\u00e7os IP gerados automaticamente marcados na se\u00e7\u00e3o Add auto-generated IP addresses<\/strong>(Adicionar endere\u00e7os IP gerados automaticamente). N\u00e3o marcar as caixas de sele\u00e7\u00e3o nesta se\u00e7\u00e3o pode levar ao bloqueio de endere\u00e7os cr\u00edticos, incluindo as pr\u00f3prias interfaces do firewall. Isso pode resultar no bloqueio do firewall pela rede! Desmarque as caixas nesta se\u00e7\u00e3o apenas quando for absolutamente necess\u00e1rio.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortpasslistedit.png\")
<\/figure>\n\n\n\nClique no bot\u00e3o ALIASES para abrir uma janela mostrando os aliases previamente definidos para sele\u00e7\u00e3o. Lembre-se de clicar em SALVAR para salvar as altera\u00e7\u00f5es.<\/p>\n\n\n\n
Lembre-se de que a simples cria\u00e7\u00e3o de uma Pass List \u00e9 apenas o primeiro passo! Ele deve ser selecionado acessando a guia Interface Settings<\/strong> da interface do Snort<\/strong> e atribuindo a Pass List rec\u00e9m-criada, conforme mostrado abaixo. Depois de atribuir e salvar a nova Pass List, reinicie o Snort na interface afetada para selecionar a altera\u00e7\u00e3o.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortassignpasslist.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Limite(Thresholding) de Alerta e Supress\u00e3o(Suppression)<\/h2>\n\n\n\n
As listas de supress\u00e3o<\/strong> permitem o controle sobre os alertas gerados pelas regras do Snort. Quando um alerta \u00e9 suprimido, o Snort n\u00e3o registra mais uma entrada de alerta ou bloqueia o endere\u00e7o IP se o bloqueio de infratores(Block Offenders) estiver ativado quando uma regra espec\u00edfica \u00e9 acionada. <\/mark>O Snort ainda inspeciona todo o tr\u00e1fego de rede em rela\u00e7\u00e3o \u00e0 regra, mas mesmo quando o tr\u00e1fego corresponde \u00e0 assinatura da regra, nenhum alerta ser\u00e1 gerado. Isso \u00e9 diferente de desabilitar uma regra. Quando uma regra \u00e9 desativada, o Snort n\u00e3o tenta mais combin\u00e1-la com nenhum tr\u00e1fego de rede. A supress\u00e3o de uma regra pode substituir a desativa\u00e7\u00e3o da regra quando os alertas devem ser interrompidos apenas com base no IP de origem ou de destino. Por exemplo, para suprimir o alerta quando o tr\u00e1fego de um determinado endere\u00e7o IP confi\u00e1vel \u00e9 a origem. Se qualquer outro IP for a origem ou o destino do tr\u00e1fego, a regra ainda ser\u00e1 disparada. Para eliminar todos os alertas da regra, \u00e9 mais eficiente simplesmente desabilitar a regra em vez de suprimi-la. Desativar a regra ir\u00e1 remov\u00ea-la da lista de regras de correspond\u00eancia do Snort e, portanto, dar\u00e1 menos trabalho ao Snort.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortsuppresslists.png\")
<\/figure>\n\n\n\nNa p\u00e1gina Edi\u00e7\u00e3o da Lista de Supress\u00e3o, uma nova entrada da lista de supress\u00e3o pode ser adicionada ou editada manualmente. Normalmente, \u00e9 mais f\u00e1cil e r\u00e1pido adicionar entradas de lista de supress\u00e3o clicando +<\/strong><\/mark> nas entradas de alerta exibidas na guia Alertas. Lembre-se de clicar no bot\u00e3o SALVAR para salvar as altera\u00e7\u00f5es ao editar manualmente as entradas da Lista de supress\u00e3o.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortsuppresslistedit.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
Alertas do Snort<\/h2>\n\n\n\n
A guia Alertas \u00e9 onde os alertas gerados pelo Snort podem ser visualizados. Se o Snort estiver sendo executado em mais de uma interface, escolha a interface para visualizar os alertas no seletor suspenso.<\/p>\n\n\n\n
Use o bot\u00e3o DOWNLOAD para baixar um arquivo gzip tar contendo todos os alertas registrados em uma m\u00e1quina local. O bot\u00e3o CLEAR \u00e9 usado para apagar o registro de alertas atual.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortalerts.png\")
<\/figure>\n\n\n\nDetalhes do Alerta<\/h3>\n\n\n\n
![\"\"\/](\"https:\/\/docs.netgate.com\/pfsense\/en\/latest\/_images\/snortalertdetails.png\")
<\/figure>\n\n\n\nA coluna Data<\/strong>(Date) mostra a data e a hora em que o alerta foi gerado. As colunas restantes mostram os dados da regra que gerou o alerta.<\/p>\n\n\n\n
Nas colunas Source<\/strong>(Origem), Destination<\/strong>(Destino), s\u00e3o \u00edcones em formato de lupa para realizar pesquisas DNS reversas nos endere\u00e7os IP; o \u00edcone em formato de +<\/mark><\/strong> \u00e9 usado para adicionar uma entrada autom\u00e1tica da Lista de supress\u00e3o para o alerta usando o endere\u00e7o IP e o SID(ID de assinatura). Isso impedir\u00e1 que alertas futuros sejam gerados pela regra apenas para esse endere\u00e7o IP espec\u00edfico. Se um dos endere\u00e7os de origem ou destino estiver sendo bloqueado pelo Snort, um \u00edcone em formato de x<\/mark><\/strong> tamb\u00e9m ser\u00e1 exibido. Clicar nesse \u00edcone remover\u00e1 o bloqueio do endere\u00e7o IP.<\/p>\n\n\n\n
A coluna SID cont\u00e9m dois \u00edcones. O \u00edcone em formato de +<\/mark><\/strong> adicionar\u00e1 automaticamente esse SID \u00e0 lista de supress\u00e3o da interface e suprimir\u00e1 alertas futuros da assinatura de todos os endere\u00e7os IP. O \u00edcone em formato de x<\/mark><\/strong> na coluna SID desativar\u00e1 a regra e a remover\u00e1 do conjunto de regras de imposi\u00e7\u00e3o. Quando uma regra \u00e9 desativada manualmente, o \u00edcone na coluna SID muda para um x com fundo azul em c\u00edrculo.<\/p>\n\n\n\n
Gerenciando hosts bloqueados no Snort<\/h2>\n\n\n\n
A guia Bloqueado mostra quais hosts est\u00e3o sendo bloqueados pelo Snort (quando a op\u00e7\u00e3o de Block Ofenders<\/strong>(bloquear infratores) \u00e9 selecionada na guia Configura\u00e7\u00f5es de interface). Os hosts bloqueados podem ser automaticamente limpos pelo Snort em um dos v\u00e1rios intervalos predefinidos. As op\u00e7\u00f5es de bloqueio para uma interface s\u00e3o configuradas na guia Snort Interface Settings da interface.<\/p>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
- Iniciando a GUI(Interface de Usu\u00e1rio) de configura\u00e7\u00e3o do Snort<\/a><\/li>\n\n\n\n