Your Cart
Empty Cart

Vigor3912S - Hướng dẫn sử dụng Suricata (IDS/IPS)

Chuyên mục: Vigor3912S Next-generation Firewall
460 lượt xem

DrayTek Vigor3912s được trang bị Suricata, một hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) với cộng đồng người dùng vô cùng lớn. Suricata là phần mềm mã nguồn mở do Open Information Security Foundation (OISF) phát triển, nổi tiếng với khả năng phân tích lưu lượng mạng và phát hiện các mẫu tấn công phức tạp. Suricata không chỉ hỗ trợ phân tích lưu lượng dựa trên chữ ký mà còn sử dụng các kỹ thuật phát hiện bất thường và hành vi để nhận diện các mối đe dọa.

 

Điểm đặc biệt của Vigor3912s là tích hợp Suricata với Smart Action - một công cụ thông minh giúp tự động hóa các biện pháp phản ứng khi phát hiện mối đe dọa. Smart Action cho phép thiết bị tự động thực hiện các hành động bảo mật như chặn lưu lượng hoặc gửi cảnh báo khi phát hiện mối đe dọa. Tất cả những tính năng này đều được cung cấp hoàn toàn miễn phí, giúp doanh nghiệp tiết kiệm chi phí đáng kể so với việc phải mua thêm các phần mềm bảo mật khác​.

 

 

Hướng dẫn cấu hình Suricata:

B1: Bật Linux trên V3912s

Bước này giống như chúng ta cài thêm con ubuntu

  • Linux IP address: đặt địa chỉ cho con ubuntu

  • Linux Gateway IP address: đặt đặt địa chỉ gateway để cho con ubuntu ra net

  • Linux Network: con ubuntu sẽ chạy thông qua “bridge nào / network” nào trên V3912s

  • Linux Service: Để có thể quản lý con ubuntu này cần bật SSH và đặt port cho nó

B2: Bật Suricata

  • Check hết vào như hình >> nhấn OK

  • Đợi tầm 5 phút để Suricata cài và khởi động

  • Mặc định log Suricata sẽ lưu vào SSD, nhưng nếu cần lưu thêm (song song) thì thêm phần “Save Log to Syslog Server”

 

 

B3: Cấu hình Suricata

Quy định rule giám sát cho Suricata, các hành động sẽ được giám sát dựa theo mức độ nguy hiểm (priority)

  • Priority 1 là cao nhất, 4 là thấp nhất

  • Thông thường chúng ta chỉ cần theo dõi và block Priority 1 và 2

  • Hoặc có thể chọn chi tiết từng mục mình cần

  • Nhấn OK

D - XEM LOG

  • Tất cả hoạt động của V3912s đều được lưu log lại

  • Có thể xem trực tiếp hoặc export file

B1: Cấu hình log nào cần lưu

  • Do chúng ta có SSD 256GB rồi nên cứ lưu hết

B2: Xem và Export log

1: Xem log trong khoảng thời gian nào

2: Cụ thể muốn xem phần log nào. Muốn xem hết thì chọn ALL

3: Loại cảnh báo muốn xem. Thường chọn INFO

4: Muốn lọc với từ khóa nào. Để trống là xem hết

5: Muốn hiện bao nhiêu dòng. Thường 10.000  thôi, nhiều quá chậm lắm

6: Bắt đầu tìm

7: Download những gì hiện ra của bước 6