Hola, esto me lo envió Wilde Manuel, hace algún tiempo del grupo Sysadmins de Cuba, los méritos a el, espero resuelvas. saludos
De: "Jesús Roque Travieso" <jro...@ecc.cu> Para: an...@occ.co.cu, "Lista cubana de soporte técnico en Tecnologias Libres" <gutl-l@listas.jovenclub.cu> Enviados: Lunes, 15 de Marzo 2021 14:58:05 Asunto: [Gutl-l] Re: Pfsense + snort + suricata (UPDATE Rules) Para que el sistemas me pueda descargar las reglas: Suricata: [ https://rules.emergingthreats.net/open/suricata-$version/emerging.rules.tar.gz | https://rules.emergingthreats.net/open/suricata-$version/emerging.rules.tar.gz ] Snort: [ https://rules.emergingthreats.net/open/snort-$version/emerging.rules.tar.gz | https://rules.emergingthreats.net/open/snort-$version/emerging.rules.tar.gz ] https://rules.emergingthreats.net/open/ Jesús Roque Travieso Jefe de Centro de Redes y Servicios Telemáticos Centro Principal Tecnologico Postal Grupo Empresarial Correos de Cuba Movil +5352097241 Telefono 76464205 From: [ mailto:an...@occ.co.cu | Angel Luis Milan Paultre ] Date: 2021-03-15 10:04 To: [ mailto:gutl-l@listas.jovenclub.cu | 'Lista cubana de soporte técnico en Tecnologias Libres' ] Subject: [Gutl-l] Pfsense + snort + suricata (UPDATE Rules) Holas ilustres coterráneos :) A ver necesito una mano.. quiero actualizar las reglas del snort gratis o las que usa suricata de snort pero de forma manual por el Shell de pfsense, pues no tengo formas de bajarlas directamente desde el pfsense, alguno de ustedes ha podido hacerlo... bajarlas a mano de la comunidad de snort y ponérselas a la fuerza al pfsense.. Necesito una guía de ayuda para eso.. he intentado varias cosas y nada no las monta, lo tengo con las viejas y con las de emergencias estas ultimas que son una bobería .. Gracias de ante mano _______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu _______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
Lo primero que debemos hacer es montar un servidor DNS y Configurarlo con una ZONA DIRECTA e INVERSA para snort.org, y otra ZONA DIRECTA e INVERSA para pfsense.org luego debemos configurar las pc para que utilicen ese SERVIDOR DNS. Para instalar el snort en Pfsense hay que ir al siguiente directorio /usr/local/etc/pkg/repos/pfSense.conf ahi debemos configurar el camino de nuestro repositorio offline de pfsense y quitar la "s" de todos los https Una vez hecho esto pues procedemos a actualizar los paquetes instalados y listo. Ahora debemos instalar las reglas del snort, recordar que es necesario un oinkcode del sitio del snort, este es el mio: ***************CODIGO OINKCODE ******************** * 789143e7e90fb582ed5abe31ebeaa549f5ef1921 * * * **************************************************** ************PARA BAJAR los paquetes correctos *********************************************************************** * * Downloading with your Oinkcode * * Important Note * * In June 2010 we stopped offering rules in the "snortrules-snapshot-CURRENT" format. Instead, rules are released * * for specific versions of Snort. You will be responsible for downloading the correct rules release for your * version of Snort. The new versioning mechanism will require a four digit version in the file name. * * Subscriber Release * * http://www.snort.org/sub-rules/<filename>/<oinkcode here> * * * e.g. http://www.snort.org/sub-rules/snortrules-snapshot-2931.tar.gz/789143e7e90fb582ed5abe31ebeaa549f5ef1921 * * * Registered User Release * * http://www.snort.org/reg-rules/<filename>/<oinkcode here> * * * * * * * * e.g. http://www.snort.org/reg-rules/snortrules-snapshot-2931.tar.gz/789143e7e90fb582ed5abe31ebeaa549f5ef1921 * * * * * ************************************************************************************************************************ AHORA DEBEMOS CREAR CON LAS REGLAS DESCARGADAS UN REPOSITORIO LOCAL, PARA ELLO CONFIGURAMOS EN NUESTRO HDD, UN DIRECTORIO CON LA SIGUIENTE ESTRUCTURA: SNORT | | |--- downloads | |--- rules Como muestra el diagrama anterior debemos crear una carpeta con el nombre que deseemos, en nuestro caso le puse snort,dentro de esta deben ir 2 carpetas mas, una nombrada downloads, y la otra rules. En la carpeta downloads debemos copiar lo siguiente: downloads | |--- community | |--- openappid | |--- registered | Para mas detalles ver el video adjunto a este documento. Con esto es suficiente, ahora debemos ir a nuestro servidor web, en mi caso APACHE2 y crear 2 enlaces simbolicos, uno downloads y el otro a rules. PARA LOGRAR QUE EL SNORT ACTUALICE LAS REGLAS DESCARGADAS MANUALMENTE DEBEMOS IR AL SIGUIENTE DIRECTORIO: /usr/local/pkg/snort/ UNA VEZ DENTRO DEL DIRECTORIO ANTERIOR DEBEMOS EDITAR EL FICHERO SIGUIENTE: snort_defs.inc AHI DEBEMOS CAMBIAR TODAS LOS https por "http" --sin comillas-- LUEGO DEBEMOS EDITAR EL SIGUIENTE FICHERO .PHP snort_check_for_rule_updates.php AQUI BUSCAMOS EL PARRAFO QUE COMIENZA EN LA LINEA /*Check for and download any new Snort OpenAppID detectors */ AHI BUSCAMOS LA VARIABLE {$snort_openappid_filename}/md5 Y LA CAMBIAMOS POR {$snort_openappid_filename}.md5 HACEMOS LO MISMO EN EL PARRAFO QUE EMPIEZA EN LA LINEA /*Check for and download any new Snort GPLv2 Community Rules sigs */ AHI BUSCAMOS LA VARIABLE {$snort_community_rules_filename}/md5 Y LA CAMBIAMOS POR {$snort_community_rules_filename}.md5 LISTO CON ESTO ES SUFICIENTE PARA ACTUALIZAR LAS REGLAS DEL SNORT
_______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
