Mở Đầu

Tổng quan về pfSense các bạn có thể xem lại trong bài viết trước Tại Đây

Trong bài viết hôm nay mình sẽ tập trung về mảng IDS/IPS trên pfSense, và cụ thể đó là Suricata.

I. Suracata Là Gì ?

Nếu các bạn đã từng làm việc với Snort thì việc làm quen với Suricata là điều không hề khó khăn.

Suricata là hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mã nguồn mở. Suricata là công cụ IDS/IPS miễn phí, dựa trên luật để theo dõi lưu lượng mạng, đưa ra cảnh báo nếu có sự kiện bất thường xảy ra.

Được thiết kế để tương thích với các thành phần an ninh mạng trong hệ thống hiện nay. Suricata là công cụ giám sát đa luồng, tăng tốc độ xử lý trong việc phân tích lưu lượng mạng và được thiết kế để tận dụng tốt nhất sức mạnh phần cứng.

II. Cài Đặt Suricata Trên Firewall pfSense

Đầu tiên để cài đặt Suricata trên firewall pfSense click vào System -> Pakage Manager -> Available Packages tại Search term tiềm kiếm với từ khóa Suricata.

Click vào Install -> Confirm và quá trình cài đặt sẽ bắt đầu.

Quá trình cài đặt hoàn tất, bây giờ việc làm thiếp theo là cấu hình.

III. Cấu Hình Suricat.

Để cấu hình click vào Service -> Suricata tại tab Interfaces chọn Add

Tại tab WAN Setting tích vào Enable tiếp đến là chọn interface cần đặt suricata ( ở đây mình chọn interfaces WAN )

Tại mục Alert and Block Settings tích vào Block Offenders để bật chế độ IPS. và lựa chọn IPS Mode ( ở đây mình để Legacy mode)Sau khi lựa chọn các mục cần thiết click vào Save.

Chuyển sang tab Global Settings check vào Install ETOpen Emerging Threats rules, tiếp theo check vào Install Snort VRT rules.

Tiếp theo để tải về các rules sẵn có trên trang chủ bạn truy cập vào Link Này

sau khi đăng nhập hoàn tất các bạn click vào phần manager account để lấy Oinkcode.

Copy mã Oinkcode và paste vào Snort VRT Oinkmaster Code. Tiếp đến vào Donwload chọn Rules và chọn bộ rules thích sau đó copy tên rules và paste vào Snort VRT Rules Filename

Phần General Settings chọn thời gian để gỡ bỏ block một IP tại Remove Blocked Hosts Interval

Sau khi đã hoàn tất click vào Save.

Chuyển sang tab Updates click vào Force để tải về các Rules từ trang chủ

Quá trình tải về mất 1 khoản thời gian tùy vào tốc độ internet của bạn.

Quay về tab Interfaces các bạn chọn edit interfaces lúc nãy đã tạo, chọn vào tab WAN Categories, kéo xuống bạn sẽ thấy các rules mà bạn đã tải về. Việc bây giờ là check vào các  bộ rules cần thiết để sử dụng

Chọn xong các bộ rules cần thiết click Save.

Chuyển sang tab WAN Rules, tại đây chúng ta sẽ enable các rules  trong bộ Rules đã chọn.

Nếu các bạn sử dụng tất cả các rules trong bộ rules đã chọn thì có thể click vào Enable All.

Sau đó quay về tab Interfaces chọn vào nút Start để kích hoạt interfaces đã add

Đến đây quá trình cài đặt và cấu hình xem như hoàn tất.

Chúc Các Bạn Thành Công !!!
HTT- adminvietnam.org

Chia sẻ