[Opnsense - IPS] 출발지 IP 탐지 예외처리

[문제 상황]

- IPS 탐지 인터페이스를 LAN으로 설정했더니 공격 탐지로그에서 출발지 IP가 Opnsense로 변경되는 문제 확인

 

[원인]

- 웹 서버로 가는 트래픽이 Nginx 리버스 프록시를 거치면서 출발지 IP가 변경되는 것으로 판단됨

 

[해결 방안]

- 탐지 인터페이스를 WAN, LAN으로 설정하고 방화벽 IP가 출발지인 경우 예외하도록 설정

  => 더 좋은 방법이 있을 수 있음. 방화벽 IP를 예외하는 경우 취약한 부분이 존재하지만 수용하기로 함

 

1. IPS 탐지 인터페이스 WAN 추가

 

2. 예외 처리 정책 생성

Service - Intrusion Detection - Administration - User defined - '+ 버튼'

 

- Enabled: 해당 정책 활성화 여부

- Source IP: 웹 서버와 통신하는 방화벽 인터페이스 IP(LAN 등)

- Action:해당 정책에 대해 탐지도 차단도 안하도록 Pass 설정

- Description: 해당 정책 설명

 

3. 예외처리 정책 적용 확인

- 적용 전에는 동일한 공격에 로그가 2건 발생

 

- 적용 후에는 로그가 1건만 발생