요즈음 모든 사람들이 걱정되는 것 같습니다보안 사이버 범죄의 중요성을 고려할 때 적합합니다. 조직은 데이터를 도용하거나 다른 피해를 입히려는 해커의 대상이됩니다. 이러한 공격으로부터 IT 환경을 보호 할 수있는 한 가지 방법은 올바른 도구와 시스템을 사용하는 것입니다. 종종 첫 번째 방어선은 네트워크 기반 침입 감지 시스템 또는 NIDS 형태의 네트워크 경계에 있습니다.. 이 시스템은 귀하의 트래픽을 분석합니다의심스러운 활동을 감지하고 즉시 경고합니다. NIDS는 매우 인기가 많으며, 귀하의 요구에 가장 적합한 것을 찾는 것이 어려운 노력 일 수있는 것보다 많은 것들이 있습니다. 당신을 돕기 위해 최고의 네트워크 기반 침입 탐지 시스템 목록을 구성했습니다..
우리는 여행을 살펴보고 여행을 시작할 것입니다.다른 유형의 침입 탐지 시스템. 기본적으로 네트워크 기반과 호스트 기반의 두 가지 유형이 있습니다. 차이점을 설명하겠습니다. 침입 탐지 시스템도 사용하는 탐지 방법이 다릅니다. 그들 중 일부는 서명 기반 접근 방식을 사용하고 다른 일부는 행동 분석에 의존합니다. 최상의 도구는 두 가지 탐지 방법을 조합하여 사용합니다. 시장은 침입 탐지 및 침입 방지 시스템으로 포화 상태입니다. 차이점을 이해하는 것이 중요하므로 차이점과 차이점을 살펴 보겠습니다. 마지막으로 최고의 네트워크 기반 침입 탐지 시스템을 검토하고 가장 중요한 기능을 소개합니다.
네트워크 및 호스트 기반 침입 탐지
침입 탐지 시스템은 두 가지 중 하나입니다유형. 이들은 침입 시도 또는 잠재적으로 침입 시도로 이어지는 의심스러운 활동을 신속하게 탐지한다는 동일한 목표를 공유하지만 탐지가 수행되는 위치를 나타내는 시행 지점의 위치가 다릅니다. 각 유형의 침입 탐지 도구에는 장단점이 있습니다. 어느 것이 바람직한 지에 대한 실제 합의는 없습니다. 어떤 사람들은 한 유형으로 맹세하지만 다른 사람들은 다른 유형 만 신뢰합니다. 둘 다 아마 맞을 것입니다. 최상의 솔루션 또는 가장 안전한 솔루션은 아마도 두 유형을 결합한 솔루션 일 것입니다.
네트워크 침입 탐지 시스템 (NIDS)
침입 탐지 시스템의 첫 번째 유형은네트워크 침입 탐지 시스템 또는 NIDS라고합니다. 이 시스템은 네트워크 경계에서 작동하여 탐지를 시행합니다. 네트워크 트래픽을 가로 채서 검사하여 침입 시도를 나타낼 수있는 의심스러운 활동을 찾고 알려진 침입 패턴을 찾습니다. 침입자는 종종 잘못된 형식의 패킷을 호스트에 전송하여 특정 방식으로 대응하여 침입 할 수 있도록하여 다양한 시스템의 알려진 취약점을 악용하려고합니다. 네트워크 침입 탐지 시스템은 이러한 종류의 침입 시도를 탐지합니다.
일부는 네트워크 침입 탐지시스템은 시스템에 도달하기 전에도 공격을 탐지 할 수 있으므로 호스트 기반 시스템보다 낫습니다. 일부는 또한 호스트를 효과적으로 보호하기 위해 각 호스트에 아무것도 설치하지 않아도되기 때문에 선호하는 경향이 있습니다. 반면에 안타깝게도 내부 공격에 대한 보호 기능은 거의 없습니다. 침입자의 침입 시도가 탐지 되려면 NIDS를 통해 침입을 시도하는 경우가 거의 없습니다. 모든 기술에는 장단점이 있으며 침입 탐지와 관련된 특정 사례로, 궁극적 인 보호를 위해 두 가지 유형의 도구를 모두 사용할 수 있습니다.
