OPNsense 本身內建防禦入侵偵測是用 Suricata,不過另有可以同時使用 IDS / IPS 防禦的 Snort,Snort 是 Martin Roesch 撰寫建立由 Cisco 維護,出了有好一段時間了,主要是優勢在於其廣泛的規則集,更新週期速度比 Suricata 還很快,各種環境中表現出色。
Suricata vs Snort 差異?
Suricata
Suricata 由開放資訊安全基金會 (OISF) 開發一個基於開源的 IDS / IPS 系統,用來分析網路流量、辨識惡意活動,並警示潛在威脅。
Snort
Snort 是 Martin Roesch 撰寫建立由 Cisco 維護,使用了以 signature-based 與通訊協定的偵測方法,檢查所有經過的封包,特徵比對的方式,來判斷入侵行為可能性,截至目前為止 Snort 是全世界最廣泛使用的入侵預防與偵測。
功能差異
分析、數據、特徵功能都差不多,但有些有大小有差異如下:
| 功能 | Suricata | Snort |
| 處理架構 | 支援多線程 | 支援單線程 |
| 主機性能要求 | 高性能,提供更好的性能 | 資源有限,提供更好的性能 |
| 記憶體資源 | 更多記憶體 | 消耗更少的資源 |
| 防禦準確度 | 較高 | 較高 |
| 更新規則 | 較簡化管理 | 需手動規則配置 |
| 授權許可證 | OPNsense 內建支援,免費開源 | 需註冊,可獲免費開源 |
| 更新頻率 | 平均每 3 個月更新一次 | 平均每 2 周更新一次 |
Snort 官網註冊取得 Oinkcode 許可證授權碼
先上到 Snort 官網(https://www.snort.org/),選 Get Started
然後,選 Sing up / Subscribe 註冊並且登入
在左側選單,選 Oinkcode 進入,可看到許可證授權碼,請把它複製下來存留,後面還會用到。
OPNsense 安裝 Snort 套件啓用
由於 OPNsense 本身已內建,但可以再額外新增 Snort 套件,在「系統 → 韌體 → 外掛」,找 Snort 套件並且安裝它。
安裝完後,到「服務 → 入侵偵測 → 管理 → 下載」頁面,最下面有一個 snort_vrt.oinkcode 欄位,在官網有複製下來許可證授權碼貼上去,再套用就會讓您可下載使用特徵規則。
下載特徵規則後,預設是「停用」狀態,所以在政策裡動作地方,記得加入一條「停用」,這樣它會把停用狀態的規則,全部啓用,就可以完成部署了。
若想了解如何啓用,可以前往《OPNsense 設定防禦入侵偵測來加強保護網路》看一下教學。
