Установка системы предотвращения вторжений Suricata (IDS / IPS / NSM) на pfSense
Задача:
---------------------------------------------------------------Установить и настроить систему предотвращения вторжений suricata
Из официальной документации Suricata – Open Source IDS / IPS / NSM engine. Что же это значит:
- IPS (Intrusion Prevention System) – Системы предотвращения вторжения
- IDS (Intrusion Detection System) – Системы обнаружения вторжения
- NSM (Network Security Monitoring) – Мониторинг сетевой безопасности
Suricata — open source IPS/IDS система, основанная разработчиками Snort. Suricata поддерживает формат правил Snort, но при этом имеет ряд отличий, таких как более продвинутая система IPS, возможность использования GPU в режиме IDS, многозадачность, высокая производительность. Это система предотвращения вторжений (Intrusion Prevention System), обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как дополнение или расширение к системе обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако IPS должна отслеживать активность в реальном времени и при обнаружении предотвратить атаку.
Для установки переходим в главном меню: System > Package Manager > Available Packages > набираем в поиске “Suricata” и устанавливаем
При удачной установке вы увидите сообщение: “pfSense-pkg-suricata installation successfully completed.” Переходим в “Services > Suricata” и приступаем к настройке
первым делом настраиваем “Global Settings”, отмечаем два пункта:
- Install ETOpen Emerging Threats rules
- Install Snort GPLv2 Community rules
Сохраняемся, переходим во вкладку “Updates” и обновляемся
При успешном обновлении мы увидим значения “MD5 Signature Hash”
Возвращаемся во вкладку “Global Settings” и настраиваем:
- Rules Update Settings
- Update Interval > 12 Hours
- General Settings
- Remove Blocked Hosts Interval > 15 Mins
Переходим в главном меню: Services > Suricata > Interfaces. Нажимаем “Add” и переходим к настройке интерфейса
Отмечаем и с конце страницы сохраняемся:
- Logging Settings
- Enable TLS Log – Suricata will log TLS handshake traffic for the interface. Default is Not Checked.
- Log Extended TLS Info – Suricata will log extended TLS info such as fingerprint. Default is Checked.
Переходим во вкладку “WAN Categories”. Отмечаем “Resolve Flowbits – Auto-enable rules required for checked flowbits” , нажимаем кнопку “Select All” и сохраняемся
Запускаем интерфейс
Проверяем работу
В данной статье мы настроили Suricata с целью мониторинга, автоматическую блокировку будем рассматривать позже и уже в другой статье.
А если обновление проходит не успешно? Я уже и принудительно урлы указал, откуда качать обновления и безполезно. Результат – Неудача. Часа два уже его мучаю – не хочет скачивать мне обновления и всё тут.
Хороший вопрос, к сожалению сейчас я ей не пользуюсь, чтобы проверить и как-то подсказать.
Понятно. Комментарий отклонили, помощи я не дождусь. Спасибо.
Модер, а чем тебе мой комментарий не понравился? Словом “урлы”? Ты не знаешь что такое урлы? Для тебя это нецензурное выражение что-ли? О_О
Я был некоторое время в офлайне, это причина. всё одобрил, всё ответил )
Hi All !
Настраивал по данной статье Сурикату на свой pfSense.
Таких проблем не возникло. Все обновилось сразу.
(Если речь идет о пункте “… «Updates» и обновляемся” ).
Жду продолжения с настройкой Сурикаты… (пока смотрю что в сети делается – жуть как интересно)
Это всё прекрасно и замечательно, но оба IDS/IPS в pfSense даже с галочкой не блокируют сетевой пакет, даже если стоит Block Offenders. Причина в том, что во всех бесплатных правилах стоит действие Alert. Делать то что? все правила перетыкать?