pfSense + Suricata 조합으로 IPS 기능을 쓸 수 있는지 궁금합니다.

황혼을향해   
   조회 6590   추천 0    


요즘 Intrusion Prevention System (IPS)를 사용해 보고 싶어서 이리저리


알아 보고 있습니다. 원래는 Forefront로 가려고 두어달 째 준비중이었습니다만,


자료 찾다보니 이번년도로 지원종료라는 이야기를 보게 되어서... ㅠ_ㅠ)


일단 무료로 사용 가능한 녀석들로 2개를 선정할 수 있었습니다.


첫번째는 전통의 강자 Snort 이고 다른 하나는 신흥샛별(?) Suricata 입니다.


Snort 는 싱글쓰레드만 지원합니다만 멋진녀석이라고 하고, Suricata는 Snort보단


떨어져도 멀티쓰레드를 지원하기 때문에 성능올리기가 좋을 것 같더군요.


둘 중 하나를 써볼까하기에 고민하던 중 pfSense에 Snort나 Suricata를


서비스로 올려서 사용 할 수 있다는 자료를 보았습니다.


pfSense의 라우터 겸 VPN 서버 겸 기타 등등의 파워풀한 기능도 쓸 수 있을것 같기에 솔깃하더군요.


그런데... pfsense + Snort or Suricata 조합으로 검색을 했을 때, Snort는 IDS/IPS라는


단어가 보이는데 반해 Suricata는 IDS라는 단어만 줄창 보입니다.


저는 IPS를 사용해보고 싶은건데 IDS만 지원한다면 pfSense를 포기하고 Suricata만


올려서 사용하는게 나을 듯 싶네요.


pfSense + Suricata 사용중이신 분 계시면 IPS가 제대로 작동하는지 알려주시면 고맙겠습니다. ^_^)
짧은글 일수록 신중하게.
stone92 2015-06
suricata도 기본적으로 IDS/IPS 모두 지원합니다.
pfsense에 올라가는 suricata 패키지 확인해보니  IPS 지원하는 듯 싶습니다.
설정들 보면 block관련 설정들이 있습니다.

가상머신에 올려서 테스트 해보시면 되실듯 합니다.
제 시스템에서 테스트 해보고 싶지만  CF 로 운영중이라 snort이나 suricata  돌리기에는 무리가 있네요..
실제로 운영해 보시면 아시겠지만 트래픽 높은 환경에서 돌려보시면  alert 로그들 엄청나게 생기고 해서
IO가 좋은 디스크와 넉넉한 공간(기본 80기가 이상)의 디스크를 필요로 합니다.
     
황혼을향해 2015-06
답변 고맙습니다.
다행이군요. Suricata만 사용하면 VPN이나 라우터기능이 안될 것 같아서 걱정했습니다.
물론 리눅스 잘 다루시는분들이면 해결될 문제지만 저는 윈도우빠라서... ^_^);;
IO 좋은 디스크라는 부분이 좀 걸리긴 합니다만, 집에서 공부 겸 쓰는거라 트래픽은
그리 많지 않을거라고 생각됩니다. 우선 설치부터 해야겠습니다.
로그인 하시면 댓글을 남길 수 있습니다


QnA
쓰기
제목Page 2793/5730
2015-12   1791537   백메가
2014-05   5266642   정은준1
2018-09   6951   편한세상
2019-11   3720   오퍼레잇
2011-08   6539   wo9abak1
2022-09   2486   무아
2011-09   6229   유호준
2022-09   1714   범이님
2024-05   1695   질문
2014-01   5219   나우마크
2015-05   4426   warship
2016-07   3702   오태승
2022-10   3297   김동혁1
2016-07   6804   지존컴퓨터
2018-09   4080   동치미
2021-02   3635   류류류
2011-09   14967   GoodWolf
2011-09   6817   GoodWolf
2022-10   2428   블루영상
2024-05   1919   kimkasa2
2015-05   8447   대한민국
2016-07   3694   백만스물하나
목록
쓰기