[OPNsense] IPS 구축 및 이용

 

 

 

 

 

 

 

미니 PC PfSense 방화벽 N5105 라우터 4x 인텔 i225V B3 25G LAN 2x ddr4 NVMe 산업용 팬리스 4xUSB HDMI20 OPNsense PV

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

 

 

🚀 [OPNsense] IPS 구축 및 이용

    🔽 개요

        📦 소개

오늘은 OPNsense를 통해 IPS(Intrusion Prevention System)을 구축하여 보안을 강화하는 방법에 대해 이야기 해보려 해요.

내부의 산출물과 서비스, 모든 내용은 매우 소중하기 때문에 최대한 안전하게 지켜주고 싶어요.

주니쓰는 작년에 정보보안 산업기사를 취득했고, 1년간 독서실에 박혀 필기와 실기를 열심히 준비했어요.
기사도 준비했으나, 아쉽게도 떨어지고 말았어요...

그때 공부하면서 IPS에 중요성을 알게 되었답니다. 그래서 IPS를 구축하고, 보안을 더욱 강화하는 방법을 선택하게 되었어요.

 

먼저 구축하기 전에 IPS와 IDS가 무엇인지 부터 정리해 보려고 해요.

이 내용은 이 곳에 따로 열심히 준비해 두었어요.

 

 

 

    🔽 OPNsense IPS 

        📦 구축 및 설정

최초 OPNsense 관리자 Page로 접속하여 가지고 놀아 볼게요.

Services -> Intrusion Detection -> Administration

728x90

 

최초 위와 같이 IDS 설정 Tab으로 이동 해 주었어요.

Services -> Intrusion Detection -> Administration -> Settings

 

그런 뒤 주니는 위와 같이 설정 해 주려고 해요.

참고로 위에서 Interfaces를 WAN으로 설정했다면 advanced mode 버튼을 활성화하여

Home Network 부분에 WAN IP 주소를 입력해 주어야 해요.

이 곳에서는 Domain Name을 작성할 수 없기 때문에 WAN 주소가 변경된다면
이 곳에 IP를 최신화 해줘야 하는 단점이 있어요.

한가지 다행인것은 많은 ISP에서 장기간 Network를 물고 있다면 IP를 변경하지 않아주고 있어요.

만약 IP가 자꾸 변경되어 불편하다면 WAN이 아닌 LAN을 선택하는 것도 방법일 수 있어요.

Apply를 눌러줄게요.

 

종    류	내    용
Enable	IDS Mode 활성화 (탐지만 가능)
IPS Mode	IPS Mode 활성화 (침입 차단 가능)
Promiscuous Mode	무차별 모드에서 트래픽을 분석 (네트워크 인터페이스에 전달 된 모든 패킷)
Enable syslog alerts	빠른 로그 형식을 사용하여 syslog에 알림을 전달
Enble eve syslog output	로그 레벨 정보를 사용하여 Eve 형식으로 Syslog로 알림 전달. 제품 자체가 사용하는 경고 로깅은 변경되지 않으며, 드롭 로그는 Suricata의 제한으로 인해 내부 로거로만 전송.
Pattern matcher	패턴 매칭 알고리즘 제어.  AHO – CORASICK가 기본값이며, 지원되는 플랫폼에서 Hyperscan이 최상위 기능 제공. 구축된 하드웨어에서 Hyperscan을 사용할 수없는 경우 제안 된 설정은 "aho -corasick"보다 성능이 뛰어나기 때문에 "aho – corasick Ken Steele 변형"입니다.
Interfaces	보호할 Interface로 기본적으로 외부와 연결된 Interface WAN
Rotate log	Log 회전 빈도수
Save logs	저장할 Log 개수

Services -> Intrusion Detection -> Administration -> Download

 

이번엔 Download Tab에서 차단 Rule set에 대한 모든 Rule Set을 내려 받아주려고 해요.

최초 각각의 Rule Set 오른쪽에 Edit 밑에 연필 모양을 눌러줍니다.

그런 뒤 위와 같이 Enabled를 활성화 하고, Save를 눌러줘야 해요.

Services -> Intrusion Detection -> Administration -> Download

 

그럼 위와 같이 Enabled란이 모두 체크 모양으로 변경될 거에요.


