tweet:2018:1118_01
FreeBSD and suricata
本記事は、最終的に、整理し直して記述する。本記事はあくまでmemoである。
suricata は、Linux/MacOS/FreeBSD/OpenBSDで動作する I[DP]S 実装である。
同様の実装にsnortやIronBeeがあるが、IronBeeは2018/11段階で3年ほど更新が途絶えている。
suricataは、基本的に、ある種のパターン(Signature)にMatchするパケットを検出し、Logに記録したり、OS側のFirewall機構を利用してパケットをDropしたりすることができる。
FreeBSDでsuricataを利用する場合、System側のFirewall実装として pf と ipfw が利用でき、suricataはipfwに関するInstallationの情報を公開しているが、個人的な慣れと気分でpf+suricataでIPSを実装したいので、いろいろ調べてみた。
結論:suricata+pfでIPSを作成する場合、pfのruleに
pass quick on egress inet proto tcp to port 80 divert-packet port 700
のように dirvert-to を利用すること
しかし、まだ、divert-toの使い方はよくわかっていない…
tweet/2018/1118_01.txt · 最終更新: 2018/11/18 13:58 by seirios