[포티게이트]Fortigate IPS 설정



IPS sensor

Anti-Virus의 profile과 같은 개념이라고 보면된다.
IPS도 sensor라는 오브젝트(객체)에 상세 설정을 하고 해당 오브젝트를 방화벽 룰에 load(불러오기)를 하면 된다.
기본적으로 5가지 디폴트 설정이 존재한다.
가장 범용적으로 많이 쓰이는 것은 탐지 및 방어시 “ all-default”  탐지만 할경우 “ all-default-pass”를 사용할수 있다.

sonsor 상세 화면

해당 센서를 더블 클릭하면 edit화면으로 들어갈 수 있다.
간략하게 전체 세팅 내역을 한눈에 알아볼수가 있다.
“filter”  항목을 더블클릭하면 , 상세 화면으로 진입할수 있다.

sensor 설정

severity : 검사를 할 레벨을 설정한다. 예를들면 critical에만 체크를 하면 critical한 공격에 대해서만 차단 및 감지를 한다.
target : ips보호를 할 대상이다 .일반 pc인지 서버인지
os : ips 보호를 할 os
protocol : ips 방어를 할 특정 프로토콜을 지정할수 있다.
application  : ips 방어를 할 특정 어플리케이션을 지정할수 있다.
qurantine attacker : ips 에 대해 감지 및 방어가 될경우 해당 지정된 “method”의 기준에 따라 qurantine이 된다.
expires : 앞서 AV에서의 설정과 같이 격리 및 차단이 되었을 경우 다시 풀려나는 시간이다.
        원하는 값을 입력하면 된다. ( 단위는 min,sec 가능)

signature settings :IPS모드로 동작을 할것인지 IDS모드로 동작을 할것인지 세팅을 할수 있다.
enable : “Accept signature default’setting : 포티게이트가 가지고 있는 디폴트로 활성화된 시그니쳐에 대해서만 동작한다
enable all : 비활성화된 시그니쳐에 대해서도 활성화 시켜서 ips및 ids모드로 동작할수 있게끔 한다.
disable all :  모든 ips 및 ids기능을 off 시킨다.
action : accept signature’s default setting : 기본적으로 ips및 ids 모드로 각각 개별 동작하게끔 되어 있는 디폴트 세팅되로 동작한다.
pass all : 순수하게 IDS 모드로 동작을 한다 .
         모든 패킷은 모니터링되어만 진다.
block all : 활성화된 모든 시그니쳐들에 대해서 감지가 되는 모든 패킷들은 전부 막힌다.
packet logging : 포티게이트는 ips 및 어플리케이션 콘트롤에 대해서 패킷 로깅을 지원한다.
패킷로깅은 ips에 대해서 감지 및 차단이 된 패킷에 대해서 시간이 경과된후 해당 패킷에 대해서 포렌직을 할수 있는 옵션이다.
패킷로깅을 하기 위해서는 하드 디스크가 필요하다
추가로 이 옵션에 대해 설정을 하기 위해서는 Go to Log&Report > Log Access > Attack. 항목에서 패킷 로깅 옵션에 대해 체크를 해주어야 한다.
주의해야할점은 패킷 로깅시 많은 자원이 소모가 되므로 기본적으로 이 기능은 이용하지 않는 것이 좋다 .
패킷 로깅시 소모되는 메모리와 디스크 설정은 cli에서만 가능하다

Override

IPS와AV는 오탐의 가능성을 배제할 수는 없다 .
따라서 특정 시그니쳐에 대해서 수동으로 통과 및 차단을 해야하는 경우가 생긴다.
경로는 ips sensor -> override 이다 .
      • 수정 원하는 시그니쳐를 로드한다.
      • enable에 체크
  • 원하는 action을 설정
  • logging체크여부 결정
  • packet log는 본인 필요에 따라
  • quarantine attackets(to banned users list)
  • method : 앞의 ips 예제와 같다
  • logging :  필요에 따라
  • expires : 앞의ips 예제와 같다
  • Exampt IP : 예외 처리할 소스 및  목적지ip를 설정할수 있으며 , 전체 대역에 대해서 설정을 하고 싶으면 0.0.0.0/0으로 설정을 하면된다.
  • signature setting은 앞서의 ips sensor 세팅과 동일하다.

따라서 위와 같이 override를 설정을 하면 단어의 본질적인 뜻 그대로 override에 세팅된 설정이 가장 높은 우선순위를 가지기 때문에 디폴트로 가지고 있는 시그니쳐의 세팅은 무시하게 된다.

기본 시그니쳐

‘포티게이트의 시그니쳐는 수일 간격으로(업데이트 이슈가 있을경우) 업데이트가 된다.

침입방지->사전정의 에서 확인이 가능하다.

Dos sensor

DDOS 와 같이 변조된 공격 , 즉 알려지지 않은 공격에 대하여 패턴 베이스로 감지 및 차단을 한다 .

위는 포티게이트의 디폴트 세팅 값이며 , 각각 임계치로 차단 및 통과 여부를 결정하게 된다.

임계치 조정은 해당 네트워크의 특성을 관리자가 파악하여야 하며 , 임계치는 어느정도는 조정이 되어야 한다.

“action”에 “pass” 가 되어 있는 항목은 모니터링후 차단 여부를 결정해야 하는 오탐의 위험이 발생할수 있는 공격유형들이기 때문에역시 관리자가 모니터링후 , 통과 및 차단 여부를 결정

DOS policy

DOS sensor 설정이 끝이 났으면 dos policy를 위와 같이 설정


'정보보안 > 방화벽' 카테고리의 다른 글

Cyberoam Virtual Host 설정하기  (0) 2019.04.10
juniper firewall 운영 방법  (0) 2019.04.08
[포티게이트]Fortigate IPS 설정  (0) 2019.04.07
Fortigate Anti-Virus 설정하기  (0) 2019.04.05
Secui 장비운영  (0) 2019.04.04
XN Systems 장비운영  (0) 2019.04.04

댓글(0)

Designed by JB FACTORY