Документация
Документация по настройке решений в Yandex Cloud
Яндекс облако pfSense документация
pfSense интеграция с Suricata

pfSense интеграция с Suricata

Suricata

Suricata - это также программное обеспечение с открытым исходным кодом, предназначенное для обнаружения вторжений в сети (Intrusion Detection System - IDS) и систем предотвращения вторжений (Intrusion Prevention System - IPS). Он является альтернативой Snort и разрабатывается сообществом как проект с открытым исходным кодом.

Подобно Snort, Suricata анализирует сетевой трафик, применяя к нему набор правил, чтобы выявить подозрительные или вредоносные активности. Однако Suricata также предлагает ряд дополнительных функций и возможностей, таких как поддержка многопоточной обработки, более широкий спектр протоколов, включая IPv6, HTTP, SSL, а также возможность работы в режиме IPS, когда он может блокировать атаки в реальном времени.

Suricata широко используется в различных сценариях сетевой безопасности для обнаружения и предотвращения вторжений, защиты сетей и обеспечения безопасности информации.

Установка Suricata в pfSense

  1. Для установки Suricata требуется открыть веб интерфейс pfSense и перейти System –> Package Manager –> Available Packages.

В строке поиска следует ввести Suricata, как это показано на рисунке 1:

Рис. 1. Установка Suricata

После того, как Suricata отобразится в списке пакетов, требуется нажать Install и дождаться, пока процесс установки закончится. Процесс установки показан на рисунке 2.

Рис. 2. Завершение установки Suricata

Настройка Suricata

Для настройки требуется перейти Services –> Suricata.

Для изменения глобальных настроек требуется выбрать Global Settings и настроить все параметры следующим образом:

  • Install ETOpen Emerging Threats rules - необходимо поставить “галочку” для ETOpen is a free open source set of Suricata rules whose coverage is more limited than ETPro.
  • Install Snort rules - необходимо поставить “галочки” для Snort free Registered User or paid Subscriber rules и Use a custom URL for Snort rule downloads если планируется использовать альтернативные источники для скачивания правил Snort.
  • Если планируется использовать альтернативное зеркало, нужно заполнить Snort Rules Custom Download URL, Snort Rules Filename, Snort Oinkmaster Code
  • Install Snort GPLv2 Community rules - необходимо поставить “галочки” для The Snort Community Ruleset is a GPLv2 Talos-certified ruleset that is distributed free of charge without any Snort Subscriber License restrictions и Use a custom URL for Snort GPLv2 rule downloads, если планируется использовать альтернативные источники для скачивания Snort правил.
  • Если планируется использовать альтернативное зеркало, требуется заполнить Snort GPLv2 Custom Rule Download URL. Также необходимо поставить “галочку” для Install Feodo Tracker Botnet C2 IP rules.
  • Для Rules Update Settings - требуется установить Update Interval равный 1 DAY и время по желанию пользователя.

После этого нужно нажать Save.

Следующим шагом необходимо перейти на Interfaces и создать его для сенсора. Настройки можно выставить на усмотрение пользователя.

Если пользователю необходимо зеркало для Snort правил, можно воспользоваться вот этим зеркалом

pfSense интеграция со Snort