모두 선택한 뒤 Download and Update를 눌러주면 자동으로 규칙을 내려받고, 적용할 거에요.

Services -> Intrusion Detection -> Administration -> Download

 

그럼 위와 같이 Last Updated에 내려 받거나, Update한 날짜가 나오게 될거에요.


참고로 이것은 공인된 곳에서 가져온 Rule Set이에요.


IDS/IPS를 처음 활성화 할 당시 OPNsense는 악성 트래픽을 탐지하거나, 차단하는 규칙 없이 활성화 되게 되는데, 해당 Tab에서 System에서 사용할 수 있는 모든 규칙들을 내려 받을 수 있게 준비 되어 있어요.

(Plugin을 사용하여 확장 가능)

이 곳에서는 다른 사용자가 제공한 규칙 집합 목록과 System에서 마지막으로 내려받기 한 시기(설치된 경우)를 찾을 수 있는 곳이고, 21.1 이전 Version에서는 여기에서 필터를 선택하여 설치된 규칙의 기본 동작을 경고에서 차단으로 변경할 수 있었으나, 21.1 이후부터 IDS/IPS Module 안에 별도 기능인 Policies에서 이 기능을 이용할 수 있게 변경되어 규칙에 대해 보다 세분화된 제어를 할 수 있게 변경 되었다고 해요.


위에 ET라고 표시된 것은 Emerging Threats에 약자로 다양한 IDS/IPS 규칙들을 담고 있어요.
무료 BSD Lisense Version과 유료 Lisense Version이 있답니다.


정보 확인: https://docs.opnsense.org/manual/ips.html#available-rulesets

Intrusion Prevention System — OPNsense documentation

 

 

참고로 Rule의 경우 주기적으로 Update를 해줘야 안정적인 보안을 가져갈 수 있어요.
Update를 수동으로 하는 것보단 자동으로 해주는게 더욱 편하기 때문에 스케쥴 쪽에서 Update 일정을 잡아 주도록 할게요.

Services -> Intrusion Detection -> Administration -> Schedule

 

위와 같이 Schedule Tab을 누르면 설정할 수 있어요.

주니쓰는 위와 같이 매일 7시에 Update가 진행되도록 설정해 주었어요.

 

 

 

기본적으로 IPS를 처음 적용하게 되면 모든 규칙이 Alert로 설정 되어 있을 거에요.

Drop으로 할 경우 Response 없이 차단을 해버려서 Service 장애를 일으킬 위험이 있기 때문에
Alert가 뜨는 규칙을 확인하고,
오탐이 아닌 정탐이라면 Drop 규칙으로 바꾸는 것도 방법일 수 있어요.

Services -> Intrusion Detection -> Administration -> Rules

 

Rules Tab에 가서 보면 굉장히 많은 규칙들이 있는 것을 볼 수 있어요.

Black List IP와 CVE와 같은 취약점도 포함 되어 있는걸 확인할 수 있어요.

가장 대표적인 취약점이 2021년도 개발자들의 간담을 서늘하게 했던 Log4j 취약점도 있다고 해요.

이제 상세한 설정에 대해서는 아래와 같이 User define을 통해 적용해 줄 수 있어요.

 

 

Services -> Intrusion Detection -> Administration -> User define

반응형

 

주니쓰는 모든 IP 대역에서 Server Zone으로 오는 것에 대해 먼저 정책을 걸어 보았어요.

 

 

이번에는 정책을 작성해 놓아보도록 할게요.

Services -> Intrusion Detection -> Policy

 

위와 같이 Policy Tab에서 + 버튼을 눌러줄게요.

Rulsets 부분에 모든 내용을 선택해서 활성화 하고,
Description에 어떤 정책인지를 적은 뒤 New action에 해당 정책에 위반한 내용을 발견하면 어떻게 할 것인가를 정의해 주었어요.

 

🧐 참고 자료

Intrusion Prevention System — OPNsense documentation

 

 

 

 

미니 PC PfSense 방화벽 N5105 라우터 4x 인텔 i225V B3 25G LAN 2x ddr4 NVMe 산업용 팬리스 4xUSB HDMI20 OPNsense PV

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."