[OPNsense] WAF; Web Application Firewall 구축하기

 

 

미니 PC PfSense 방화벽 N5105 라우터 4x 인텔 i225V B3 25G LAN 2x ddr4 NVMe 산업용 팬리스 4xUSB HDMI20 OPNsense PV

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

🚀 [OPNsense] WAF; Web Application Firewall

    🔽 개요

        📦 소개

이번 글에서는 Web Service를 보호하기 위해서 WAF, Web Application Firewall 즉, 웹 방화벽을 구축해 보려고해요.

OPNsense는 참 많은 기능을 제공해 줘서 좋은 거 같아요.

WAF에 대한 내용은 이 곳에 정성스럽게 준비해 두었어요.

주니는 NAXSI를 설치해 주려고 하는데, NAXSI는 WAF이고, Nginx Anti XSS(Cross Site Scripting) & SQL Injection의 약자에요.

약자로만 봐도 알 수 있지만, Nginx 전용 WAF이기 때문에 Nginx와 NAXSI의 조합은 가볍고 빠른 편이에요.

특징으로 웹 사이트 취약점과 알려진 패턴들이 99%가 적용 되어 있고, 읽기 쉬운 패턴으로 구성되어 특정 규칙을 추가하는데, 매우 쉽다고 해요.

더욱이 오픈 소스로 무료로 이용할 수 있답니다.

 

 

 

    🔽 OPNsense

        📦 초기 작업

System -> Firmware -> Plugins

728x90

 

 

최초 WAF를 사용하기 위해선 Plugin을 추가해 주어야 해요.

주니는 Naxsi를 설치해 주도록 할게요.

 

위의 두 Plugin을 + 버튼을 눌러 설치 해 주었어요.

 

 

 

        📦 Nginx Service 설정

 

 

 

Services -> Nginx -> Configuration -> Upstream -> Upstream Server

 

 

 

이번엔 위와 같이 이동해서 Nginx에 대한 설정을 해 볼게요.

주니는 위와 같이 DMZ Zone에 위치한 Nginx Server 사설 IP를 작성하고, 순서를 1번으로 지정해 주었어요.

 

 

Services -> Nginx -> Configuration -> Upstream -> Upstream

 

 

 

주니는 위와 같이 설정 해 주었어요.

 

 

Service -> Nginx -> Configuration -> HTTP(S) -> Naxsi WAF Policy

 

이번엔 위와 같이 Page를 이동해 줄게요.

 

 

최초 Download를 눌러 정책들을 내려 받아 줄게요.

 

 

 

내려 받기가 완료되면 위와 같이 나올거에요.

 

SQL Injection 관련 정책을 보니 이렇게나 많은 정책이 들어가 있는걸 확인할 수 있어요.

Service -> Nginx -> Configuration -> HTTP(S) -> Naxsi WAF Rule

 

 

이번엔 WAF 규칙을 설정하기 위해 이동해 볼게요.

역시나 많은 규칙이 존재하는 걸 확인할 수 있어요.

주니쓰는 지금 당장 추가할 정책이 없기 때문에 확인만 하고, 넘어갈게요.

Service -> Nginx -> Configuration -> HTTP(S) -> Location

 

 

이제 이 곳으로 이동해 볼게요.

 

이 곳에서 URL Pattern을 root로 해주었는데,  이건 표준 값을 입력해 준 것이에요.

그리고, Enable Security Rules를 활성화 하여 WAF가 적용되도록 해 주었어요.

Learning Mode를 비 활성화 하여 차단 모드를 해제하고, 기록 모드로 변하는 것을 막아주었어요.

Custom Security Policy의 경우 위에서 내려 받았던 정책 모두를 선택해 주었어요.

 

 

Upstream Server 역시 이전에 만들어논 Upstream 설정을 가져 왔답니다.

이렇게 설정하고, Save를 눌러 주었어요.

 

 

Services -> Nginx -> Configuration -> HTTP Server

 

이번엔 HTTP Server Tab으로 이동해 볼게요.

최초 + 버튼을 누른 뒤 위와 같이 Server Name을 Domin 형식으로 작성해 주었어요.

그리고 이전에 만들어 주었던 Location 설정을 Locations에서 선택해 주었어요.

나머지는 기본값으로 두고, Save 눌러 주었습니다.

이번엔 General Settins로 이동해 주었어요.

Enable nginx Check Box가 활성화 되었는지 확인하고, Apply를 눌러 주었어요.

        📦 방화벽 정책 설정

웹 앱에 액세스하기 전에 Inbound HTTP를 허용하는 WAN 인터페이스에서 방화벽 규칙을 만들어야해요.
현재 웹 애플리케이션 역할을 방화벽이 하는데, HTTPS 트래픽에 대해서는 Nginx에 의해 역할을 대신할 수 있어요.

 

 

Firewall -> Rules -> WAN

 

이제 정책을 한번 만들어 줄게요.

Client는 Web에 접속할 때, 80 Port를 이용하기 때문에 이 정책을 열어주려고 해요.

최초 위와 같이 WAN Interface에 IPv4와 TCP를 통해 들어오는 정책을 허용하는데, Source 즉, 출발지는 어디든 상관 없이 Destination 즉, 도착지는 OPNsense 방화벽으로 해 주었어요.

이렇게 한 뒤 Save를 눌러 저장해 줍니다.

그런뒤 Apply Changes를 눌러 주었어요.

 

 

 

 

🧐 참고 자료

 

 

 

 

미니 PC PfSense 방화벽 N5105 라우터 4x 인텔 i225V B3 25G LAN 2x ddr4 NVMe 산업용 팬리스 4xUSB HDMI20 OPNsense PV

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."