如您有廠商邀請合作撰寫評測文章,請透過本站聯繫,感謝您們~ 聯繫我們

OPNsense 設定防禦入侵偵測來加強保護網路

  • URLをコピーしました!

OPNsense 目前支援 Suricata 進行防禦入侵偵測,在網際網路充斥利用資安危害來惡意攻擊行為,其中是中小企業、SOHO 工作室、以及 IoT 物聯網成了目標之一,所以對外來入侵需要謹慎防禦動作,避免發生誤判狀況,這次為大家做一些簡單設定教學。

Opnsense Ids Suricata Og
目錄

OPNsense 設備建議配置

  • CPU:4核心以上,需要有支援 SSE3 指令集的 64 位處理器。
  • RAM:4GB以上,建議 DDR4 以上

OPNsense 前置準備

OPNsense 在啓用 IDS 功能之前,請前往「介面 → 設定」,將硬體加速全部停用,因為它無法與 IDS 相容一起使用,會造成衝突。

Opnsense Ids Suricata 01a

OPNsense 設定 IDS 防禦入侵偵測

在「服務 → 人侵偵測 → 管理」頁面,以下設定,並且套用生效:

  • 啓用:勾選
  • IPS模式:勾選
  • 混雜模式:勾選,主要是可套用 VLAN 配置;如您沒有 VLAN 的話,可以不用勾選。
  • 啓用 syslog 警報:勾選,可記錄 log 狀況
  • 模式比對器:建議選 Hyperscan 模式,會對整體網路效能比較好,相對是 CPU 需要支援 SSE3 指令集的 64 位元處理器;若是在 Proxmox 虛擬化內的話,請將 CPU 改成 Host 模式。
  • 介面:WAN 會從 Suricata 保護,另 LAN 會另一個 Sensei 保護

    基本上兩者可以一起使用,但是 PPPoE 可能無法使用 WAN 介面,因為它不能使用浮動 IP 做為 WAN 介面,所以請在進階模式開啓,將在內部網路輸入您的 PPPoE 取得固定 IP 位址(不是浮動 IP)輸入上去。

    若沒有太大需求的話,那麼僅選擇 LAN 介面即可。
Opnsense Ids Suricata 01

接著建立排程,定期下載更新特徵規則集。

  • 分、小時:依您喜好設定時間,我建議是1~2小時為佳
  • 命令:選擇 Update and reload intrusion detection rules
  • 說明:自訂命名
Opnsense Ids Suricata 04

OPNsense 下載更新特徵碼規則集

基本上我都是選 abuse.ch 規則集,其它 ET 僅勾惡意挖幣、惡意軟體相關就好,不需要全部勾選,避免誤封到生活日常用的服務,例如社群即時通、P2P、DNS….等。

勾選好您想要的規則集,點選「啓用已選擇」之後,再按下「下載和更新規則」,請等它跑完動作,才能下進一步的動作。

Opnsense Ids Suricata 03

OPNsense 建立政策規則

這關鍵了,很多人常常忽略到這個政策規則,誤以為只要下載規則集就好,其實沒有,因為它下載完成後,會一律預設「警報」,不會從規則去判斷「封鎖」動作,所以需要從建立政策規則,才會有「封鎖」作用。

  • 啓用:勾選
  • 優先權:若只有一個,就預設 0 值
  • 規則集:您想要選擇的已下載規則集,或是留空讓它自動全部套用
  • 動作:選警報、丟棄
  • 新動作:丟棄,它會把規則集全部從警報全數改為丟棄,這樣才會有「封鎖」作用
  • 說明:自訂命名

在套用時,會去更新所有規則集,需要跑一段時間,請等待它跑完。

Opnsense Ids Suricata 05

以上建立完成後,等一段時間去看警示 log 記錄表,會看到 blocked 成功了。

Opnsense Ids Suricata 06
如果喜歡文章,歡迎分享~!よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目錄