Snort Whitelisting aktivieren bei pfsense 2.0
2011-11-25

pfSense,Snort,Firewall,DE

Wie man bei der Open Source Firewall Distribution pfsense 2.0 ein Snort Whitelisting zu IP Adressen aktiviert ( Snort Package Version 2.9.1 pkg v. 2.0 ).

Übersicht

1. Whitelisting erstellen / editieren

In pfsense einloggen und zur Whitelist Tab navigieren, anschliessend editieren auswähen:

Services > Snort > Whitelists > pfsense-2-0 edit button (edit whitelist)

pfsense Snort select Whitelist

Daraufhin gelangt man zur Editierseite:

Services Snort Whitelist Edit

Name: Hier einen beliebigen Namen (reiner Bezeichner) angeben, unter dem man die Konfiguration speichern möchte. In diesem Beispiel gebe ich "MyWhitelist" ein.

Description: Man kann auch eine Description (Beschreibung) angeben , ist aber optional. In diesem Beispiel trage ich "meine Server" ein.

Unter der Sektion "Add your own custom ips." trage ich nun die IP Adressen ein, die freigegeben werden sollen. Es muss nur das linke Feld ausgefüllt werden (IP or CIDR).

Klick auf pfsense-2-0 save button


2. Snort interfaces anpassen

Damit die Whitelist auch angewendet werden kann, muss diese noch aktiviert werden. Also zu Snort Interfaces navigieren, anschliessend editieren auswähen:

Services > Snort > Snort Interfaces > pfsense-2-0 edit button (edit rule).

Services Snort 2.9.1 pkg v. 2.0

Daraufhin gelangt man zur Editierseite. Falls noch nicht geschehen, neben dem Punkt "Block offenders" das Häkchen setzen (aktivieren). Nun neben "Whitelist" die neu erstellte Whitelist "MyWhitelist" per Select-Box auswählen:

pfsense-2-0 block offenders whitelist

Unten auf der Seite auf pfsense-2-0 save button klicken.

Nun das Snort Interface einmal stoppenpfsense-2-0 stop button und wieder starten pfsense-2-0 start button Fertig.


Links

siehe auch


Comments

  1. Alejandro
    Excelente, muchas gracias, me faltaba configurarlo en la interfaz, genial. Saludos.

  2. Alejandro
    Genial, muchas gracias por el tuto. Saludos.

  3. Sahil
    HiFirst of all thanks for your good and emoplcte article.Today IDS is mandatory in every network.But IPS is very more important. because only alert is not sufficient for network. Unfortunately you did not mention about snort in inline mode, with nfqueue or another method. and pros and limitation.I will be happy if you share your experiences about inline mode.Thanks in advance

Comment++

E-Mail Adresse wird nicht veröffentlicht.
E-mail address will not be published.