포트 미러링을 설정하면, 시큐리티 어니언이 pfSense 뒤에 있더라도 Suricata 같은 탐지 엔진이 네트워크 트래픽을 분석할 수 있게 된다. 즉, 시큐리티 어니언의 Suricata와 같은 룰 기반 탐지 시스템이 실제 네트워크 트래픽에 대해 동작할 수 있다.
왜 포트 미러링이 중요한가?
포트 미러링을 통해 pfSense를 거치는 실제 네트워크 트래픽을 시큐리티 어니언에 복사하여 전달한다. 이 복사된 트래픽은 실제 네트워크 상의 모든 패킷을 포함하므로, 시큐리티 어니언의 Suricata, Zeek 등 탐지 엔진이 트래픽을 실시간으로 분석할 수 있다.
요약:
1.
포트 미러링 설정: pfSense에서 포트 미러링을 활성화하면, 네트워크 트래픽이 시큐리티 어니언으로 전달
2.
시큐리티 어니언(Suricata, Zeek 등) 트래픽 분석: 시큐리티 어니언에 전달된 트래픽은 Suricata 같은 엔진이 분석하며, 이 과정에서 미리 정의된 탐지 룰이 동작
3.
내부 네트워크 보호: Suricata 룰을 통해 내부 네트워크로 유입되는 악성 트래픽을 실시간으로 탐지 및 경고