IDS/IPS Systems

###### tags: `IDS/IPS Systems, Firewall` # IDS/IPS Systems ## Настройка Suricata Настройка Suricata будет поизводиться на Firewall pfSense, в зоне DMZ как отдельный сервис. Установить пакет Suricata "System -> Package Manager -> Available Packege", найти пакет suricata, нажать установить. ![](https://i.imgur.com/VS39Wzn.png) После установки будут доступны настройки "Services -> Suricata" ![](https://i.imgur.com/VDeFB4B.png) Добавить настройки интерфейса на котором будет работать Suricata: ![](https://i.imgur.com/lm5djyE.png) `Interface` - Интерфейс на котором работает Suricata `Description` - Описание Настройка логирования: ![](https://i.imgur.com/9CFIWrK.png) `Send Alerts to System Log` - Отправлять логи в журнал системных событий `Log Facility` - Журнал логов `Log Priority` - Приоритет логов Так же можно указать формироание и отправку логов в формате JSON: ## Настройка Snort Настройка Snort будет поизводиться на Firewall pfSense, в локальной зоне, как отдельный сервис. Установить пакет Suricata “System -> Package Manager -> Available Packege”, найти пакет suricata, нажать установить. ![](https://i.imgur.com/oNliogO.png) Настройка основных параметров: ![](https://i.imgur.com/XYe5fLK.png) `Enable Snort VRT` - Включение обнавления правил Snort `Snort Oinkmaster Code` - Ключь для обнавления правил (oinkcode получается после регистрации на сайте snort.org в настройках аккаунты, в разделе Onikcode) `Enable Snort GPLv2` - Включение обнавления правил от сообщества пользователей Snort `Enable ET Open` - Включение свободно распространяемых праил Snort ![](https://i.imgur.com/4ICRbO3.png) `Update interval` - Интервал обнавления `Update Start Time` - Время начала запуска обновлений Сохранить параметры, перейти в раздел `Snort Interfaces` добавить настройки на интерфейс Основные настройки Snort на интерфейсе: ![](https://i.imgur.com/daR2OrP.png) `Enable` - Включение сервиса Snort на интерфейсе `Interface` - интерфейс на котором работает Snort `Description` - Описание `Send Alerts to System Log` - Отправлять логи в системный журнал `System Log Facility` - в какой раздел системных логов отправлять события `System Log Priority` - приоритет отправки Сохранить настройки Обновление сигнатур: "Service -> Snort -> Updates" ![](https://i.imgur.com/cCSMO4u.png) Во время обнавления желательно не переключатся на другие окна и не трогать мышку, иначе есть риск прервать обнавление. ![](https://i.imgur.com/s2O5gr2.png) После обнавления нужновыбрать категории сигнатур: "Service -> Snort -> Edit snort interfaces -> Categories" ![](https://i.imgur.com/tyS0ovm.png) Перенаправление системных логов на сервер обработки ELK "Status -> System Log - > Settings" ![](https://i.imgur.com/HlmvGF3.png) ![](https://i.imgur.com/eCstmEG.png) Сохранить настройки