pfSense интеграция с Suricata
Suricata
Suricata - это также программное обеспечение с открытым исходным кодом, предназначенное для обнаружения вторжений в сети (Intrusion Detection System - IDS) и систем предотвращения вторжений (Intrusion Prevention System - IPS). Он является альтернативой Snort и разрабатывается сообществом как проект с открытым исходным кодом.
Подобно Snort, Suricata анализирует сетевой трафик, применяя к нему набор правил, чтобы выявить подозрительные или вредоносные активности. Однако Suricata также предлагает ряд дополнительных функций и возможностей, таких как поддержка многопоточной обработки, более широкий спектр протоколов, включая IPv6, HTTP, SSL, а также возможность работы в режиме IPS, когда он может блокировать атаки в реальном времени.
Suricata широко используется в различных сценариях сетевой безопасности для обнаружения и предотвращения вторжений, защиты сетей и обеспечения безопасности информации.
Установка Suricata в pfSense
Для установки Suricata, откройте веб интерфейс pfSense и перейдите System
–> Package Manager
–> Available Packages
.
В строке поиска введите Suricata
И нажмите Install
, подождите пока процесс установки закончится
Теперь перейдите Services
–> Suricata
Настройка Suricata
Для начала настраиваем глобальные настройки, выбираем Global Settings
Install ETOpen Emerging Threats rules
- Ставим галочку ETOpen is a free open source set of Suricata rules whose coverage is more limited than ETPro.
Install Snort rules
- ставим галочки для Snort free Registered User or paid Subscriber rules
и для Use a custom URL for Snort rule downloads
если планируете использовать альтернативные источники для скачивания Snort правил.
- Если вы планируете использовать альтернативное зеркало, тогда так же надо заполнить
Snort Rules Custom Download URL
,Snort Rules Filename
,Snort Oinkmaster Code
Install Snort GPLv2 Community rules
- ставим галочку для The Snort Community Ruleset is a GPLv2 Talos-certified ruleset that is distributed free of charge without any Snort Subscriber License restrictions.
и для Use a custom URL for Snort GPLv2 rule downloads
если планируете использовать альтернативные источники для скачивания Snort правил.
- Если вы планируете использовать альтернативное зеркало, тогда так же надо заполнить
Snort GPLv2 Custom Rule Download URL
Install Feodo Tracker Botnet C2 IP rules
- ставим галочку
Rules Update Settings
- устанавливаем Update Interval
равный 1 DAY
и время по вашему желанию
Нажимаем Save
Далее переходим на Interfaces
и создаем interface для сенсора, настройки на ваше усмотрение
Если вам необходимо зеркало для Snort правил, то вы можете воспользоваться например вот этим зеркалом