pfSense интеграция со Suricata

Suricata

Suricata - это также программное обеспечение с открытым исходным кодом, предназначенное для обнаружения вторжений в сети (Intrusion Detection System - IDS) и систем предотвращения вторжений (Intrusion Prevention System - IPS). Он является альтернативой Snort и разрабатывается сообществом как проект с открытым исходным кодом.

Подобно Snort, Suricata анализирует сетевой трафик, применяя к нему набор правил, чтобы выявить подозрительные или вредоносные активности. Однако Suricata также предлагает ряд дополнительных функций и возможностей, таких как поддержка многопоточной обработки, более широкий спектр протоколов, включая IPv6, HTTP, SSL, а также возможность работы в режиме IPS, когда он может блокировать атаки в реальном времени.

Suricata широко используется в различных сценариях сетевой безопасности для обнаружения и предотвращения вторжений, защиты сетей и обеспечения безопасности информации.

Установка Suricata в pfSense

Для установки Suricata, откройте веб интерфейс pfSense и перейдите System –> Package Manager –> Available Packages.

В строке поиска введите Suricata

И нажмите Install, подождите пока процесс установки закончится

Теперь перейдите Services –> Suricata

Настройка Suricata

Для начала настраиваем глобальные настройки, выбираем Global Settings

Install ETOpen Emerging Threats rules - Ставим галочку ETOpen is a free open source set of Suricata rules whose coverage is more limited than ETPro.

Install Snort rules - ставим галочки для Snort free Registered User or paid Subscriber rules и для Use a custom URL for Snort rule downloads если планируете использовать альтернативные источники для скачивания Snort правил.

  • Если вы планируете использовать альтернативное зеркало, тогда так же надо заполнить Snort Rules Custom Download URL,Snort Rules Filename,Snort Oinkmaster Code

Install Snort GPLv2 Community rules - ставим галочку для The Snort Community Ruleset is a GPLv2 Talos-certified ruleset that is distributed free of charge without any Snort Subscriber License restrictions. и для Use a custom URL for Snort GPLv2 rule downloads если планируете использовать альтернативные источники для скачивания Snort правил.

  • Если вы планируете использовать альтернативное зеркало, тогда так же надо заполнить Snort GPLv2 Custom Rule Download URL

Install Feodo Tracker Botnet C2 IP rules - ставим галочку

Rules Update Settings - устанавливаем Update Interval равный 1 DAY и время по вашему желанию

Нажимаем Save

Далее переходим на Interfaces и создаем interface для сенсора, настройки на ваше усмотрение

Если вам необходимо зеркало для Snort правил, то вы можете воспользоваться например вот этим зеркалом