OPNsense es un software router de código abierto que soporta la detección de intrusos a través de Suricata. Una vez habilitado, puede seleccionar un grupo de reglas de detección de intrusos (también conocido como conjunto de reglas) para los tipos de tráfico de red que desea supervisar o bloquear. Los conjuntos de reglas pueden actualizarse automáticamente de forma periódica para que las reglas se mantengan más actualizadas. Algunos conjuntos de reglas son gratuitos, mientras que otros requieren una suscripción. Para los usuarios domésticos, los conjuntos de reglas gratuitos deberían ofrecer una protección razonable.

Si estás planeando construir tu propio router, puedes considerar la compra de un mini-PC sin ventilador para utilizarlo como dispositivo de red (enlace de afiliado) . Los mini-PCs sin ventilador son geniales para construir tu propio router/firewall ya que son pequeños, silenciosos, eficientes energéticamente, y normalmente tienen de 2 a 6 puertos Ethernet. Necesitarás al menos 2 puertos, ya que uno se conectará a tu módem como interfaz WAN y el otro probablemente se conectará a un conmutador de red para utilizarlo como LAN. Necesitarás asegurarte de que tienes una cantidad adecuada de RAM si planeas usar la detección de intrusos (4GB puede ser un buen mínimo). Suricata es multihilo, por lo que puede hacer uso de múltiples núcleos cuando procesa reglas, por lo que es preferible tener un sistema de cuatro núcleos a uno de dos, aunque uno de dos núcleos puede ser suficiente para un router si no se están ejecutando demasiados procesos en el router.

Configuración de la detección de intrusos en OPNsense

Para configurar la detección de intrusos en OPNsense, vaya a la página «Servicios > Detección de intrusos > Administración», que por defecto aparece en la pestaña «Configuración». Haga clic en la casilla «Activado» para activar la detección de intrusiones. Para permitir que se bloquee el tráfico de red en lugar de sólo generar alertas, haga clic en la casilla «Modo IPS». Si utilizas VLAN y desea supervisar su interfaz LAN, deberá hacer clic en la casilla «Modo promiscuo». Esto es importante para capturar datos en la interfaz de red física.

El comparador de patrones está predeterminado en Aho-Corasick, pero es posible configurarlo en Hyperscan. He notado un gran aumento en el rendimiento de la red en mi interfaz LAN cuando se utiliza Hyperscan. Recomiendo encarecidamente utilizar esta configuración si tiene una CPU moderna, ya que el aumento de rendimiento es bastante significativo. Según este post del foro OPNsense, el algoritmo Hyperscan debería funcionar con procesadores de 64 bits que soporten instrucciones SSE3.

En el cuadro de selección «Interfaces», elige las redes en las que desea aplicar la detección de intrusos. Asegúrese de que sólo selecciona interfaces físicas y no ninguna de sus interfaces VLAN. Si seleccionas una interfaz VLAN, tus VLANs dejarán de funcionar correctamente. Yo cometí este error la primera vez que configuré la detección de intrusos y perdí la conectividad en todas las VLAN.

La selección de la interfaz es importante y depende de sus necesidades. Algunos usuarios eligen supervisar sólo la WAN para proteger el perímetro de sus redes, mientras que otros prefieren la LAN para supervisar más de cerca la actividad en sus redes internas. Algunos incluso eligen monitorizar ambas interfaces.

A continuación se muestra un ejemplo de configuración para supervisar la interfaz LAN. Si no tiene ninguna VLAN, puede dejar el «Modo promiscuo» sin marcar.

Si eliges la interfaz WAN, deberá hacer clic en el botón «modo avanzado» situado en la parte superior de la página. Aparecerán opciones adicionales. Para que Suricata funcione correctamente en la interfaz WAN, tendrás que introducir tu dirección IP WAN en la casilla «Redes domésticas» (como se resalta en rojo en la captura de pantalla siguiente). Lamentablemente, no puedes utilizar un nombre de dominio completo que apunte a tu dirección IP externa, por lo que si tu dirección WAN cambia, tendrás que actualizar tu dirección IP en esta casilla. Para muchos ISP, si usted permanece en línea durante largos períodos de tiempo, es poco probable que su dirección IP cambie. Si tu dirección IP cambia con mucha frecuencia y no puedes solucionar ese problema, tendrás que estar dispuesto a mantenerla actualizada o simplemente puedes monitorizar tu(s) interfaz(es) LAN.

