본문 바로가기
FortiGate/Security Profile

IPS : 'socket size' 와 'fail-open'

by 에티버스이비티 2021. 10. 28.

IPS Fail open은 IPS의 socket buffer가 가득차서, IPS 엔진이 IPS 스캔을위해 새로운 세션을 받아들이수가 없는 상태를 말한다. 이런 경우 동작설정은 아래의 명령어로 가능하다.

# config ips global
      set fail-open {enable | disable}
end

 

기본 설절은 "disable"이며 fail-open 상태가 되면, IPS 검사가 필요한 트래픽은 IPS 엔진에서 drop 한다.

"enable"로 설정하면, IPS 검사가 필요한 트래픽에 대해 IPS 검사를 하지 않고 통과 시킨다.

 

Nturbo hardware 가속은 'fail-open enable'을 지원하지 않는다. 이럴 경우 메인 CPU의 부하가 높아 질수 있기 때문이다.

 

Fail open 발생과 관련하여 socket buffer 사이즈를 조정 할 수 있다.

# config ips global
      set socket-size <int>
end

 

기본 크기는 FortiGate 모델에 따라 다르며, '?'를 사용하여 설정 가능한 메모리 크기를 확인할 수 있다. soket size는 커널이 IPS 엔진에 전달하는 데이터의 양을 결정한다. 

너무 높게 설정하면 IPS 처리에 의해 메모리가 높아져 conserve mode로 진입 가능성이 높아진다.

너무 낮게 설정하면 fail-open이 너무 자주 일어나게 된다.

대부분의 일반적인 상황에서 기본값은 정상 작동에 충분하다.

 

IPS fail open 자주 발생할 경우 troubleshooting을 하려면, 발생 pattern을 확인 해야한다.
     최근 트래픽 volume이 증가하였는지? 
     Fail open 발생이 하루 중 특정한 시간에 발생 하는지?

 

IPS 프로파일을 설정하고 적용할 때 트래픽 종류에 맞게 설정하는 것이 중요하다.

OS , client/server 별 등 꼭 필요한 signature만 적용하고, IPS 검사가 필요없는 트래픽(예: internal to internal)의 경우 IPS 프로파일을 적용하지 않는다.

 

 

댓글