IDS / IPS (SNORT and Suricata)

# IDS / IPS (SNORT and Suricata) #### Suricata > > ![](https://i.imgur.com/sOHf4Pu.png) > > Service > Suricata > Global Settings: > > Install ETPopen Emerging Threats rule (отстают на 30 дней от Pro) > (on CheckBox) > > Install ETPro Emerging Threats rule (свежие и платные) > > Install Snort rule (доступны для подписчиков, нужна регистрация) > (on CheckBox) Snort free Registered > > Snort Onikmaster Code: Нажимаем на аккаунт на сайте short.org > Onikcode > копируем вставляем в поле > Snort Onikmaster Code > > Snort Rules Filename: на сайте short.org > Downloads > Rules > копируем последнее название версии 2.9 (snortrules-snapshot-29180.tar.gz) > помещаем в поле: Snort Rules Filename (правила Snort3 нельзя) > Нельзя обновлять одновременно с одного кода > > Install Snort GPLv2 Community rules (можно использовать но нагрузка выше и возможны ЛОЖНЫЕ СРАБОТКИ) > (on CheckBox) > > Install Feodo Tracker Botnet rule (список ботнет сетей!) > (on CheckBox) > > Install ABUSE.ch SSL Blacklist rule (фингерпринты потдельных сертификатов с сайта ABUSE.ch) > (on CheckBox) > > Hide Depricated Rules (позволяет скрыть ненужные правила) > > Download Extra Rules (позволяет скачивать правила из других истчников, на Gite есть выкладки комерческих) > > Rule update параметр частоты и времени обновлений правил Snort > > > ![](https://i.imgur.com/4zIw5tU.png) > > > Update Interval > 1 DAY > > > > Live Rule Swap on Update > (on CheckBox) > > > > GeoLite2 DB Update данные о геопозоции\странах источников > > > > Remove Blocked Host Interval (для IPS в режиме Legacy Mode) > > > > Save > > > > Service > Suricata > Updates > > > > Update > Убедимся что последние обновления получены > > > > ![](https://i.imgur.com/uiSwajp.png) #### Snort Зарегестрироваться на [snort](https://www.snort.org/) > На сайте получить Onikcode > Service > Snort > Global Setings > > ![](https://i.imgur.com/VM0eOoX.png) > > Snort Onikmaster Code: Нажимаем на аккаунт на сайте snort.org -> Onikcode > > Sourcefire OpenAppAD Detector определяет протокол конекта по сигнатурам трафика, поискать для Suricata: > > Update Interval > 1 DAY > > ![](https://i.imgur.com/5T6sMUW.png) > > Disable SSl Peer Verification: > Позволяет работать за прокси но без сертификата возможна подмена сервера обновлений! > > Remove Blocked Host Interval (для IPS в режиме Legacy Mode) ###### tags: `Information Security Systems`