Descarga y activación de conjuntos de reglas

Existe una gran variedad de opiniones sobre qué conjuntos de reglas debería descargar. Idealmente, debería elegir las que se apliquen a los tipos de tráfico de red que espera tener en función del hardware/software/protocolos que utilice en su red. El enlace a las descripciones de los conjuntos de reglas se encuentra en la documentación de OPNsense.

Debes tener en cuenta la cantidad de recursos de hardware que tiene disponibles cuando active los conjuntos de reglas. Cuando activé la mayoría de los conjuntos de reglas, mi uso de RAM fue de alrededor de 1,5-2GB. Si está ejecutando otros servicios como Sensei, podría utilizar fácilmente 4GB de RAM o más. Otro aspecto a tener en cuenta es el rendimiento de la red. Si tu router tiene una CPU lenta, puedes notar una reducción en el rendimiento de la red con la detección de intrusos activada.

Ves a la pestaña «Descargar» y haga clic en las casillas de verificación situadas junto a cada conjunto de reglas que desee activar. En este ejemplo he seleccionado varios conjuntos de reglas.

Cuando hayas terminado de seleccionar los conjuntos de reglas, haz clic en el botón «Activar seleccionados» para activar los conjuntos de reglas. Deberías ver una marca de verificación junto a las reglas que ha activado.

A continuación, haz clic en el botón «Descargar y actualizar reglas» para recuperar las reglas. Verás la fecha de la última descarga junto a las reglas instaladas.

Creación de una política

En OPNsense 21.1, se añadió la funcionalidad de políticas. Esto te permite aplicar el mismo conjunto de configuración a uno o más conjuntos de reglas y permite un procesamiento más eficiente de grandes conjuntos de reglas. Las políticas también ayudan a gestionar las reglas de forma más granular, ya que se pueden aplicar varios filtros a los conjuntos de reglas. Antes de que se añadieran las políticas, había que activar conjuntos de reglas enteros y luego revisar manualmente los cientos o miles de reglas que se querían activar/desactivar. Podía activar o desactivar a ciegas varias reglas a la vez utilizando la casilla de verificación «Seleccionar todo», pero seguía sin ser una forma eficaz de gestionar las reglas.

Una vez que hayas seleccionado y descargado los conjuntos de reglas que desea utilizar, podrá crear políticas. Se necesita al menos una política para que la detección de intrusiones se configure correctamente. Vaya a la página «Servicios > Detección de intrusos > Política». Haga clic en el icono «+» situado en la esquina inferior derecha de la lista de políticas (que estará vacía la primera vez que configure la detección de intrusos).

En el cuadro desplegable «Conjuntos de reglas», seleccione todos los conjuntos de reglas que desee utilizar en la política actual. Si desea una experiencia simplificada, podría seleccionar todos los conjuntos de reglas en una única política, pero tiene la posibilidad de añadir varios filtros debajo del desplegable «Conjuntos de reglas».

Programación de actualizaciones de conjuntos de reglas

Por último, solo queda programar una hora para que los conjuntos de reglas se actualicen periódicamente. Vaya a la pestaña “Programar” y haga clic en la casilla de verificación “habilitado”. A continuación, introduzca la frecuencia con la que desea actualizar las reglas. En el ejemplo siguiente, las reglas se actualizarán a las 2:00 a. m. todos los días. En el cuadro de selección “Comando”, seleccione “Actualizar y volver a cargar las reglas de detección de intrusiones” si aún no tiene esa opción predeterminada. Opcionalmente, puede proporcionar una “Descripción”. La descripción se mostrará junto con cualquier otra tarea programada que haya configurado para otros servicios (en la página “Sistema > Configuración > Cron”).

Visualización de alertas

Después de un tiempo de ejecutar la detección de intrusiones, puede consultar periódicamente la pestaña “Alertas” para ver la actividad que se está produciendo en su red. En ella se indicará la hora del evento, si la conexión se bloqueó o simplemente se registró como alerta, la interfaz en la que se produjo el evento, las direcciones IP de origen y destino de la actividad de red y la descripción de la regla activada.

Fuentes:

https://homenetworkguy.com/how-to/configure-intrusion-detection-opnsense/