OPNsense中配置入侵检测

OPNsense支持入侵检测,启用后可以针对要监视或阻止的网络流量类型选择一组入侵检测规则(也称为规则集)。规则集可以定期自动更新,有些规则集是免费的,有些需要订阅。对于一般用户来说,使用免费规则集就可以提供较好的保护。

一、启用入侵检测

要在OPNsense中配置入侵检测,导航到Services > Intrusion Detection > Administration > Settings。单击“Enabled(启用)”复选框来启用入侵检测。单击“Apply(应用)”按钮,就会启用入侵检测功能。如果需要阻止网络流量而不是仅仅生成警报,请选中“ IPS mode(IPS模式)”。如果使用VLAN,则需要选中“Promiscuous mode(混杂模式)”,这对于在物理接口上捕获数据非常重要。

“Pattern matcher(平台匹配)“默认为Aho-Corasick,如果使用的是近代的CPU,可以将其设置为Hyperscan。使用Hyperscan时,LAN接口上的网络性能会有极大的提高。一般情况下,Hyperscan算法必须与支持SSE3指令的64位处理器一起使用。

在““Interfaces(接口)”选择框中,选择你想要应用入侵检测的网络接口,这里只能选择物理接口,不能选择VLAN接口。

OPNsense入侵检测

设置为WAN和LAN接口,可以阻止Internet和任何可能有害的本地网络通信。一般而言,在LAN接口上收到的警报比在WAN接口上收到的报要多,这是由于网络流量的方向导致。设置完成后,单击“Apply(应用)”。这时候入侵检测还没有发挥作用,只有在下载规则集之后,才会真正起作用。

一般而言,入侵检测功能主要用于保护WAN接口上的网络流量,不建议在LAN接口或任何其他内部接口上启用入侵检测,当然,如果你对规则的使用非常熟悉则除外。

如果WAN接口上没有显示警报/阻止的,那是因为你可能采用了NAT方式上网,还需要在高级模式的”Home networks(家庭网络)”栏,加入WAN接口IP地址(在私有IP地址网络后面),如果WAN地址是动态的,则需要及时更新。是否可以使用动态主机名有待验证。

OPNsense入侵检测

二、下载并启用规则集

考虑到资源占用,建议只选择适用于你的网络所需要的规则集。要获取有关ET规则集的更多信息,请参考新兴威胁PDF

转到“Download(下载)”选项卡,然后单击要启用的每个规则集旁边的复选框。选择完规则集后,单击“Enable selected(启用所选)”按钮来启用规则集。然后单击“Download & Update Rules(下载和更新规则)”按钮来检索规则。

OPNsense入侵检测

默认情况下,所有规则都设置为仅警报而不阻止网络流量。这方便你可以看到入侵检测阻止的数据类型。要查看警报,请单击“Alerts(警报)”选项卡。如果你对规则阻止的数据感到满意,则可以返回“Download(下载)”选项卡,然后单击每个规则旁边的铅笔图标。打开后,单击选择框,然后选中“Change all alerts to drop actions(将所有警报更改为阻止操作)”,来将规则集中的所有规则设置为“阻止”。

OPNsense入侵检测

三、规则集的更新

转到“Schedule(计划)”选项卡,然后单击“enabled(启用)”复选框。然后输入想要更新规则的时间。本例中,设置为凌晨2点。在“Command(命令)”栏,选中”Update and reload intrusion detection rules(更新并重新加载入侵检测规则)”。在“description(描述)”栏输入计划的说明。

OPNsense入侵检测

注意,免费入侵检测规则集与付费规则集相比有30天的延后,因此可能仍然会因迅速扩散的零日漏洞而受到攻击。如果想付费订阅来拥有更多最新的规则,可以订阅Snort VRT规则集,价格为$ 29.99 /年。

四、查看警报

运行一段时间后,可以定期检查“Alerts(警报)”选项卡来查看网络上正在发生的活动。它将列出事件的时间、是否已阻止连接或只是将其记录为警报、事件发生的接口、正在通信的网络和/或Internet设备的IP地址以及触发的规则的描述等。

OPNsense入侵检测

下面的示例演示了入侵检测系统发现的攻击。

OPNsense入侵检测

查看日志的最底部,会注意到IP地址43.226.65.89触发了两次Microsoft IIS远程代码执行尝试。然后在日志中进一步查看,由于尝试访问的Web服务器上受保护的资源,触发了不少“ 403 Forbidden”警报。

如果你的内部服务器中有一些暴露于Internet的服务,那应该同时启用LAN接口上的入侵检测,这对于保护你的内部网络安全非常重要。