[Linux] PfSense IDS/IPS 활용하기

 

안녕하세요. 주식회사 서버몬 입니다.

금번 포스팅은 구축한 Pfsense 의 IDS/IPS 기능에 대해서 알아보도록 하겠습니다.

 

IDS/IPS란?

IDS(침입 탐지 시스템)와 IPS(침입 방지 시스템)는 네트워크에서의 악의적인 활동을 탐지하고 방지하기 위해 

함께 작동하는 사이버 보안 솔루션으로, 맬웨어, 무단 액세스 시도, DoS(서비스 거부) 공격과 같은 사이버 위협으로부터 네트워크를 보호하는 데 중요한 역할을 합니다. 

IDS는 트래픽을 분석하고, 잠재적인 위협 탐지 시 경고를 생성하는 수동적 모니터링 툴입니다. 

IPS는 악성 패킷을 삭제하거나 방화벽 규칙을 재구성하거나 심지어는 영향을 받는 네트워크 세그먼트를 실시간으로 격리할 수 있는 능동적 보안 메커니즘입니다. 

IDS와 IPS를 함께 사용하면 탐지 기능과 자동 대응 기능을 모두 제공하여 보안 태세를 강화할 수 있습니다.

 

IDS/IPS의 작동 방식

IDS/IPS는 다음과 같은 세 가지 방법의 조합을 기반으로 보안 위협을 식별하고 대응합니다.
서명 기반 탐지: 네트워크 트래픽을 알려진 공격 패턴의 데이터베이스와 비교합니다. 일치하는 부분이 발견되면 알림을 트리거하거나 조치를 취합니다. 이 방법은 알려진 위협에는 효과적이지만, 새롭거나 진화된 공격 패턴에는 취약합니다.
이상 기반 탐지: 정상적인 네트워크 동작의 기준을 설정하고 공격을 의미할 수 있는 편차가 있으면 신호를 보냅니다. 이 방법은 특히 제로 데이 공격이나 APT(지능형 지속 위협)를 탐지하는 데 유용합니다.
행동 분석: 기계 학습과 인공 지능을 사용하여 알려진 특징이 없더라도 마련된 기준에서 벗어나는 의심스러운 행동을 식별합니다.
IDS/IPS는 실시간으로 네트워크 패킷을 검사하고 트래픽 흐름을 분석하며 트래픽이 정상적인지 또는 악성인지 판단하는 방식으로 작동합니다. 잠재적인 위협이 식별되면 IDS는 알림을 생성하고, IPS는 적극적으로 위협을 차단하거나 완화합니다.

 

Pfsense Suricata 구성

Pfsense 에서 IDS 구성을 위해 Suricata 를 사용합니다.

 

System -> Package Manager 

 

suricata 설치  

 

 

Service -> Suricata 

 

Glboal Setting - Install ETOpen Emerging Threats Rules 를 선택

 

정책 업데이트 주기를 1DAY 로 변경

 

Updates -> Update Your Rule Set -> Update  정책을 최신화 

 

차단 정책을 최신일 기준으로 업데이트 합니다.

 

IDS 를 적용할 인터페이스를 추가 합니다.

 

WAN 인터페이스에 구성

 

EVE 이벤트 타입을 JSON 으로 설정합니다.

 

이벤트를 받을 룰에 대하여 정의 합니다.

 

WAN 인터페이스에 대해서 Suricata 를 실행

 

Alerts 메뉴에서 위협로그에 대해서 확인 가능합니다.

 

IDS 이외에도 IPS 정책으로 변경 해보겠습니다.

Block Offendrs 를 선택후 IPS 모드를 Legacy Mode 로 변경

 

Blocks 항목에서 사전에 등록된 IP 대역, 위협 사항에 대해서 자동으로 차단

 

감사합니다.

 

 

 

1U서버 / 2U서버 / AI서버 / alyac / APC / APC UPS / backup / carepack / centos / chakramax / cuda / DAS / DB / DB서버 / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / dell서버서버몬 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell옵션 / dell워크스테이션 / dl20 / dl20gen10 / dl20gen11 / dl360 / dl360gen10 / dl360gen11 / dl380 / dl380g10 / dl380gen10 / dl380gen11 / ECC메모리 / EDFOG랙가격 / embedded / est security / ESTSOFT / FIRMWARE / GPU / gpu서버 / gpu타워형서버 / greenlake / HA솔루션 / HP GPU / hp hdd / hpdl20 / HPDL20Gen10 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPDL380Gen10 / HPE / HPE GPU / hpe hdd / hpe rok / HPE Service Pack for Proliant / HPE SPP / hpe ssa / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / hpe서버소음 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpe옵션 / hpe정품 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz4g4 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버cto / hp서버pc / HP서버메모리 / hp서버소음 / hp서버컴퓨터 / HP서버파워 / HP서버펌웨어 / HP서버하드디스크 / hp옵션 / hp워크스테이션 / hp정품 / hp프로라이언트 / HYPER BACKUP / ibm서버 / ilo / Intelligent Provisioning / internetdisk / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ml30gen11 / ML350GEN10 / ml350gen11 / ML360 / MS CSP / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / NAS / NVIDIA / Office 365 / oneview / orange / OS설치 / PA-410 / PA-440 / paloalto / poweredger740 / poweredger750 / precision5820 / QUADRO / r240 / r250 / r340 / r360 / r440 / r550 / r650 / r660 / r740 / r750xs / r760 / r760xs / RAID / redhat / RHEL설치 / RMS랙 / rocky / s100i / securedisk / server / serverpc / smart storage administrator / SPP / sql server / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / t150 / t360 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / veeam / vroc / windows server / Windows서버설치 / XEON서버 / z8g4 / 가상서버 / 가성비서버 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델옵션 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 레이드 / 레이드구성 / 록키리눅스 / 리눅스 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 문서보안 / 문서중앙화 / 미니서버 / 미니서버랙 / 미니서버렉 / 미디어서버 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 백업 기술지원비(비용) / 백업 서버 / 백업서비스 / 백업솔루션 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 보안툴 / 빔백업 / 샤크라맥스 / 서버 / 서버 기술지원비(비용) / 서 버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버가속기 / 서버견적 / 서버교체 / 서버구매 / 서버구입 / 서버구축 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉 / 서버렉마운트 / 서버메모리 / 서버 몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버부품 / 서버엔지니어 / 서버옵션 / 서버용GPU / 서버용PC / 서버용그래픽카드 / 서버용메모리 / 서버 / 컴퓨터 / 서버용하드디스크 / 서버재고 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버판매 / 서버하드 / 서버호스팅 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 앱서버 / 오피스 365 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버2022 / 윈도우서버설치 / 윈도우서버컴퓨터 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이스트 시큐리티 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 임베디드 / 저가서버 / 저렴한서버 / 정품서버 / 정품서버옵션 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 케어팩 / 타워서버 / 타워형서버 / 팔로알토 / 페도라설치 / 프로라이언트