PFSense é um "front-end" para o firewall PF (Packet Filter) do BSD. Você tem a opção de instalar o FreeBSD, OpenBSD e outros BSDs e depois instalar o PFSense, ou simplesmente pode baixar o PFSense do site do PFSense, que já vem com o FreeBSD + PFSense, tudo isso numa instalação bem simples.

Neste tutorial não ensinarei como instalar, mas deixarei uma dica de um ótimo vídeo:

• http://www.metacafe.com/watch/584867/install_pfsense_1_2beta1/

Então nosso projeto se resume a integrar o PFSense e o Snort. Para quem ainda não ouviu falar do Snort, ele é bem conhecido no mundo Unix. Inclusive aqui no VOL existem vários tutoriais sobre ele. O que vou explicar aqui é simplesmente o que ele vai fazer com o PFSense.

O Snort irá monitorar o tráfego da rede, relacionado ao protocolo ICMP e aos PORTSCANS.

Bem, então, após a instalação concluída e tendo seu PFSense devidamente configurado, vamos aprender a habilitar o Snort nele!

Acessando e instalando os packages

Bem, no menu "SYSTEM" escolha a opção "PACKAGES" (System > Packages), então você verá os pacotes disponíveis para download e instalação, entre eles, na versão 1.2.2 do PFSense, temos o Snort e o Snort-DEV, observe na imagem: Clique no botão ao lado, com um sinal de mais "+", para instalar o Snort.

Uma observação importante é que vamos instalar o "snort" e não o "snort-dev".

Note também que na descrição do snort-dev temos um "WARNING", isso não é bom... o snort-dev ainda é um pacote instável com vários BUGS, então não vamos instalar ele, que é apenas um complemento.

Após clicar no botão "+" ao lado da descrição, o software Snort será instalado e você estará numa tela desse tipo: Ele irá instalar algumas dependências e o MySQL, aguarde até aparecer a mensagem:

"Installation completed. Please check to make sure that the package is configured from the respective menu then start the package."

[1] Comentário enviado por drakula em 25/09/2009 - 15:50h:

Parabéns pelo artigo o pfsense é um firewall box interessante, deixa até muitas soluções pagas no chinelo e esse é apenas uma funcionalidade dele.

[2] Comentário enviado por riav em 25/09/2009 - 16:10h:

Excelente Dica Leonardo!!!!

Utilizo em minha rede o PfSense junto com squid a mais de 6 meses, quando migrei meu firewall baseado no iptables que escrevi na mão.
Digo com muita enfase que o front-end PfSense é fanstástico, possui inúmeras as funcionalidades de um firewall coorporativo e nunca me deixou na mão.
É robusto, rápido e fácil de usar, juntamente com seus plugins (SNORT é um deles, como mostra a dica) o torna uma das melhores ferramentas open source no mercado.

Um forte abraço a todos.

[3] Comentário enviado por leodamasceno em 25/09/2009 - 16:18h:

Sim riav! PFSense é muito bom.

Eu sempre estiver acostumado com iptables, e ainda gosto muito dele, mas não podemos negar que o PFSense é uma ótima ferramenta :D.

[4] Comentário enviado por riav em 25/09/2009 - 16:27h:

Complementando a dica do Leonardo, podemos obter as regras automaticamente utilizando a opção Oinkmaster code (Menu Service -> Snort -> Settings).
Você precisa se cadastrar no snort.org (https://www.snort.org/signup).

Após o cadastro, demora um pouco para o site confirmar seu login, você se autentica e gera seu oinkcode (https://www.snort.org/account/oinkcode).
Depois e so jogar o oinkcode no snort (aba Settings) salvar e clicar na aba Update Rules.

Pronto, ele vai comecar a baixar as regras, só não sei ao certo se ele as atualiza depois automaticamente, pelo o que li sim, mas não testei ainda.

Viva o mundo open source!!!!!

Um abraço.

[5] Comentário enviado por Thalysson S em 16/10/2009 - 13:34h:

Grande léo,


Parabéns pelo artigo, está muito bom cara. Continue assim !


Um abraço