はじめに(2020年8月追記)
※説明に使用するOPNsenseのバージョンは16.7.13です。
※IPSを使うことでセキュリティは保たれますが、OPNsenseのメモリを食って通信が遅くなる可能性があるため、各ルールのヘルプページを確認して有効にするルールは絞ることを個人的に薦めます。
※この記事は下記のOPNsenseのWikiページを参考にしています。
https://docs.opnsense.org/manual/how-tos/ips-feodo.html
※最新の20.7.0でもほぼ同じ手順で設定可能です(ルールセットの一覧がダウンロードタブに独立しました)
事前準備
パッケージやプラグインは最新のバージョンにしておきましょう。
[システム]-[ファームウェア]-[更新]から「更新を確認」をクリックして、更新があれば「Audit now」をクリックして更新してください。
IPS設定
- [インタフェース]-[設定]から「ハードウェアチェックサムオフロードを無効」、「ハードウェアTCPセグメンテーションオフロードを無効」、「ハードウェアラージレシーブオフロードを無効」にチェックを入れ、「保存」をクリックします。
- [サービス]-[侵入検知]から「設定」タブにて「有効」と「IPS mode」にチェックを入れ、ページ下部にある「適用」をクリックします。
- 有効にしたいルールにチェックを入れ、ページ下部にある「ダウンロードしてルールを更新」をクリックします。最初はどれも未インストールなので、ここでは全部チェックを入れてみました。
- パケットをドロップしたいルールについて、チェックボックスの横にあるインフォボタンをクリックし、「Input filter」のプルダウンリストから「Change all alerts to drop actions」を選択し、「Save changes」をクリックします。
- 有効にしたいルールにチェックを入っていることを確認し、ページ下部にある「ダウンロードしてルールを更新」をクリックします。
- [サービス]-[侵入検知]から「スケジュール」タブを選択し、ポップアップウインドウにて「enable」にチェックが入っていることと、コマンドが「Update and reload intrusion detection rules」となっていることを確認し、自動更新を行いたい日時を指定して「Save changes」をクリックします。
- IPSの設定が完了しました。
動作確認
[サービス]-[侵入検知]の「アラート」タブからIPSで遮断された通信のログが確認できます。
以上!
0 件のコメント:
コメントを投稿