28-05-2023, 06:49 PM
En la interfaz de Suricata en Opnsense podemos ver que tenemos disponibles algunos ajustes avanzados pero no son ni mucho menos todos los que hay. Voy a explicar a continuación como modificar dos ajustes de Suricata que no están visibles, uno es relativo a su rendimiento y el segundo relativo a la seguridad.
Para hacerlo vamos a acceder por SSH a Opnsense con Filezilla o similares. Tenemos que acceder a la ruta usr/local/etc/suricata
En esa ruta vemos que existe el archivo suricata.yaml que tenemos que descargar a nuestro ordenador. Una vez descargado lo vamos a modificar editándolo con cualquier editor de textos. Una vez que abrimos el archivo suricata.yaml lo primero que vemos es que es un archivo treméndamente extenso con una cantidad enorme de configuraciones, algunas habilitadas y otras no. Es mejor NO TOCAR NADA salvo que se tengan los suficientes conocimientos.
1 - Rendimiento:
El ajuste que vamos a modificar depende de la cantidad de equipos que tengamos en nuestra red local y su actividad, si tenemos muy pocos no es necesario tocarlo pero si tenemos unos cuantos si es conveniente hacerlo. En cualquier caso, y ante la duda de si hacerlo o no, modificarlo no supone ningún problema.
En la parte media - baja del archivo suricata.yaml nos encontramos con el siguiente ajuste:
#max-pending-packets: 1024
Vamos a activar ese ajuste y le vamos a cambiar el valor 1024 por el de 10000
max-pending-packets: 10000
Nos quedaría así:
2 - Seguridad:
Si nos damos una vuelta mirando las miles de reglas que utiliza Suricata veremos que hay para todo tipo de Sistemas Operativos y dispositivos. Lo que vamos a hacer a continuación es ayudar a Suricata en su trabajo indicándole que dispositivos tenemos en nuestra red local para que pueda hacer bloqueos más eficiéntemente.
Un poco más abajo del ajuste que hemos modificado antes nos encontramos con lo siguiente:
Se puede ver en la imagen que tenemos una lista de Sistemas Operativos, lo que vamos a hacer es indicar los Sistemas Operativos que tienen nuestros dispositivos colocándolos en las casillas correspondientes y lo haremos mediante sus ips locales. Si tenemos más de un dispositivo con el mismo Sistema Operativo separaremos las ips locales mediante coma + espacio.
Un ejemplo de configuración sería el siguiente:
FIN, a continuación guardamos los cambios en el archivo, eliminamos el archivo suricata.yaml de Opnsense y lo sustituimos por el modificado. Para terminar REINICIAMOS OPNSENSE.
A tener en cuenta:
Si en una actualización de firmware de Opnsense se incluye también una actualización de Suricata el archivo suricata.yaml se revierte al original con sus configuraciones por defecto. Esto ocurre, como digo, con las actualizaciones de Suricata pero NO CON TODAS, hay veces que se actualiza y el archivo modificado por nosotros sigue en su sitio. Para comprobar si se ha revertido al original después de una actualización de Suricata tendremos que acceder por SSH a Opnsense y mirar la fecha de modificación del archivo suricata.yaml
Si es así lo sustituimos por el modificado que podemos tener almacenado y guardado en el ordenador.
Para hacerlo vamos a acceder por SSH a Opnsense con Filezilla o similares. Tenemos que acceder a la ruta usr/local/etc/suricata
En esa ruta vemos que existe el archivo suricata.yaml que tenemos que descargar a nuestro ordenador. Una vez descargado lo vamos a modificar editándolo con cualquier editor de textos. Una vez que abrimos el archivo suricata.yaml lo primero que vemos es que es un archivo treméndamente extenso con una cantidad enorme de configuraciones, algunas habilitadas y otras no. Es mejor NO TOCAR NADA salvo que se tengan los suficientes conocimientos.
1 - Rendimiento:
El ajuste que vamos a modificar depende de la cantidad de equipos que tengamos en nuestra red local y su actividad, si tenemos muy pocos no es necesario tocarlo pero si tenemos unos cuantos si es conveniente hacerlo. En cualquier caso, y ante la duda de si hacerlo o no, modificarlo no supone ningún problema.
En la parte media - baja del archivo suricata.yaml nos encontramos con el siguiente ajuste:
#max-pending-packets: 1024
Vamos a activar ese ajuste y le vamos a cambiar el valor 1024 por el de 10000
max-pending-packets: 10000
Nos quedaría así:
2 - Seguridad:
Si nos damos una vuelta mirando las miles de reglas que utiliza Suricata veremos que hay para todo tipo de Sistemas Operativos y dispositivos. Lo que vamos a hacer a continuación es ayudar a Suricata en su trabajo indicándole que dispositivos tenemos en nuestra red local para que pueda hacer bloqueos más eficiéntemente.
Un poco más abajo del ajuste que hemos modificado antes nos encontramos con lo siguiente:
Se puede ver en la imagen que tenemos una lista de Sistemas Operativos, lo que vamos a hacer es indicar los Sistemas Operativos que tienen nuestros dispositivos colocándolos en las casillas correspondientes y lo haremos mediante sus ips locales. Si tenemos más de un dispositivo con el mismo Sistema Operativo separaremos las ips locales mediante coma + espacio.
Un ejemplo de configuración sería el siguiente:
FIN, a continuación guardamos los cambios en el archivo, eliminamos el archivo suricata.yaml de Opnsense y lo sustituimos por el modificado. Para terminar REINICIAMOS OPNSENSE.
A tener en cuenta:
Si en una actualización de firmware de Opnsense se incluye también una actualización de Suricata el archivo suricata.yaml se revierte al original con sus configuraciones por defecto. Esto ocurre, como digo, con las actualizaciones de Suricata pero NO CON TODAS, hay veces que se actualiza y el archivo modificado por nosotros sigue en su sitio. Para comprobar si se ha revertido al original después de una actualización de Suricata tendremos que acceder por SSH a Opnsense y mirar la fecha de modificación del archivo suricata.yaml
Si es así lo sustituimos por el modificado que podemos tener almacenado y guardado en el ordenador.