🔐 Руководство по Безопасности Интерфейсов pfSense Snort
Правильно настройте правила Snort для интерфейсов WAN, DMZ и VLAN. Эффективно защитите сервер и IoT устройства.
🌐 Настройки Интерфейса WAN
WAN — это ваш шлюз в интернет. Здесь необходимо включить наиболее полные правила IPS:
- Snort GPLv2 Community Rules
- ET Open Rules
- Feodo Tracker Botnet C2 IP Rules
- Emerging Malware, Botnet, Drop, Compromised
- Emerging DoS, Scan, Web Client/Server
- Протоколы: DNS, HTTP, SMTP, ICMP
Auto-Flowbit Resolution всегда должен быть включен.
🖥️ Настройки Интерфейса DMZ
В DMZ размещён сервер HestiaCP. Здесь следует сосредоточиться на правилах, связанных с веб-сервером:
- Snort Server Apache, MySQL, Webapp Rules
- Emerging Web Server, SQL
- Emerging Malware, Botnet, Scan
- Policy Rules: Spam, Inappropriate, Social
📡 Настройки Интерфейса VLAN (IoT)
IoT устройства часто уязвимы. Здесь используйте лёгкие, но целевые правила:
- Emerging Mobile Malware, Botnet
- Emerging Compromised, Drop
- Протоколы: DNS, HTTP, MQTT, ICMP
- PUA Rules: Adware, P2P
⚠️ Важное Предупреждение
emerging-exploit.rules не следует включать, так как это может вызвать нестабильность работы Snort.
📝 Заключение
На WAN включите полное покрытие IPS, на DMZ — правила, связанные с веб-сервером, а на VLAN — лёгкие правила для защиты IoT устройств от ботнетов и вредоносных программ. Управляйте ложными срабатываниями через Suppression List и регулярно проверяйте журналы.