Установка системы предотвращения вторжений Suricata (IDS / IPS / NSM) на pfSense

Print Friendly, PDF & Email

Задача:

Установить и настроить систему предотвращения вторжений suricata

---------------------------------------------------------------

Из официальной документации Suricata – Open Source IDS / IPS / NSM engine. Что же это значит:

  • IPS (Intrusion Prevention System) – Системы предотвращения вторжения
  • IDS (Intrusion Detection System) – Системы обнаружения вторжения
  • NSM (Network Security Monitoring) – Мониторинг сетевой безопасности

Suricata — open source IPS/IDS система, основанная разработчиками Snort. Suricata поддерживает формат правил Snort, но при этом имеет ряд отличий, таких как более продвинутая система IPS, возможность использования GPU в режиме IDS, многозадачность, высокая производительность. Это система предотвращения вторжений (Intrusion Prevention System), обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как дополнение или расширение к системе обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако IPS должна отслеживать активность в реальном времени и при обнаружении предотвратить атаку.

Для установки переходим в главном меню: System > Package Manager > Available Packages > набираем в поиске “Suricata” и устанавливаем

При удачной установке вы увидите сообщение: “pfSense-pkg-suricata installation successfully completed.” Переходим в “Services > Suricata” и приступаем к настройке

первым делом настраиваем “Global Settings”, отмечаем два пункта:

  • Install ETOpen Emerging Threats rules
  • Install Snort GPLv2 Community rules

Сохраняемся, переходим во вкладку “Updates” и обновляемся

При успешном обновлении мы увидим значения “MD5 Signature Hash”

Возвращаемся во вкладку “Global Settings” и настраиваем:

  • Rules Update Settings
    • Update Interval > 12 Hours
  • General Settings
    • Remove Blocked Hosts Interval > 15 Mins

Переходим в главном меню: Services > Suricata > Interfaces. Нажимаем “Add” и переходим к настройке интерфейса

Отмечаем и с конце страницы сохраняемся:

  • Logging Settings
    • Enable TLS Log – Suricata will log TLS handshake traffic for the interface. Default is Not Checked.
    • Log Extended TLS Info – Suricata will log extended TLS info such as fingerprint. Default is Checked.

Переходим во вкладку “WAN Categories”. Отмечаем “Resolve Flowbits – Auto-enable rules required for checked flowbits” , нажимаем кнопку “Select All” и сохраняемся

Запускаем интерфейс

Проверяем работу

В данной статье мы настроили Suricata с целью мониторинга, автоматическую блокировку будем рассматривать позже и уже в другой статье.

Помогла статья? Есть возможность отблагодарить автора

QR Link:

QR Code

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *