똑똑한 기술 팁 - 네트워크 관리자 -10 가지 침입 탐지 도구 : 2019 년 최고의 무료 옵션

최고의 10 가지 침입 탐지 도구 : 2019 년 최고의 무료 옵션

보안은 화제가되고 있으며잠시. 몇 년 전만해도 바이러스는 시스템 관리자의 유일한 관심사였습니다. 바이러스는 매우 흔하여 광범위한 바이러스 예방 도구를 개발했습니다. 요즘에는 보호되지 않은 컴퓨터를 실행하는 사람이 거의 없을 것입니다. 그러나 컴퓨터 침입 또는 악의적 인 사용자의 데이터 무단 액세스는 "위협"입니다. 네트워크는 의도하지 않은 수많은 해커의 대상이되어 데이터에 액세스하기 위해 많은 시간을 투자 할 것입니다. 이러한 유형의 위협에 대한 최선의 방어책은 침입 탐지 또는 예방 시스템입니다. 현재 Google은 무료 침입 방지 도구 10 가지를 검토하고 있습니다.

시작하기 전에 먼저사용중인 다른 침입 탐지 방법. 침입자가 네트워크에 침입 할 수있는 많은 방법이있는 것처럼, 침입자를 탐지하는 방법은 여러 가지가있을 수 있습니다. 그런 다음 침입 탐지 시스템의 두 가지 주요 범주 인 네트워크 침입 탐지 및 호스트 침입 탐지에 대해 설명합니다. 계속하기 전에 침입 탐지와 침입 방지의 차이점을 설명합니다. 마지막으로, 우리가 찾을 수있는 최고의 무료 침입 탐지 도구 10 가지에 대해 간략하게 살펴 보겠습니다.

침입 탐지 방법

기본적으로 사용되는 두 가지 방법이 있습니다침입 시도를 탐지합니다. 서명 기반 또는 이상 기반 일 수 있습니다. 그들이 어떻게 다른지 봅시다. 시그니처 기반 침입 탐지는 침입 시도와 관련된 특정 패턴에 대한 데이터를 분석하여 작동합니다. 바이러스 정의에 의존하는 기존의 안티 바이러스 시스템과 다소 비슷합니다. 이러한 시스템은 데이터를 침입 시그너처 패턴과 비교하여 시도를 식별합니다. 그들의 주요 단점은 적절한 서명이 소프트웨어에 업로드 될 때까지 작동하지 않는다는 것입니다. 일반적으로 특정 수의 컴퓨터가 공격을받은 후에 발생합니다.

이상 기반 침입 탐지는침입 탐지 소프트웨어가 적절한 서명 파일을 획득하기 전에 발생했던 제로 데이 공격에 대한 보호 기능이 향상되었습니다. 알려진 침입 패턴을 인식하려고 시도하는 대신 이상을 찾습니다. 예를 들어, 누군가가 잘못된 암호로 여러 번 시스템에 액세스하려고 시도한 것을 발견했습니다. 이는 무차별 대입 공격의 일반적인 징후입니다. 짐작할 수 있듯이 각 탐지 방법에는 장점이 있습니다. 그렇기 때문에 최고의 툴은 최고의 보호를 위해 두 가지를 조합하여 사용하는 이유입니다.

두 가지 유형의 침입 탐지 시스템

다른 탐지 방법이있는 것처럼침입 탐지 시스템에는 두 가지 주요 유형이 있습니다. 호스트 수준 또는 네트워크 수준에서 침입 탐지가 수행되는 위치에서 대부분 다릅니다. 여기서도 각각의 장점이 있으며 최상의 솔루션 또는 가장 안전한 솔루션은 두 가지를 모두 사용할 수 있습니다.

호스트 침입 탐지 시스템 (HIDS)

첫 번째 유형의 침입 탐지 시스템호스트 수준에서 작동합니다. 예를 들어 의심스러운 활동의 징후가 있는지 다양한 로그 파일을 검사 할 수 있습니다. 또한 중요한 구성 파일에 무단 변경이 있는지 검사하여 작동 할 수도 있습니다. 이것이 이상 기반 HIDS가하는 일입니다. 반면 시그니처 기반 시스템은 동일한 로그 및 구성 파일을 보지만 알려진 특정 침입 패턴을 찾습니다. 예를 들어, 서명 기반 IDS가 탐지 할 특정 구성 파일에 특정 문자열을 추가하여 특정 침입 방법이 작동하는 것으로 알려져 있습니다.

상상할 수 있듯이 HIDS가 설치되었습니다.보호하려는 기기에 직접 연결되므로 모든 컴퓨터에 설치해야합니다. 그러나 대부분의 시스템에는 응용 프로그램의 각 인스턴스를 제어 할 수있는 중앙 콘솔이 있습니다.

네트워크 침입 탐지 시스템 (NIDS)

네트워크 침입 탐지 시스템 또는 NIDS네트워크 경계에서 작업하여 탐지를 시행하십시오. 호스트 침입 탐지 시스템과 유사한 방법을 사용합니다. 물론 로그 및 구성 파일을 찾는 대신 연결 요청과 같은 네트워크 트래픽을 찾습니다. 일부 침입 방법은 의도적으로 잘못된 패킷을 호스트에 전송하여 특정 방식으로 대응함으로써 취약점을 악용하는 것으로 알려져 있습니다. 네트워크 침입 탐지 시스템은이를 쉽게 탐지 할 수 있습니다.

어떤 사람들은 NIDS가 HIDS보다 낫다고 주장 할 것입니다컴퓨터에 도달하기 전에도 공격을 탐지합니다. 또한 효과적으로 보호하기 위해 각 컴퓨터에 설치할 필요가 없기 때문에 더 좋습니다. 반면에 안타깝게도 내부 공격에 대한 보호 기능은 거의 없습니다. 두 가지 유형의 도구를 조합하여 사용하는 것이 가장 좋은 보호 방법입니다.

침입 탐지 및 예방

도구에는 두 가지 장르의 도구가 있습니다침입 방지 세계 : 침입 탐지 시스템 및 침입 방지 시스템. 서로 다른 용도로 사용 되기는하지만 두 유형의 도구간에 중복되는 경우가 종종 있습니다. 이름에서 알 수 있듯이 침입 탐지는 일반적으로 침입 시도와 의심스러운 활동을 탐지합니다. 이 경우 일반적으로 일종의 경보 또는 알림이 트리거됩니다. 그런 다음이 시도를 중지 또는 차단하는 데 필요한 단계를 수행하는 것은 관리자의 책임입니다.

반면 침입 방지 시스템은침입이 완전히 발생하지 않도록 노력하십시오. 대부분의 침입 방지 시스템에는 침입 시도가 감지 될 때마다 일부 작업을 트리거하는 감지 구성 요소가 포함됩니다. 그러나 침입 방지도 수동적 일 수 있습니다. 이 용어는 침입을 방지하기 위해 마련된 모든 단계를 나타내는 데 사용될 수 있습니다. 예를 들어 비밀번호 강화와 같은 수단을 생각할 수 있습니다.

최고의 무료 침입 탐지 도구

침입 탐지 시스템은 비쌀 수 있습니다.매우 비싸다. 다행히도 무료로 사용할 수있는 몇 가지 무료 대안이 있습니다. 인터넷에서 최고의 침입 탐지 소프트웨어 도구를 검색했습니다. 우리는 꽤 많은 것을 발견했으며 우리가 찾을 수있는 10 가지를 간단히 검토하려고합니다.

1. OSSEC

오픈 소스 보안의 약자 인 OSSEC는지금까지 최고의 오픈 소스 호스트 침입 탐지 시스템. OSSEC은 IT 보안의 선두 주자 중 하나 인 Trend Micro가 소유하고 있습니다. 이 소프트웨어는 Unix와 유사한 운영 체제에 설치 될 때 주로 로그 및 구성 파일에 중점을 둡니다. 중요한 파일의 체크섬을 생성하고 정기적으로 확인하여 이상한 일이 발생하면 경고합니다. 또한 루트 액세스 권한을 얻는 이상한 시도를 모니터링하고 포착합니다. Windows에서는 시스템이 무단 레지스트리 수정을 감시합니다.

호스트 침입 탐지 시스템 인 OSSEC보호하려는 각 컴퓨터에 설치해야합니다. 그러나 관리하기 쉽도록 각 보호 된 컴퓨터의 정보를 단일 콘솔에 통합합니다. 이 소프트웨어는 Unix-Like 시스템에서만 실행되지만 에이전트는 Windows 호스트를 보호 할 수 있습니다. 시스템이 무언가를 감지하면 콘솔에 경고가 표시되고 알림이 전자 메일로 전송됩니다.

2. 코골이

OSSEC이 최고의 오픈 소스 HIDS 인 것처럼Snort는 최고의 오픈 소스 NIDS입니다. Snort는 실제로 침입 탐지 도구 이상입니다. 패킷 스니퍼이자 패킷 로거이기도합니다. 그러나 지금 우리가 관심을 가지는 것은 Snort의 침입 탐지 기능입니다. 방화벽과 마찬가지로 Snort는 규칙을 사용하여 구성됩니다. 기본 규칙은 Snort 웹 사이트에서 다운로드하여 특정 요구에 맞게 사용자 정의 할 수 있습니다. 또한 새로운 위협이 식별 될 때 항상 최신 규칙이 적용되도록 Snort 규칙을 구독 할 수 있습니다.

기본적인 Snort 규칙은 다양한 것을 감지 할 수 있습니다스텔스 포트 스캔, 버퍼 오버플로 공격, CGI 공격, SMB 프로브 및 OS 지문과 같은 이벤트 Snort 설치가 탐지하는 것은 설치 한 규칙에 따라 다릅니다. 제공되는 기본 규칙 중 일부는 서명 기반이며 다른 규칙은 예외 기반입니다. Snort를 사용하면 두 세계의 최고를 얻을 수 있습니다

3. Suricata

Suricata는 침입으로 자신을 광고합니다탐지 및 예방 시스템과 완벽한 네트워크 보안 모니터링 에코 시스템. Snort에 비해이 도구의 가장 큰 장점 중 하나는 응용 프로그램 계층까지 완벽하게 작동한다는 것입니다. 이를 통해 도구는 여러 패킷으로 분할되어 다른 도구에서 눈에 띄지 않을 수있는 위협을 탐지 할 수 있습니다.

그러나 Suricata는 응용 프로그램에서만 작동하지 않습니다층. 또한 TLS, ICMP, TCP 및 UDP와 같은 하위 수준 프로토콜도 모니터링합니다. 이 도구는 HTTP, FTP 또는 SMB와 같은 프로토콜을 이해하며 일반적인 요청에 숨겨진 침입 시도를 탐지 할 수 있습니다. 관리자가 의심스러운 파일을 직접 검사 할 수있는 파일 추출 기능도 있습니다.

아키텍처 측면에서 Suricata는 매우 잘 만들어졌으며최상의 성능을 위해 여러 프로세서 코어와 스레드에 작업 부하를 분산시킵니다. 일부 처리를 그래픽 카드로 오프로드 할 수도 있습니다. 이것은 주로 유휴 상태 인 그래픽 카드로서 서버에서 훌륭한 기능입니다.

4. Bro 네트워크 보안 모니터

다음은 Bro라는 제품입니다.다른 무료 네트워크 침입 탐지 시스템 인 Network Security Monitor. Bro는 트래픽 로깅과 분석의 두 단계로 작동합니다. Suricata와 마찬가지로 Bro는 응용 프로그램 계층에서 작동하므로 분할 침입 시도를보다 잘 탐지 할 수 있습니다. 모든 것이 Bro와 쌍을 이루는 것처럼 보이고 분석 모듈은 두 가지 요소로 구성됩니다. 첫 번째는 net TCP 연결 또는 HTTP 요청과 같은 트리거 이벤트를 추적하는 이벤트 엔진입니다. 그런 다음 경보를 트리거할지 여부를 결정하는 정책 스크립트를 통해 이벤트를 추가로 분석하여 탐지 시스템 외에 Bro를 침입 방지로 만듭니다.

Bro는 HTTP, DNS 및 FTP를 추적 할 수있게합니다.활동은 물론 SNMP 트래픽을 모니터링합니다. SNMP는 종종 네트워크 모니터링에 사용되지만 보안 프로토콜이 아니기 때문에 좋은 방법입니다. Bro를 사용하면 장치 구성 변경 및 SNMP 트랩을 볼 수 있습니다. Bro는 Unix, Linux 및 OS X에 설치할 수 있지만 Windows의 경우 주요 단점 인 경우에는 사용할 수 없습니다.

5. 오픈 WIPS NG

오픈 WIPS NG가 주로 목록에 올랐습니다.특히 무선 네트워크를 대상으로하는 유일한 제품입니다. WIPS (Wireless Intrusion Prevention System)의 약자 인 오픈 WIPS NG는 세 가지 주요 구성 요소로 구성된 오픈 소스 도구입니다. 먼저, 무선 트래픽 만 캡처하여 분석을 위해 서버로 보내는 벙어리 장치 인 센서가 있습니다. 다음은 서버입니다. 이 센서는 모든 센서의 데이터를 수집하고 수집 된 데이터를 분석하고 공격에 대응합니다. 시스템의 핵심입니다. 마지막으로 서버를 관리하고 무선 네트워크의 위협에 대한 정보를 표시하는 데 사용하는 GUI 인 인터페이스 구성 요소가 있습니다.

모든 사람이 Open WIPS NG를 좋아하는 것은 아닙니다. Aircrack NG와 동일한 개발자가 모든 WiFi 해커 툴킷의 일부인 무선 패킷 스니퍼 및 암호 크래커 인 경우 제품입니다. 반면, 그의 배경을 바탕으로 개발자는 Wi-Fi 보안에 대해 꽤 알고 있다고 가정 할 수 있습니다.

6. 삼하 인

Samhain은 무료 호스트 침입 탐지 시스템입니다파일 무결성 검사 및 로그 파일 모니터링 / 분석을 제공합니다. 또한이 제품은 루트킷 탐지, 포트 모니터링, 불량 SUID 실행 파일 탐지 및 숨겨진 프로세스도 수행합니다. 이 도구는 중앙 집중식 로깅 및 유지 관리를 통해 다양한 운영 체제가있는 여러 시스템을 모니터링하도록 설계되었습니다. 그러나 Samhain을 단일 컴퓨터에서 독립형 응용 프로그램으로 사용할 수도 있습니다. Samhain은 Unix Linux 또는 OS X와 같은 POSIX 시스템에서 실행할 수 있습니다. 모니터링 에이전트 만 해당 서버에서 테스트되지 않았지만 Cygwin에서 Windows에서 실행될 수도 있습니다.

삼하 인의 가장 독특한 특징 중 하나는은폐 모드는 최종 공격자에 의해 탐지되지 않고 실행될 수 있습니다. 침입자가 너무 자주 인식하는 탐지 프로세스를 종료하여 눈에 띄지 않게 할 수 있습니다. Samhain은 스테 가노 그래피를 사용하여 다른 프로세스로부터 프로세스를 숨 깁니다. 또한 PGP 키로 중앙 로그 파일 및 구성 백업을 보호하여 변조를 방지합니다.

7. Fail2Ban

Fail2Ban은 (는) 흥미로운 무료 호스트 침입입니다일부 예방 기능이있는 탐지 시스템. 이 도구는 로그인 시도 실패, 탐색 악용 등과 같은 의심스러운 이벤트에 대한 로그 파일을 모니터링하여 작동합니다. 의심스러운 것을 탐지하면 로컬 방화벽 규칙을 자동으로 업데이트하여 악의적 인 동작의 소스 IP 주소를 차단합니다. 이는 도구의 기본 작업이지만 전자 메일 알림 보내기와 같은 임의의 다른 작업을 구성 할 수 있습니다.

이 시스템에는 다양한 사전 제작 필터가 제공됩니다.Apache, Courrier, SSH, FTP, Postfix 등과 같은 가장 일반적인 서비스 중 일부 예방은 호스트의 방화벽 테이블을 수정하여 수행됩니다. 이 도구는 Netfilter, IPtables 또는 TCP Wrapper의 hosts.deny 테이블과 함께 작동 할 수 있습니다. 각 필터는 하나 이상의 작업과 연관 될 수 있습니다. 필터와 액션을 함께 감옥이라고합니다.

8. 보좌관

AIDE는 Advanced Intrusion의 약어입니다.탐지 환경. 무료 호스트 침입 탐지 시스템은 주로 루트킷 탐지 및 파일 서명 비교에 중점을 둡니다. AIDE를 처음 설치하면 시스템 구성 파일에서 관리 데이터 데이터베이스를 컴파일합니다. 그런 다음 변경 사항을 비교하고 필요한 경우 롤백 할 수있는 기준으로 사용됩니다.

AIDE는 서명 기반 및 이상 기반을 모두 사용합니다.주문형으로 실행되고 예약되거나 지속적으로 실행되지 않는 분석은 실제로이 제품의 주요 단점입니다. 그러나 AIDE는 명령 줄 도구이며 정기적으로 실행하기 위해 CRON 작업을 만들 수 있습니다. 매분 정도 매우 자주 실행하면 준 실시간 데이터를 얻을 수 있습니다. 기본적으로 AIDE는 데이터 비교 도구 일뿐입니다. 진정한 HIDS가 되려면 외부 스크립트를 작성해야합니다.

9. 보안 양파

보안 양파는 할 수있는 흥미로운 짐승입니다많은 시간을 절약하십시오. 이것은 단지 침입 탐지 또는 예방 시스템이 아닙니다. Security Onion은 침입 감지, 엔터프라이즈 보안 모니터링 및 로그 관리에 중점을 둔 완전한 Linux 배포입니다. 여기에는 방금 검토 한 많은 도구가 포함되어 있습니다. 예를 들어 Security Onion에는 Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner 등이 있습니다. 이 모든 것이 사용하기 쉬운 설정 마법사와 함께 제공되어 몇 분 안에 조직을 보호 할 수 있습니다. Security Onion을 엔터프라이즈 IT 보안의 스위스 군용 칼로 생각할 수 있습니다.

이 도구에서 가장 흥미로운 점은하나의 간단한 설치로 모든 것을 얻을 수 있습니다. 또한 네트워크 및 호스트 침입 탐지 도구를 모두 이용할 수 있습니다. 시그니처 기반 접근 방식을 사용하는 툴과 예외 기반 툴이 있습니다. 이 배포판에는 텍스트 기반 도구와 GUI 도구가 결합되어 있습니다. 정말 모든 것이 훌륭하게 혼합되어 있습니다. 물론 단점은 구성하는 데 시간이 오래 걸릴 수 있다는 것입니다. 그러나 모든 도구를 사용할 필요는 없습니다. 선호하는 것만 선택할 수 있습니다.

10. 사간

Sagan은 실제로 로그 분석 시스템에 가깝습니다.실제 IDS보다는 IDS와 유사한 기능이 있으며 목록에 포함해야합니다. 이 도구는 설치된 시스템의 로컬 로그를 볼 수 있지만 다른 도구와 상호 작용할 수도 있습니다. 예를 들어, Snort의 로그를 분석하여 본질적으로 HIDS에 NIDS 기능을 효과적으로 추가 할 수 있습니다. 그리고 그것은 단지 Snort와 상호 작용하지 않습니다. Suricata 와도 상호 작용할 수 있으며 Oinkmaster 또는 Pulled Pork와 같은 여러 규칙 작성 도구와 호환됩니다.