关键词:
在pfSense上设置Suricata
Suricata是一个开源的入侵检测系统(IDS)。Suricata有几个优点。1、它是多线程的,所以你可以运行一个实例,它将平衡每个处理器上的负载处理。2、 Suricata会在流量开始时自动识别最常见的协议,允许规则编写者将规则写入协议,而不是预期的端口。3、Suricata可以识别网络上数以千计的文件类型,并且可以标记要提取的文件,以便将文件写入磁盘并使用描述捕获情况和流程的元数据文件。Suricata的另一个优点是它与Snort规则兼容,因此虽然它是Snort的替代品,但仍然可以使用Snort更新。在pfSense 中,Suricata以插件形式提供。
安装Suricata
启用规则下载
创建列表
启用Barnyard2
配置日志记录和其他参数
启用看门狗
检查配置
安装Suricata
进入System -> Package Manager -> Available Packages,搜索suricata:
然后点击右侧的安装按钮进行安装。安装完成后,在系统服务菜单下可以找到suricata。
启用规则下载
在Services -> Suricata -> Global Settings(全局设置)下,进行设置来下载Snort和ET规则:
添加规则后,可以在Services -> Suricata -> Updates下手动更新下载规则:
创建列表
在Services -> Suricata -> Pass List下创建了一个代表home network(家庭网络)的列表:
在Services-> Suricata -> Suppress下创建一个抑制列表来抑制某些snort和ET签名:
以下是抑制的一些签名:
在抑制列表的顶部,还可以选择在Services -> Suricata -> Interfaces -> WAN Categories下启用哪些规则类别:
启用Barnyard2
在Services -> Suricata -> Interface -> WAN Barnyard2下,如果已经配置了snorby,我们就可以将事件发送到snorby数据库:
配置日志记录和其他参数
在Servces -> Suricata -> Interface -> WAN settings下,在Interfaces(接口)的General Settings(常规设置)下,我们启用它并设置日志记录:
在下面我启用了之前创建的列表:
在这里没有选中Log Extende Http Info(扩展日志记录)和Enale tracked files Log(跟踪的文件日志),因为我通过系统日志发送日志,而JSON被截断(方便后面进行ELK设置)。
启用看门狗
我们还可以安装Service Watchdog插件:
在Services -> Service Watchdog下,可以监控Suricata服务:
检查配置
可以ssh到pfSense并查看所有设置:
[2.43-RELEASE][[email protected]]/root: top -CPz -o cpu -n
last pid: 69987; load averages: 0.08, 0.06, 0.07 up 6+07:27:23 17:38:06
41 processes: 1 running, 40 sleeping
Mem: 299M Active, 484M Inact, 260M Wired, 383M Buf, 2870M Free
Swap: 4096M Total, 4096M Free
PID USERNAME THR PRI NICE SIZE RES STATE C TIME CPU COMMAND
35582 root 7 20 0 696M 593M uwait 1 8:21 2.78% suricata
35368 root 1 20 0 134M 99440K nanslp 0 14:56 0.00% barnyard2
15529 root 1 20 0 16676K 2256K bpf 0 4:54 0.00% filterlog
22872 root 5 20 0 27300K 2448K accept 1 3:55 0.00% dpinger
46428 root 1 52 20 17000K 2564K wait 0 3:53 0.00% sh
37472 unbound 2 20 0 63304K 34280K kqread 1 3:06 0.00% unbound
每个接口启动了一个suricata实例:
[2.43-RELEASE][[email protected]]/root: ps auwwx | grep suricata
root 35582 2.9 14.7 713016 607712 - Ss 2:36PM 8:24.77 /usr/local/bin/suricata -i re0 -D -c /usr/local/etc/suricata/suricata_34499_re0/suricat
a.yaml --pidfile /var/run/suricata_re034499.pid
root 35368 0.0 2.4 137684 99440 - S 2:36PM 14:56.48 /usr/local/bin/barnyard2 -r 34499 -f unified2.alert --pid-path /var/run --nolock-pidfile
-c /usr/local/etc/suricata/suricata_34499_re0/barnyard2.conf -d /var/log/suricata/suricata_re034499 -D -q
root 90667 0.0 0.1 18740 2252 0 S+ 5:39PM 0:00.00 grep suricata
可以查看/ var / log / suricata / INSTANCE下的所有日志:
[2.43-RELEASE][[email protected]]/root: ls -1 /var/log/suricata/suricata_re034499/
alerts.log
alerts.log.2016_0501_1750
barnyard2
http.log
suricata.log
unified2.alert.1462653477
它创建了一个cronjob来监视服务:
[2.43-RELEASE][[email protected]]/root: grep watch /etc/crontab
