알리발(J4125 Firewall 용 미니 PC) + Proxmox + OPNsense 사용시 IDS 설정 문의 드립니다.
안녕하세요? 가입하고 처음 글을 써봅니다.
제가 알리에서 J4125 CPU(4 Core)를 사용하는 Firewall 용 미니 PC를 구매하여, RAM 16GB(보드 최대장착 가능 용량)를 장착하였습니다.
Proxmox 를 설치하고, OPNsense에 CPU : 2 Core, RAM : 8GB 배정하여 설치완료했습니다.
OPNsense 설정중에 Intrusion Detection 을 사용하려고 하면 인터넷이 사용불가가 됩니다.
OPNsense Dashboard 에서 CPU 사용률은 거의 100% 가 되고 RAM 사용률은 약 60% 됩니다.
제가 알기에 Intrusion Detection 을 사용하면 보통 RAM 을 더 많이 사용하는 것으로 알고 있는데,
어떻게 설정하면 효과적으로 사용할 수 있을까요?
또한, 가상머신에서 Intrusion Detection 설정 중 Pattern matcher 를 Hyperscan 선택하면 에러메세지가 나옵니다.
Native 로 할때는 괜찮습니다. 무슨 문제가 있을까요?
의견 주시면 정말 감사하겠습니다.
추가로 Log 에
App-Layer protocol http2 enable status not set, so enabling by default. This behavior will change in Suricata 7, so please update your config. See ticket #4744 for more details.
가 쌓여 있습니다.
IDS와 IPS는 패킷을 읽어보는 것으로 알고 있습니다. 네트워크로 들어오는 모든 패킷을 패턴 매칭 함수(아호 코라식 등)으로 매치를 시켜보는 과정이 들어가게 되어있는것으로 알고있는데요, 그런 관점에서 현재 적용되어있는 룰셋의 크기는 어떤지, 그 크기를 J4125의 2코어가 감당할 수 있는지 확인해보셔야 할 것 같구요. 아마 패턴 매칭 함수가 아호 코라식 알고리즘에 기반할 텐데, 아호 코라식 알고리즘은 룰셋(매칭해야하는 단어)들의 길이의 합과 패킷의 내용으로 점근 시간복잡도를 가지기에 룰셋의 크기를 줄이는 것이 도움이 될 것 같습니다.
cmt alert