pfSense snort kurulum

29 Temmuz 2009 Yazan  
Kategori pfSense

Snort network intrusion prevention and detection system (IDS/IPS) olarak geçmektedir. Ağ saldırı engelleme ve tespit sistemi. Bunun hakkında detaylı bilgileri internetten araştırarak öğrenebilirsiniz. pfsense üzerinde snort yazılarımızda kurulum, ayarlamalar ve ilk karşılaşacağınız hatalarla ilgili yazılarımız olacaktır.

Snort ile sistemimize giriş yapmaya çalışan kişilerin ip, port, protokol, kaynak ağ, hedef ağ, veri paket büyüklüğü, veri paket içeriği, imzalanmış paket içeriklerini kontrol ederek hafızasındaki kurallara uygun olanları listeler isterseniz çoğunlukla ilkinden sonrakileri engelleyebilir.

Ştandart olarak paketimizi Setup > Packages altından snort paketimizi işaretleyerek kurmaya başlıyoruz.

pfsense-snort-kurulum-03

Paket kurulduktan sonra Services > Snort menüsünden snort ayarlarını yapmaya başlayabiliriz.

Interface kısmından snortun hangi ağ tarafını gözetlemesini istiyorsunuz

Performans için yeterli bellek ve işlemci gücü için metod şeçimi.

Oinkmaster code kısmına otomatik güncelleme yaptıracaksanız oink kodu. bunu snort.org adresinden alacaksınız. kendiniz winscp ile güncelleme yapmak isterseniz. bundan sonraki yazımızı okuyabilirsiniz.

Block Offenders ; eğer snortun yakaladığı bir paket olursa ve bu alert sekmesine düşerse otomatik olarak engelleme yapıp bunu block sekmesine atmasını söylüyoruz.

Update rules automatically; haftada bir kuralları güncelleme yapsın.

Whitelist VPNS automatically; VPN bağlantılarını otomatik olarak whitelist sekmesine ekler. Bunlarla hiç uğraşmaz.

Associate events on blocked; Blocked sekmesine giden ip adresleri için açıklama bilgisi ekler. Ne için engellendiğini görebiliriz.

Şu anda güncelleme yapılmadığı için boş.

Burada çıkan hata güncelleme yapılmadığı için çıkıyor. Eğer beklemek işinize gelmiyorsa bunu kendiniz dosyaları atarak geçebilirsiniz. dosya boyutu ortalama 90mb. beklemek can sıkabilir. Sonraki yazımızda dosyaların nasıl atılacağı anlatılıyor.

Ben şu anda hazır güncellenmiş bir site üzerinde işlem yapıyorum. Buradaki kategoriler sekmesi dolu. Buradan istediklerimizi işaretleyip kaydediyoruz.

Rules kısmındaki kurallarda ise sırasıyla

  • port numarası,
  • protokol ismi,
  • kaynak ağ,
  • kaynak ağ portu,
  • hedef ağ,
  • hedef ağ portu,
  • açıklama

yer alıyor. bunların daha detaylı açıklaması da mevcut. yanlarındaki düğmeye bastığınızda

pfsense-snort-kurulum-09

bu paketlerin her birinin ayrıntısı mevcut. buradan istedikleriniz üzerinde düzenleme yapabilirsiniz.

Server kısmında ise bizim kullandığımız sunucu adları giriliyor. birkaç sunucu adı girebilirsiniz. bunlar ağımızdaki sunucular olduğu gibi dışardaki sunucular da olabilir.

Blocked sekmesinde snortun engellediği ip adresleri listeleniyor. Bu adreslerin pfsense cihazınıza ulaşması engelleniyor. Bu engelleme 60 dk sürüyor. Bu süre sonunda host listelden siliniyor. Bir dahaki saldırısına kadar :o)

Whitelist kısmında ise bizim emin olduğumuz ipleri giriyoruz. Örneğin karşıda bir müşteri yada bayinin bilgisayarından emin isek buradan ipleri girebiliriz. Buradan gelen isteklere sorgu yapılmaz.

Snort un can alıcı yerlerinden birine geldik. Devamlı gözümüz kulağımız belki burada olabilir. Alert (ikaz) kısmı. Buradan isteğimize göre detaylı yada özet bilgileri görüp, kimi ne amaçla zan altında bırakıp engellemişiz. burada görebiliriz. Buradaki ayrıntı veya özet bundan sonraki resimden ayarlanıyor.

Advanced sekmesindeyiz. Alerts Tab Logging type kısmından az önce bahsettiğimiz Alerts (uyarı) kısmındaki raporların detay veya özet olmasını ayarlıyoruz.

Send alerts to main system log kısmından ise uyarıların sistem logunda da kaydedilmesini sağlıyoruz.

Ayarlarımız aşağı yukarı bunlar. Diğer detayları daha sonraki yazılarımızda bulabilirsiniz.

Belki de pfSense’nin 1.2 versiyonunda snort’un olmamasının en büyük nedeni bana göre çok stabil olmayışı. İlk ayarlarda veya güncellemelerde sıkıntı olabiliyor. Yaptığınız her değişiklik için pfSense cihazımızı kapatıp açmamız gerekiyor. Service lerden restart etmemiz bir işe yaramıyor. 1.2 versiyonundan sonra snort olmuş fakat pek bir değişiklik olmamış. Hala kurulumdan sonra bir takım problemler bizi bekliyor. Bundan sonraki yazılarımızda bu problemlerle ilgili yazılarımız olacak.

Share

Yorumlar

3 yorum pfSense snort kurulum

  1. ömer diyor ki:

    Arkadaslar bunu hiç kurmaya kalkışmayın çünkü Snort lisanslı bi ürün sizden key isticektir boşuna uğraşmayın derim… :)

  2. hasan diyor ki:

    Selam kardeş. Pfsense de snort paketini kurdum. Fakat bir türlü servisi başlatamadım. Kurduktan sonra statustan servislerden kontrol ettim.snort stopped görünüyor. Network te atak yapan pc ler var onları tespit etmem gerek. Kardeş yardımıcı olursan sevinirim. Şimdiden teşekkürler. Mail adresim: hasanozil@gmail.com

  3. Aydın diyor ki:

    Elinize sağlık, yazınızı yeni versiyon ile güncelleme zamanı geldi sanırım :)

Leave a Reply

What is 8 + 10 ?
Please leave these two fields as-is:
ÖNEMLİ! Devam edebilmek için, aşağıdaki basit matematik sorusunu girmeniz gerekiyor. (Spam maillerden korunmak içindir)