Tutorial Completo: Instalação do pfSense + Suricata (IDS/IPS) Passo a Passo

Proteja sua rede corporativa ou doméstica com este tutorial passo a passo sobre como integrar o pfSense (o firewall open source mais confiável do mercado) com o Suricata, um sistema avançado de detecção e prevenção de intrusões (IDS/IPS).

Pré-requisitos

Hardware Recomendado

• Processador: x64 (2 núcleos ou mais)
• RAM: 4GB (8GB+ recomendado para Suricata)
• Armazenamento: 16GB SSD (mínimo)
• Placas de rede: 2+ (1 WAN, 1 LAN)

Software Necessário

• Imagem ISO do pfSense (Download oficial)
• Rufus ou BalenaEtcher (para criar USB bootável)

PARTE 1: INSTALAÇÃO DO PFSENSE

Passo 1: Criar USB Bootável

1. Baixe a ISO do pfSense (versão Community).
2. Grave no USB usando Rufus (Windows) ou  dd  (Linux):
3. bash
4. Copy
5. sudo dd if=pfsense-2.7.0-RELEASE-amd64.iso of=/dev/sdb bs=4M status=progress
6. (Substitua  /dev/sdb  pelo seu dispositivo USB)

Exemplo Prático:

• Se o USB não aparecer no boot, desative Secure Boot na BIOS/UEFI.

Passo 2: Instalar o pfSense

1. Boote pelo USB e selecione:

• "Install pfSense"
• Tecla "A" para aceitar termos

2. Configuração do disco:

• Sistema de arquivos: ZFS (recomendado) ou UFS
• Partição: GPT (para UEFI)

Erro comum:

• "No disks found" → Ative modo AHCI para SATA na BIOS.

Passo 3: Configurar Interfaces de Rede

1. Após a instalação, o pfSense perguntará:

• "Configure VLANs?" → Digite  n  (a menos que use VLANs).
• "WAN interface name" → Ex:  igb0  (verifique com  ifconfig ).
• "LAN interface name" → Ex:  igb1 .

Exemplo Prático:

• Placa Intel I210:  igc0  (WAN),  igc1  (LAN).

PARTE 2: CONFIGURAÇÃO DO SURICATA NO PFSENSE

Passo 1: Instalar o Suricata

1. Acesse o pfSense (https://192.168.1.1).
2. Vá para System > Package Manager > Available Packages.
3. Procure por "Suricata" e clique em Install.

Erro comum:

• "Unable to install package" → Verifique DNS em System > General Setup.

Passo 2: Configurar a Interface

1. Vá para Services > Suricata > Interfaces.
2. Clique em Add e selecione LAN (ou WAN).
3. Defina:

• Enable: 
• IPS Mode:  (para bloquear ameaças)
• Block Offenders: 

Exemplo Prático:

• Para monitorar tráfego interno, selecione LAN.

Passo 3: Baixar Regras de Ameaças

1. Na aba Rulesets, selecione:

• ET Open Rules (gratuito)
• Snort VRT Rules (requer assinatura paga)

2. Clique em Download & Update Rules.

Dica: Ative atualização automática em Services > Cron.

 Passo 4: Ativar Prevenção de Intrusão (IPS)

1. Na aba Rules, ative categorias críticas:

• Malware
• Exploits
• Botnets

2. Escolha ação:

• Drop (bloqueio silencioso)
• Reject (envia mensagem de erro)

Exemplo Prático:

• Para bloquear ataques SSH, ative a regra "ET EXPLOIT SSH".

Passo 5: Testar e Monitorar

1. Simule um ataque com:
2. bash
3. Copy
4. nmap -sV 192.168.1.1
5. Verifique logs em Status > System Logs > Suricata.
6. IPs bloqueados aparecem em Firewall > Blocked.

Correção de Falsos Positivos:

• Adicione IPs confiáveis em Whitelist (Suricata > Pass Lists).

Próximos Passos

• Configure Alertas por E-mail (em Services > Suricata > Alerts).
• Integre com ELK Stack para análise avançada.

Considerações finais

Agora seu pfSense está protegido com Suricata (IDS/IPS)

Tutorial testado em pfSense 2.7.0 + Suricata 6.0.8
Configurado para bloqueio automático de ameaças!