Snort هو برنامج شهير ومفتوح المصدر (IDS / IPS)  والذي يتكامل مع العديد من توزيعات  Firewall  مثل IPfire، Endian وPfSense. في هذه المقاله، تركيزنا سيكون على التثبيت/ Installation ، تكوين برنامج Snort  وقواعد  PfSense firewall  .

 يحتاج برنامج Snort  لـ pf)  packet filter firewall)  لتوفير ميزة IPS التي تتوفر أيضا في PFsense .

Installation /التثبيت :


جميع البرمجيات من  Pfsense Firewall تتوفر في قائمة الحزم الفرعية  . اذهب إلى قائمة النظام وحدد الحزم من القائمة المنسدلة

packages1

انقر على تبويب الحزم المتاحة  لفئات مختلفة من  البرمجيات

availablepackage

 

الحزم المتاحة تظهر خيارات القائمة الفرعية. Snort  هو أداة أمنية مفتوحة المصدر، لذلك انقر على القائمة الأمنية إلى أسفل قائمة الحزم المتوفرة من أجل التثبيت على PfSense.

 

availablepackage-options

 

حزمة Snort  متوفرة تحت  قائمة الأمن الفرعية . الآن انقر على  أيقونة  icon_plus لتثبيت Snort 

 

icon-snort

 

تثبيت أي حزمة جديدة على Pfsense، يتطلب تأكيدا من مسؤول Firewall  المبين أدناه

 

confirm

 

بعد التأكيد، تظهر عملية تثبيت  Snort  في الصورة التالية

 

snort-installation-1

 

تثبيت Snort مبين أدناه ويعطى أيضا المزيد من التعليمات لمزيد من الإعداد.

 

snort-installation-complete

 

تعليمات الاعداد الخاصة بـ Snort في الشكل أعلاه

 اعداد Snort :


 

بعد  عملية التنصيب   على Pfsense،  الآن سوف  نقوم بتكون Snort على كرت الشبكة المحلية للقيام بمسح للكشف عن المنفذ. بعد عملية التنصيب سوف يكون Snort  متاح في قائمة الخدمات . 

snort-in-services-menu

 

اتبع الصورة التالية بعد النقر على قائمة  snort الفرعية 

 

services-all-menu

 

يتم  التشغيل إما على واجهة شبكة LAN أو WAN من Pfsense. لذلك علينا  إنشاء إعدادات واجهات  شبكات lan و wan عن طريق النقر على أيقونة  icon_plus

 

snort-interfac-setting

 

إعدادات واجهة الشبكة المحلية LAN مبينة أدناه. قمنا بفحص  خيارات IPS  مثل block offenders

 

snort-interface-setting-lan

 

تم اضافة الواجهة إلى الشبكة المحلية LAN و snort  ليس قيد التشغيل عليها  حالياً. انقر على علامة زر (X)  لبدء خدمة snort ids  على  واجهة الشبكة المحلية “LAN” 

 

snort-interface-added

 

كما هو مبين في اللقطة التالية فإن Snort  قيد التشغيل على واجهة LAN

 

snort-interface-running

 

يظهر إعلان تحذيري في الشكل أعلاه. لذلك فإن قواعد  Snort ينبغي أن تضاف  بعد خطوة تحديث القواعد

الشاشةالتالية  تظهر بعد النقر على قائمة الإعدادات  العامة من تثبيت القواعد ل Snort.

 

snort-rules-under-global-setting

 

سجل الدخول على  موقع  snort وابحث عن  onikcode لتحميل قواعد  “Snort VRT”

oinkcode-1024x254

 

انقر على oinkcode على الجانب الأيسر للحصول على oinkcode.

 

oinkcode-code

 

اذهب مرة أخرى إلى قائمة الإعدادات العامة وأدخل Oinkcode لتحميل قواعد Snort VRT

 

enter-oinkcode-on-snort-setting

 

الآن اذهب إلى قائمة التحديثات للتحقق من حالة  القواعد المختلفة. انقر على زر Update لتحميل أو تحديث قواعد Snort  على Pfsense.

 

updates-menu

 

انقر على زر التحديث لتثبيت القواعد على Snort .  خطوة تحديث القاعدة مبينة في الشكل أدناه . لقد قمنا بتثبيت Snort community, VRT, emerging threats rules

 

updates-rules

 

قبل الإنتقال  إلى القائمة التالية من Snort ، اضغط مرة ثانية على علامة تبويب واجهات Snort  واختر LAN للتحرير

 

lan-interface

 

بعد النقر على زر تحرير، اختر فئة خيار LAN لقواعد Snort . حدد قواعد مرغوب فيها “desirable rules”  من القائمة الشاملة لواجهة LAN

 

snort-rules

 

بعد تثبيت قواعد snort على Pfsense، الخيار التالي هو قائمة التنبيهات.

 

alerts

 

SNORT  مع حزمة التصفية  (filter ) يعطي القدرة على حجب عناوين ، IP الخبيثة.  سيتم عرض عناوين IP المحضورة في اللقطة التالية

blocked

 

ومن الشائع جدا على الشبكة أن المسؤول  يضع قائمة بعناوين ال IP’s  الآمنة والمسموح بها . بشكل افتراضي  فإن LAN المحلية عادة ما تكون في القائمة المسموح بها

 

pass-list

قائمة الحظر مبينة  في اللقطة التالية.وهي تستخدم لمنع التنبيهات إلايجابية الكاذبة

 

suppress

يمكن تحميل قائمة بعناوين Ip الخبيثة  على pfsense في تكوين Snort . تخزن الحركات  الواردة  من عناوين ip في reputation list   بإعتبارها خبيثة

ip-list1

إلاعدادات لتوقيعات  SID) ID)  لقواعد Snort  تدار باستخدام هذه القائمة.

sid-mgmt

الأعدات المتصلة بإدارة السجلات  ترد في القائمة التالية

 

log-management1

في الختام.. 

في هذه المقاله ، قمنا بإكتشاف  Snort IDS / IPS والذي يعد برمجية أمنية مفتوحة المصدر متكاملة مع Pfsense Firewall  . يعمل Snort  تماما مع حزمة التصفية (pf)  اعتماداً على الFirewall . ميزة IPS من Snort أنها  تحظر  عناوين IP’s الخبيثة أو غير القانونية لحماية الشبكة. وهي  مستقرة جدا على Pfsense Firewall  ويمكن اعدادها بسهولة باستخدام واجهة رسومية.

ترجمة لمقال : How to Install and Configure Snort on PFsense Firewall