Suricata 3.2.2 AF-packet Inline Mode

   Á¶È¸ 14785   Ãßõ 3    

 

개인적으로 리눅스건 윈도우건 GUI가 좋다라는 마인드를 가지고 있어 Linux Mint에 Suricata를 Inline모드로 적용시켜 보았습니다. 성능은 아직 해외 프록시 차단용으로만 사용해서 크게 체감은 되지 않지만 기존 PFsense기반에 Suricata를 올려 사용하는것보단 안정적으로 동작하며, 700Mbps 다운로드등 네트워크에 상당한 부하가 발생중일때 패킷로스를 줄이기 위하여 여러가지 최적화를 한 결과 현재는 최대성능상황에서도 로스률 0.00%를 기록하고 있습니다. (약 5000개 정도의 IP 리스트 및 ET룰 전체가 동작중이기에 MPM 처리가 여유로운 상황은 아님에도 준수한 성능을 보여주고 있다고 생각합니다.)


초반에는 Inline모드에서 성능이 반토막이 나는 동시에 패킷로스가 발생하는 관계로 하루종일 세팅을 조정한 끝에 현재에는 업로드 다운로드 700Mbps, 업로드 400Mbps 정도의 처리성능을 보여줍니다. HyperScan을 MPM으로 사용중이며 Suricata로 인한 네트워크 성능저하는 다운로드의 경우 800Mbps -> 700Mbps 정도로 매우 양호하지만 업로드는 무슨짓을 해도 400Mbps를 넘지 못하는 관계로 AF-packet모드의 한계로 현재 판단하고 있습니다. 


htop으로 시스템 자원 모니터링중이며 evebox와 kibana가 동작중이라 5.83GB의 다소 높은 메모리 사용률을 보이고 있긴 합니다만 안정성을 최선으로 두고 싶으시다면 로그 분석시스템들은 외부로 빼시는것을 추천드립니다.


개인적으로는 간단한 차단이력을 보고 싶을땐 EveBox를 주로 접속하여 확인하고 있으며 evebox는 간단하게 suricata시스템 위에서 구동가능합니다



Kibana는 주말에 최다 경고 룰셋등을 확인하기 위해서 고민하다가 설치를 해봤으며 그래프등 대시보드 세팅은 구글링을 참조하였습니다. 아직 디자인이 제마음에는 들지 않아서 조금 더 구글링을 통해 디자인을 개선해보려 합니다.


기존에 PFsense에 Suricata모듈을 올려 사용중이였으나 3.0 버전 이후로 계속 Netmap Full.ctl로 터지는 바람에 Linux로 노선을 갈아탔습니다. 하지만 꼭 Inline모드로 사용을 하려니 NFQ Inline모드는 L3모드로만 동작을 하기에 AF-Packet모드로 어쩔수 없이 구성을 하였습니다. 다만 역시 단순 RAW패킷 캡쳐 알고리즘 모듈이라 그런지 몰라도 시스템 자원을 제대로 소화하지 못하는 느낌 입니다. 이에 대한 해결법으로는 PF_RING이 있으나 현재 PF_RING을 통한 Inline모드는 IDS모드만 지원하기에 Down: 700Mbps, UP: 400Mbps로 만족하고 있습니다. HyperScan 도입때와 마찬가지로 하루빨리 PF_Ring이 도입되어 10Gbps+의 처리성능을 가지는 IDS/IPS 시스템 구축이 가능해졌으면 하네요




iwill 2017-08
*ºñ¹Ð±ÛÀÔ´Ï´Ù
     
*ºñ¹Ð±ÛÀÔ´Ï´Ù


Á¦¸ñPage 3/105
2014-06   9222   Á¦Ol
2014-06   11831   Á¦Ol
2014-07   9866   ÀÌÅ¿í
2014-07   18175   ȸ¿øK
06-06   6341   ¼ÛÁÖȯ
2017-03   13402   ¹ÖÅ©½º
2014-07   26656   ȸ¿øK
2017-07   12768   ·ù½Â¿Ï
2015-04   13073   ŸÀÌƲ1
2017-03   10164   ¿ë¶ö·¯
2014-08   19073   s±èÁ¾È­z
2017-03   9531   ¹ÖÅ©½º
2014-08   17333   ±è¼±µ¿
2015-02   12449   ÀαÇÀ̶óÀÌÇÁ
2017-03   10954   Cartman
2016-02   8193   ÆÒµµ¶ó
2017-07   14786   ÇϾá°í´Ï
2014-08   26451   ȸ¿øK
2014-08   19841   ºý½Ã´Ù
2014-08   18602   ymini