OPNsense 目前支援 Suricata 進行防禦入侵偵測,在網際網路充斥利用資安危害來惡意攻擊行為,其中是中小企業、SOHO 工作室、以及 IoT 物聯網成了目標之一,所以對外來入侵需要謹慎防禦動作,避免發生誤判狀況,這次為大家做一些簡單設定教學。
目錄
OPNsense 設備建議配置
- CPU:4核心以上,需要有支援 SSE3 指令集的 64 位處理器。
- RAM:4GB以上,建議 DDR4 以上
OPNsense 前置準備
OPNsense 在啓用 IDS 功能之前,請前往「介面 → 設定」,將硬體加速全部停用,因為它無法與 IDS 相容一起使用,會造成衝突。
OPNsense 設定 IDS 防禦入侵偵測
在「服務 → 人侵偵測 → 管理」頁面,以下設定,並且套用生效:
- 啓用:勾選
- IPS模式:勾選
- 混雜模式:勾選,主要是可套用 VLAN 配置;如您沒有 VLAN 的話,可以不用勾選。
- 啓用 syslog 警報:勾選,可記錄 log 狀況
- 模式比對器:建議選 Hyperscan 模式,會對整體網路效能比較好,相對是 CPU 需要支援 SSE3 指令集的 64 位元處理器;若是在 Proxmox 虛擬化內的話,請將 CPU 改成 Host 模式。
- 介面:WAN 會從 Suricata 保護,另 LAN 會另一個 Sensei 保護
基本上兩者可以一起使用,但是 PPPoE 可能無法使用 WAN 介面,因為它不能使用浮動 IP 做為 WAN 介面,所以請在進階模式開啓,將在內部網路輸入您的 PPPoE 取得固定 IP 位址(不是浮動 IP)輸入上去。
若沒有太大需求的話,那麼僅選擇 LAN 介面即可。
接著建立排程,定期下載更新特徵規則集。
- 分、小時:依您喜好設定時間,我建議是1~2小時為佳
- 命令:選擇 Update and reload intrusion detection rules
- 說明:自訂命名
OPNsense 下載更新特徵碼規則集
基本上我都是選 abuse.ch 規則集,其它 ET 僅勾惡意挖幣、惡意軟體相關就好,不需要全部勾選,避免誤封到生活日常用的服務,例如社群即時通、P2P、DNS….等。
勾選好您想要的規則集,點選「啓用已選擇」之後,再按下「下載和更新規則」,請等它跑完動作,才能下進一步的動作。
OPNsense 建立政策規則
這關鍵了,很多人常常忽略到這個政策規則,誤以為只要下載規則集就好,其實沒有,因為它下載完成後,會一律預設「警報」,不會從規則去判斷「封鎖」動作,所以需要從建立政策規則,才會有「封鎖」作用。
- 啓用:勾選
- 優先權:若只有一個,就預設 0 值
- 規則集:您想要選擇的已下載規則集,或是留空讓它自動全部套用
- 動作:選警報、丟棄
- 新動作:丟棄,它會把規則集全部從警報全數改為丟棄,這樣才會有「封鎖」作用
- 說明:自訂命名
在套用時,會去更新所有規則集,需要跑一段時間,請等待它跑完。
以上建立完成後,等一段時間去看警示 log 記錄表,會看到 blocked 成功了。