如您有廠商邀請合作撰寫評測文章,請透過本站聯繫,感謝您們~ 聯繫我們

OPNsense 防禦入侵偵測 Snort (IDS/IPS) 安裝教學

  • URLをコピーしました!

OPNsense 本身內建防禦入侵偵測是用 Suricata,不過另有可以同時使用 IDS / IPS 防禦的 Snort,Snort 是 Martin Roesch 撰寫建立由 Cisco 維護,出了有好一段時間了,主要是優勢在於其廣泛的規則集,更新週期速度比 Suricata 還很快,各種環境中表現出色。

Opnsense Ids Snort Og
目錄

Suricata vs Snort 差異?

Suricata

Suricata 由開放資訊安全基金會 (OISF) 開發一個基於開源的 IDS / IPS 系統,用來分析網路流量、辨識惡意活動,並警示潛在威脅。

Snort

Snort 是 Martin Roesch 撰寫建立由 Cisco 維護,使用了以 signature-based 與通訊協定的偵測方法,檢查所有經過的封包,特徵比對的方式,來判斷入侵行為可能性,截至目前為止 Snort 是全世界最廣泛使用的入侵預防與偵測。

功能差異

分析、數據、特徵功能都差不多,但有些有大小有差異如下:

功能SuricataSnort
處理架構支援多線程支援單線程
主機性能要求高性能,提供更好的性能資源有限,提供更好的性能
記憶體資源更多記憶體消耗更少的資源
防禦準確度較高較高
更新規則較簡化管理需手動規則配置
授權許可證OPNsense 內建支援,免費開源需註冊,可獲免費開源
更新頻率平均每 3 個月更新一次平均每 2 周更新一次

Snort 官網註冊取得 Oinkcode 許可證授權碼

先上到 Snort 官網(https://www.snort.org/),選 Get Started

Opnsense Ids Snort 01

然後,選 Sing up / Subscribe 註冊並且登入

Opnsense Ids Snort 02

在左側選單,選 Oinkcode 進入,可看到許可證授權碼,請把它複製下來存留,後面還會用到。

Opnsense Ids Snort 03

OPNsense 安裝 Snort 套件啓用

由於 OPNsense 本身已內建,但可以再額外新增 Snort 套件,在「系統 → 韌體 → 外掛」,找 Snort 套件並且安裝它。

Opnsense Ids Snort 04

安裝完後,到「服務 → 入侵偵測 → 管理 → 下載」頁面,最下面有一個 snort_vrt.oinkcode 欄位,在官網有複製下來許可證授權碼貼上去,再套用就會讓您可下載使用特徵規則。

Opnsense Ids Snort 05

下載特徵規則後,預設是「停用」狀態,所以在政策裡動作地方,記得加入一條「停用」,這樣它會把停用狀態的規則,全部啓用,就可以完成部署了。

若想了解如何啓用,可以前往OPNsense 設定防禦入侵偵測來加強保護網路看一下教學。

Opnsense Ids Snort 06
如果喜歡文章,歡迎分享~!よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目錄