Suricata ile Cisco ASA ortamında ips/ids (saldırı tespit)

runobook

Merhaba;
Sistemimde cisco asa firewall , websense filtre ve proxy server var. Ama mevcut cisco’nun ips/ids (saldırı tepist sistemi) özelliği yok. O yüzden bende daha önce bir çok kez kurulumunu yaptığım hali hazırda çalıştırdığım pfsense üzerinde suricata kurarak ayrıca ips/ids oluşturmak istiyorum. Bahsi geçen mevcut yapıma bu uyumlu (stabil) olacak mıdır? Benim düşüncem olur fakat cisco’dan sonra mı olmalı yoksa direk wan önüne mi koymalıyım bilmedim. Çünkü paket snoof ettiricem ve snorpy ile analiz etmem lazım. Sizde biliyorsunuz ki İPS/İDS için mutlaka paket yakalamam lazım ama mevcut yapımda bunu nereye koymam lazım nasıl koymam lazım bilemedim.

Sistem : internet => huawei router (tt metro ethernet) => Cisco ASA FW => WebSense Proxy => Gateway şeklinde gidiyor.

Ama mevcut FW'nin ips/ids özelliği yok bunun için mutlaka PfSense üzerinde suricata benzeri bir saldırı tespit sistemi kurmam lazım. Pfsensi kurarım suricata'yı da kurarım ama yapımda paketleri yakalayabilmem için nereye koymam lazım onu bilemiyorum.