====== Suricata als NIDS einrichten ======

===== Empfohlene Vorgehensweise =====

==== Voraussetzungen ====

Ausgangspunkt für diese Anleitung ist eine funktionierende Installation von pfSense.

==== Installation ====

Öffne den Package Manager von deiner pfSense und installiere das Paket Suricata. Die Hinweise des Installers, die nach der Installation angezeigt werden, müssen nicht umgesetzt werden.

==== Konfiguration ====

  - Öffne im Menü Services den Abschnitt Suricata.
  - **Global Settings**: Wähle folgende Rulesets zum Download aus
    - ETOpen Emerging Threats
    - Snort GPLv2 Community
    - Feodo Tracker Botnet C2 IP
    - ABUSE.ch SSL Blacklist
  - Wähle Hide Deprecated Rules Categories
  - Stelle das Update Interval auf einen Tag.
  - Stelle das Remove Interval auf 15 Minuten und beende durch Speichern.
  - **Updates**: Führe die Updates aus und kehre nach Abschluss der restlichen Konfiguration zurück um die erfolgreichen Downloads zu überprüfen.
  - **Interfaces**:
    - Lege das WAN-Interface an und stelle sicher, dass Suricta für das Interface aktiviert ist und //Block Offenders// gewählt ist.
    - Achte in der Interface-Übersicht darauf, dass Suricata für dieses Interface gestartet wurde.

==== Test ====

  - Wechsle auf einen zweiten Host und starte dort in einem Fenster einen Ping auf das WAN-Interface deiner Firewall.
  - Starte in einem zweiten Fenster ''nmap -A //<WAN-IP-Adresse>//'' auf deine Firewall
  - Nach kurzer Zeit sollte der Ping abreißen.
  - Kontrolliere auf der Firewall ob du in der Alerts-Liste von Suricata Einträge sehen kannst und ob dein zweiter Host in der Block-Liste aufgetaucht ist.
  - Entferne deinen zweiten Host aus der Block-Liste und prüfe ob der Ping weiterläuft.