pfSense Suricata 이제 조금 안정화가 되네요... ㅎㅎ

아 이거 때문에... 내가 또 뭘 도입해서 이러나 싶었습니다. ㅠㅠ

거의 한 한달 정도 삽질 엄청 했네요. 보드 9월 초에 받아서 거의 한달 pfSense와 수리카타 셋팅 하느라...

어후 ~ ㅋㅋ

한달정도 소요해서 조금 안정화가 된듯 한데... 이게 또 어느것을 잡아 버릴지 몰라서 약간 불안하면서...

모니터링 해가며 쓰고 있습니다. ㅎㅎ

한달 셋팅 해 본 결과로는~

우선 제 셋팅은 Transparet 방화벽 | 투명 방화벽 : 2WAN + 2LAN 이 구조입니다.

# Inline 모드

- 토렌트 다운로드 거의 막힘

- 평판의 문제가 있는 특정 사이트 막힘 (예를들어 Pxx~Hub 같은...)

- 간헐적으로 메일 뚫림 : 587, 995 포트 통해 침입시도 발생

이 두가지가 컷는데... 여기서 제가 느끼는 것은 넷게이트나 레딧 찾아보면서도 확인 했구요.

투명 방화벽의 경우 묶어놓은 2개의 이더넷중 하나에 인라인 모드 설정을 하면 된다 했지만...

실지로 침입을 블락은 시키는데... 이게 침입 시도가 뜨더라구요.

넷게이트 개발자도 아마도 투명화벽에서 인라인 모드는 잘 안될것이다라는 글을 봤구요.

상황에 따라 안되는 듯 했습니다.

그리고 평판 좋지 않은 특정 사이트가 막히는데... 룰을 디저블 하면 될거 같긴 했습니다만...

당췌 무슨 룰인지 알수가 없어서 포기 했습니다. 여러 시도 끝에 막아도 막아도 계속 뚫리더라구요.

인라인 모드는 Whitelist 가 없습니다. Passlist라고 이게 화이트 리스트 역할을 하는데...

액면가 룰 그대로 정확히 잡아서 블락 시키는 통에... 안되는 사이트도 꽤 되더라구요.

물론 SID 룰에서 해당 룰을 전부 disable 시키고... 사용하면 될것 같긴 했는데요. 토렌트도 역시요...

문제는 간헐적으로 메일이 오감지 된다는것이네요.

이건 어떻게 해도 블락은 되는데... 뚫렸다고 시놀로지 로그에서도 메일이 계속 오더라구요.

그래서 레가시 모드로 바꾸었는데요.

# Lagacy 모드

- MikroTik 라우터에서 IGMP 멀티캐스트 설정을 해 주어을 경우 오탐 감지 하여 WAN IP를 블럭 시킴.

->이거 큰 문제더라구요. 멀티캐스트는 사용을 많이 안하는 터라 MikroTik에서 아예 룰을 빼버리고 해결 했습니다.

   내 IP를 잡아서 인터넷이 먹통 됩니다. 제 공인 IP를 블락 시켜 버리더라구요. 미크로틱 라우터에서 WAN IP를

   못받는 상황이 생기네요.

- PassList 가 가능하여 WhiteList를 줄수 있다. -> 이게 좀 장점이네요. 

- Roon 막힘, 네이버 앱 막힘, 카카오 메일 막힘 - PassList로 뚫음 -> 오탐이 이렇게 좀 되어서 이 부분은

  패스리스트로 다 처리 했습니다. 시간이 지나야 알겠지만 또 언제 막힐지 모르겠어요... ㅋㅋ

- 텔레그램 막힘 - 이 부분은 리부팅 하니 해결은 되던데... 막히게 되면 이것은 disable에 룰을 주면 될거 같습니다. ㅎㅎ

추가로 SID disable로 적용 시킬때는 순서를 disable,enable이 아닌 enable,disable로 해야지 되네요...

와 이거 때문에 엄청난 삽질을 또 했습니다. ㅎㅎ

두개가 바뀌는 것의 의미를 잘 모르겠는 저로써는 참 어려웠습니다. ㅎㅎ

ET룰이나 Snort 룰이나 Default 룰 등등...

적당히 Enable에 넣으면 시작시 룰이 Enable 되고... Disable 에 넣으면 구동시 Disable이 됩니다.

즉 작동이 안된다는 것이죠... 이것은 SID 넘버로도 가능 합니다.

1:23095 뭐 이런 룰을 디져블에 넣으면 그 룰의 해당 커맨드만 디져블이 되네요.

그리고 원하는 룰 만큼 drop에 넣어주면... 해당 룰의 커맨드가 감지하여 drop 시켜 줍니다. ㅎㅎ

 그리고 Suppress도 있는데... + 표시 눌러서 해줄수 있는데요. 이것 보다는... 룰 디져블이 더 잘 되는거 같더라구요.

둘다 커맨드를 프리징 시키는 겁니다.

여튼 레가시던 인라인이던 잘 셋팅 하는 것이 중요한것 같고... 투명 방화벽 모드에서는 저의 경우는 잘 안되서

레가시로 구성했습니다. 패스리스트도 있구요...ㅎㅎ

 패스 리스트는 FQND 을 Alias에 넣어서 사용 가능 합니다. 여러게 만들어서 넣을수 있습니다.

 Enable, Disable은 수리카타 구동시 부를수 있는 명령어고 Drop에 넣어야 블락이 작동을 합니다.

오더는 Enable,Disable로 해주어야 디져블은 작동이 되는 것 같습니다. ㅎㅎ

 마지막으로 레가시 모드에서는 이 메뉴를 켜주어야... 드롭이 작동 되네요... 빨간 하이라이트가 뜹니다.

 체크 안하면 탐지만 하고 Alerts로 주의 만 주는 것 같아요.

추가로 인라인 모드에서는 Blocks 메뉴에는 블럭이 생기지 않습니다. 대신에 Alerts메뉴에 빨간 드롭이 되어 있으면

그게 되는 거라 하네요. 레가시 모드에서는 생기고 실지로 블럭된 IP가 SID 커맨드와 함께 뜹니다.