Suricata als NIDS einrichten

Ausgangspunkt für diese Anleitung ist eine funktionierende Installation von pfSense.

Öffne den Package Manager von deiner pfSense und installiere das Paket Suricata. Die Hinweise des Installers, die nach der Installation angezeigt werden, müssen nicht umgesetzt werden.

1. Öffne im Menü Services den Abschnitt Suricata.
2. Global Settings: Wähle folgende Rulesets zum Download aus
   1. ETOpen Emerging Threats
   2. Snort GPLv2 Community
   3. Feodo Tracker Botnet C2 IP
   4. ABUSE.ch SSL Blacklist
3. Wähle Hide Deprecated Rules Categories
4. Stelle das Update Interval auf einen Tag.
5. Stelle das Remove Interval auf 15 Minuten und beende durch Speichern.
6. Updates: Führe die Updates aus und kehre nach Abschluss der restlichen Konfiguration zurück um die erfolgreichen Downloads zu überprüfen.
7. Interfaces:
   1. Lege das WAN-Interface an und stelle sicher, dass Suricta für das Interface aktiviert ist und Block Offenders gewählt ist.
   2. Achte in der Interface-Übersicht darauf, dass Suricata für dieses Interface gestartet wurde.

1. Wechsle auf einen zweiten Host und starte dort in einem Fenster einen Ping auf das WAN-Interface deiner Firewall.
2. Starte in einem zweiten Fenster nmap -A <WAN-IP-Adresse> auf deine Firewall
3. Nach kurzer Zeit sollte der Ping abreißen.
4. Kontrolliere auf der Firewall ob du in der Alerts-Liste von Suricata Einträge sehen kannst und ob dein zweiter Host in der Block-Liste aufgetaucht ist.
5. Entferne deinen zweiten Host aus der Block-Liste und prüfe ob der Ping weiterläuft.