Установка системы предотвращения вторжений Suricata (IDS / IPS / NSM) на pfSense

Print Friendly, PDF & Email

Задача:

Установить и настроить систему предотвращения вторжений suricata

---------------------------------------------------------------

Из официальной документации Suricata — Open Source IDS / IPS / NSM engine. Что же это значит:

  • IPS (Intrusion Prevention System) — Системы предотвращения вторжения
  • IDS (Intrusion Detection System) — Системы обнаружения вторжения
  • NSM (Network Security Monitoring) — Мониторинг сетевой безопасности

Suricata — open source IPS/IDS система, основанная разработчиками Snort. Suricata поддерживает формат правил Snort, но при этом имеет ряд отличий, таких как более продвинутая система IPS, возможность использования GPU в режиме IDS, многозадачность, высокая производительность. Это система предотвращения вторжений (Intrusion Prevention System), обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как дополнение или расширение к системе обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако IPS должна отслеживать активность в реальном времени и при обнаружении предотвратить атаку.

Для установки переходим в главном меню: System > Package Manager > Available Packages > набираем в поиске «Suricata» и устанавливаем

При удачной установке вы увидите сообщение: «pfSense-pkg-suricata installation successfully completed.» Переходим в «Services > Suricata» и приступаем к настройке

первым делом настраиваем «Global Settings», отмечаем два пункта:

  • Install ETOpen Emerging Threats rules
  • Install Snort GPLv2 Community rules

Сохраняемся, переходим во вкладку «Updates» и обновляемся

При успешном обновлении мы увидим значения «MD5 Signature Hash»

Возвращаемся во вкладку «Global Settings» и настраиваем:

  • Rules Update Settings
    • Update Interval > 12 Hours
  • General Settings
    • Remove Blocked Hosts Interval > 15 Mins

Переходим в главном меню: Services > Suricata > Interfaces. Нажимаем «Add» и переходим к настройке интерфейса

Отмечаем и с конце страницы сохраняемся:

  • Logging Settings
    • Enable TLS Log — Suricata will log TLS handshake traffic for the interface. Default is Not Checked.
    • Log Extended TLS Info — Suricata will log extended TLS info such as fingerprint. Default is Checked.

Переходим во вкладку «WAN Categories». Отмечаем «Resolve Flowbits — Auto-enable rules required for checked flowbits» , нажимаем кнопку «Select All» и сохраняемся

Запускаем интерфейс

Проверяем работу

В данной статье мы настроили Suricata с целью мониторинга, автоматическую блокировку будем рассматривать позже и уже в другой статье.

Помогла статья? Есть возможность отблагодарить автора

QR Link:

QR Code

Читайте также:

комментариев 5

  1. Иван:

    А если обновление проходит не успешно? Я уже и принудительно урлы указал, откуда качать обновления и безполезно. Результат — Неудача. Часа два уже его мучаю — не хочет скачивать мне обновления и всё тут.

    • Хороший вопрос, к сожалению сейчас я ей не пользуюсь, чтобы проверить и как-то подсказать.

  2. Иван:

    Понятно. Комментарий отклонили, помощи я не дождусь. Спасибо.
    Модер, а чем тебе мой комментарий не понравился? Словом «урлы»? Ты не знаешь что такое урлы? Для тебя это нецензурное выражение что-ли? О_О

  3. Александр:

    Hi All !
    Настраивал по данной статье Сурикату на свой pfSense.
    Таких проблем не возникло. Все обновилось сразу.
    (Если речь идет о пункте «… «Updates» и обновляемся» ).
    Жду продолжения с настройкой Сурикаты… (пока смотрю что в сети делается — жуть как интересно)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *