[Opnsense - IPS] IPS 설정 및 룰셋 적용
1. IPS 서비스 실행 및 설정
Service - Intrusion Detection - Administration - Settings
- advanced mode : 좀 더 상세한 설정 가능
- Enabled : IDS/IPS 기능 쓰고 싶다면 활성화
- IPS mode : IPS 기능(트래픽 차단) 활성화
- Promiscuous mode : 목적지 IP가 인터페이스 IP와 달라도 패킷 캡쳐(IDS/IPS 기능 쓸거면 사용 필수)
- Enable syslog alert, Enable eve syslog output : Siem을 쓴다면 Syslog 활성화(추후 Siem 구축 후 사용 예정)
=> Syslog 사용 시 System ▸ Settings ▸ Logging / Targets 에서 설정
- 다른 기능은 시스템 성능에 따라 적절히
- Interfaces : 모니터링할 인터페이스 설정(WAN, LAN 둘 다 설정 시 중복된 이벤트 존재하니 참조)
=> 단 Naxsi를 사용하면 LAN으로 설정 시 출발지 IP 확인이 안되는 문제 발생
- Home networks : IPS 정책에서 출발지 혹은 목적지가 Home networks인 경우가 있는데 그 때 적용할 대역
- Log package payload : 발생한 로그 내 상세 페이로드 삽입 여부
=> 비활성화 시 알람에서 공격 구문 확인 안됨
2. 탐지 패턴 다운로드 및 설정
Download 탭
- 적용하고 싶은 룰셋 체크 - Enable selected - Download & Update Rules
=> 룰셋에 대한 설명을 보고 싶으면 해당 룰셋 가장 오른쪽 Edit 클릭 - URL 접속
- 룰셋을 다운로드 및 활성화 했다면 'Rules' 탭에서 확인 가능
=> 룰셋 내 특정 룰만 활성화 및 Action(차단 여부) 변경 가능
3. 탐지 테스트
- Kali에서 Lan에 연결된 웹서버로 Nikto 스캔 결과, 이벤트 탐지
- 공격이 더 많았을텐데 탐지 수가 빈약한 것은 적용된 룰셋 문제겠지..ㅎ
- Alert 탭에서 info를 확인하면 상세 페이로드 확인 가능
(Seting 탭에서 Log package payload 설정 여부에 따라 다름)
=> 봤더니 하나의 이벤트에 여러 페이로드가 삽입되어 있음
참고 사이트
1. https://docs.opnsense.org/manual/ips.html
Intrusion Prevention System — OPNsense documentation
Feodo Tracker Feodo (also known as Cridex or Bugat) is a Trojan used to commit ebanking fraud and steal sensitive information from the victim’s computer, such as credit card details or credentials. At the moment, Feodo Tracker is tracking four versions o
docs.opnsense.org
2. https://www.youtube.com/watch?v=TPKLu4a3A4E
'내 웹 서버 > IPS & WAF' 카테고리의 다른 글
| [Opnsense - WAF] 사용자 정의 룰 생성 (0) | 2023.12.24 |
|---|---|
| [Opnsense - WAF] WAF(Naxsi) 설정 및 룰셋 적용(2) (0) | 2023.12.24 |
| [Opnsense - WAF] WAF(Naxsi) 설정 및 룰셋 적용(1) (0) | 2023.12.24 |
| [Opnsense - IPS] 사용자 정의 룰 생성 (0) | 2023.12.21 |
| [Opnsense - IPS/WAF] Opnsense 설치 (0) | 2023.12.17 |