Snort no pfSense - conhecimento comunitário



  • Yae galera do pfSense, tudo bem?

    Desde já agradeço a atenção de todos!

    Bem pessoal, eu já estudo o pfSense a uns 4 meses e agora eu tô partindo para parte mais "avançada" ao meu nível, neste momento estou vendo uma ferramenta interessante, o Snort, bem, estou criando esse tópico porque eu não achei nenhuma material que saciasse as minha dúvida sobre a implantação e o gerenciamento do Snort, neste tópico pode ser dispostos tutoriais, vídeo aulas do Snort e assim aumentando o acervo de conhecimento do fórum.

    Obrigado a todos e um forte abraço,

    Fagner Vieira.



  • O Snort é uma ferramenta muito interessante para ser implementada no Pfsense, porem o processamento dos monitores do IDS, sejam passivos ou ativos, consomem um processamento muito alto.
    Alem de precisar no modo passivo, colocar a interface a ser monitorada em modo promiscuo o que gera mais processamento ainda.



  • fagner,

    Já temos um tópico para o snort nos tutoriais para pacotes, inclusive com vídeo.

    http://forum.pfsense.org/index.php/topic,44267.msg229698.html#msg229698

    Quem quiser contribuir, pode me mandar em pvt ou colocar aqui e me avisar

    att,
    Marcello Coutinho



  • @fagner.vieira:

    … neste momento estou vendo uma ferramenta interessante, o Snort, bem, estou criando esse tópico porque eu não achei nenhuma material que saciasse as minha dúvida sobre a implantação e o gerenciamento do Snort, neste tópico pode ser dispostos tutoriais, vídeo aulas do Snort e assim aumentando o acervo de conhecimento do fórum.

    Já faz algum tempo que eu queria fazer um Tutorial sobre o Snort: pelo menos das configurações básicas.
    Só não fiz isso ainda por conta de demandas tão relevantes quanto.  ::)

    Porém, conforme o Marcello disse antes, talvez você consiga configurar o Snort e faze-lo funcionar seguindo os links que ele apontou.
    Só um detalhe: atenção aos Comentários sobre o Snort no blog Nextsense. Muita gente esquece dos Preprocessors!
    http://www.nextsense.com.br/blog/archives/793



  • marcelloc,

    valeu cara, pela indicação do link!

    johnnybe,

    valeu também pela indicação no site NextSense, e vamos que vamos! Vou tentar produzir um material que dê para botar o Snort em suas funções primordiais, e quando finalizado irei disponibilizar para todos!

    forte abraço

    Fagner Vieira.



  • @fagner.vieira:

    Vou tentar produzir um material que dê para botar o Snort em suas funções primordiais, e quando finalizado irei disponibilizar para todos!

    fagner.vieira,

    Você pode publicar um eventual tutorial no nosso blog: http://www.pfsense-br.org/blog

    É exatamente esta a função do blog. Possibilitar um espaço colaborativo para a publicação de textos/materiais em pt-BR, sem que os autores precisem ficar gerando PDFs e compartilhando via "os 4shared" da vida! ;)

    Abraços!
    Jack



  • JackL,

    tudo bem cara, pode deixar comigo!

    Abraço
    Fagner Vieira



  • Tirando o problema dos Preprocessors, eu consegui botar pra rodar de boa, coloquei regras para DDOS, ICMP e SCAN. Só tem que ficar atento com os falsos positivos, mas la no nextsense ensina como resolver esse problema.


Locked