*/1 * * * * root /usr/local/pkg/servicewatchdog_cron.php
suricata--为linux设置ips/内联
参考技术A本文解释如何在第3层内联模式下使用Suricata以及如何为此目的设置iptables。首先开始编译具有NFQ支持的Suricata。要检查Suricata中是否启用了NFQ,请输入以下命令:suricata--build-info并检查功能之间是否有NFQ。要使用NFQ模式运... 查看详情
使用pfsense设置一个基本的入网门户
PfSense为网络设置门户网站提供了一种简单的方法。使用门户可以让网络上的用户定向到特定网页,然后才能访问互联网。这个网页可以是一个说明网页,也可以是一个包含了用户名或密码的验证页面。门户网站最常用于无线热... 查看详情
pfsense阻止对某个网站的访问
防火墙阻止对某个网站的访问是基本功能,在pfSense上阻止对某个网站的访问,通常可以通过别名和设置防火墙规则来完成。在本例中,我们来尝试阻止对新浪网(www.sina.com)的访问。查找域名解析地址添加别名设置防火墙规则... 查看详情
suricata输出-syslog告警兼容性
参考技术A1.syslog警报兼容性Suricata可以通过sylog发出警报,这是中央日志收集,合规性和向SIEM报告的一个非常方便的功能。有关设置的说明可以在.yaml文件中找到,您可以在其中配置您想要的警报(和其他)日志类型。但是,有... 查看详情
pfsense外网访问的设置
pfsense默认是通过LAN口进行管理的,WAN口默认是不允许访问的,如果要在外网访问pfsense,必须在防火墙设置规则。 80端口,宽带提供商一般禁止访问,必须改为443端口来进行访问。下面通过三张图来进... 查看详情
pfsense防火墙设置l2tp+ipsec配置
L2TP使我们日常使用很广泛的,如何在Pfsense上配置L2TP+IPsec呢?首先我们来设置L2TPServer注意:L2TPServer设置比较简单,请注意ServerAddress是指L2tp的服务器地址,不是公网地址切勿搞错。下面是IPsec部分设置添加用户请使用动态IP下面... 查看详情
pfsense配置wireguardvpn
...快、更简单、更精简。在本教程中我们将深入研究如何在pfSense上安装WireGuard。以下的教程在pfSense2.6系统上完成。安装配置WireGuard1、导航到系统>插件管理>可用插件,找到WireGuard,然后单击右侧的安装按钮进行安装。2、... 查看详情
pfsense设置cloudflare动态dns
...,通过即时更新,使外界用户能够连上动态用户的网址。pfSense集成了动态DNS管理功能,下面介绍设置Cloudflare动态DNS的过程。注册Cloudflare域名必须先注册一个域名,注册过程略。本例中,以注册的wunder 查看详情
求pfsense透明模式详细设置教程
求pfsense透明模式详细设置教程?Squid是一个缓存Internet数据的软件,其接收用户的下载申请,并自动处理所下载的数据。当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网... 查看详情
suricata.yaml说明
参考技术Asuricata使用yaml作为配置格式。以下根据官方文档来对suricata.yaml作一些参数说明和解释。先打开suricata.yaml。文件1042行有:这个参数表示suricata能够同时处理的最大的数据包数量。这个数字最小为1,最大要取决于内存(RAM)... 查看详情
pfsense中如何设置子网
...或单位,有255个IP就已经能满足要求,如果超过255个,在pfsense中也有多种设置方法可以满足要求。一、添加网卡。通过增加网卡,来增加子网,这是最简单易行的方法。每增加一个接口,就多了255个可用IP。二、合理设置掩码,... 查看详情
suricata原文记录
如何在Linux系统上安装Suricata入侵检测系统编译自:http://xmodulo.com/install-suricata-intrusion-detection-system-linux.html作者:DanNanni原创:LCTT https://linux.cn/article-6985-1.html译者: PingYang本文地址:https://linux. 查看详情
(文档翻译)suricata的ips模式
参考技术A我的suricata显示如下:可以看到我们开启了NFQueuesupport的功能。网关模式这样,所有转发的流量都会转到suricata。主机模式可以设置队列号。如果不这样做,默认情况下队列号将为0。如果希望suricata只检查TCP流量的话,... 查看详情
pfsense2.32端口转发设置
pfSense上的端口转发是一个相当简单的过程。以前版本添加端口转发时,还必须添加防火墙规则,以便流量转发到端口指定的内部IP地址。现在在创建端口转发定义时可以自动添加此规则,并且默认情况下已启用该选项。... 查看详情
在vmwareesxi中快速安装pfsense
...转到主机的配置选项卡,然后单击左侧列表网络。要部署pfSenseVSG,您需要两个网络接口,在这种情况下,两个vSwitch接口将分别用于pfSenseLAN和WAN。单击右上角的AddNetworking(添加网络),会显示AddNewNetworkWizard(添加网络向导) 查看详情
pfsense多wan设置
...功能故障排查一站式多WANIPv6的多WAN多链路的PPPoE(MLPPP)pfSense的多WAN(多WAN)功能允许防火墙利用多个Internet连接来实现更可靠的连接和更大的吞吐能力。在进行多WAN配置之前,防火墙必须 查看详情
pfsense设置snort
概述 Snort是入侵检测和预防系统。它可以将检测到的网络事件记录到日志并阻止它们。Snort使用称为规则的检测签名进行操作。Snort规则可以由用户自定义创建,或者可以启用和下载几个预打包规则集中的任何一个。最常... 查看详情
pfsense常用插件
pfSense的最大特点之一是它可以适应多种不同的使用插件的情况。使用基于插件的系统可以使基础pfSense安装保持较小的体积,用户可以根据自己的需要安装所需功能的插件。如果要安装插件,必须使用完整版本的pfSense,在嵌入式... 查看详情