호스트 침입 탐지 시스템 (HIDS)
호스트 침입 탐지 시스템 (HIDS) 작동호스트 수준에서; 당신은 그들의 이름에서 추측했을 것입니다. 예를 들어, 의심스러운 활동의 징후가 있는지 다양한 로그 파일과 저널을 모니터링합니다. 침입 시도를 탐지 할 수있는 또 다른 방법은 시스템 구성 파일에서 승인되지 않은 변경을 확인하는 것입니다. 또한 알려진 동일한 침입 패턴에 대해 동일한 파일을 검사 할 수 있습니다. 예를 들어, 특정 침입 방법은 특정 구성 파일에 특정 매개 변수를 추가하여 작동하는 것으로 알려져 있습니다. 좋은 호스트 기반 침입 탐지 시스템이이를 포착 할 것입니다.
그들의 이름이 당신을 생각하게 할 수 있지만모든 HIDS는 보호하려는 장치에 직접 설치되므로 반드시 그런 것은 아닙니다. 일부는 모든 컴퓨터에 설치해야하고 일부는 로컬 에이전트 만 설치하면됩니다. 일부는 에이전트없이 원격으로 모든 작업을 수행합니다. 작동 방식에 관계없이 대부분의 HIDS에는 중앙 집중식 콘솔이있어 응용 프로그램의 모든 인스턴스를 제어하고 모든 결과를 볼 수 있습니다.
침입 탐지 방법
침입 탐지 시스템은적용 지점은 침입 시도를 탐지하는 데 사용하는 방법에 따라 다릅니다. 일부는 서명 기반이고 다른 일부는 이상 기반입니다. 첫 번째는 침입 시도와 관련된 특정 패턴에 대한 데이터를 분석하여 작동합니다. 이는 바이러스 정의에 의존하는 기존 바이러스 방지 시스템과 유사합니다. 서명 기반 침입 탐지는 침입 서명 또는 패턴에 의존합니다. 이들은 침입 시도를 식별하기 위해 캡처 된 데이터와 침입 시그니처를 비교합니다. 물론 적절한 서명이 소프트웨어에 업로드 될 때까지 작동하지 않으며, 특정 수의 시스템이 공격을 받고 침입 서명의 게시자가 새로운 업데이트 패키지를 게시 한 후에 만 발생할 수 있습니다. 일부 공급 업체는 매우 빠르지 만 다른 공급 업체는 며칠 후에 만 대응할 수 있습니다. 이것이이 탐지 방법의 주요 단점입니다.
이상 기반 침입 탐지 기능이 더 우수합니다침입 탐지 소프트웨어가 적절한 서명 파일을 획득하기 전에 발생했던 제로 데이 공격으로부터 보호합니다. 알려진 침입 패턴을 인식하려고 시도하는 대신 이상을 찾습니다. 예를 들어, 잘못된 암호로 여러 번 연속으로 시스템에 액세스하려고하는 사람은 무차별 대입 공격의 일반적인 표시이므로 경고를 트리거합니다. 이러한 시스템은 네트워크에서 의심스러운 활동을 신속하게 감지 할 수 있습니다. 각 탐지 방법에는 장점과 단점이 있으며 두 가지 유형의 도구와 마찬가지로 최상의 도구는 아마도 서명과 행동 분석을 조합 한 도구 일 것입니다.
탐지 또는 예방?
어떤 사람들은 혼란스러워하는 경향이 있습니다침입 탐지 및 침입 방지 시스템. 그것들이 밀접하게 관련되어 있지만, 둘 사이에 일부 기능 겹침이 있지만 동일하지 않습니다. 이름에서 알 수 있듯이 침입 탐지 시스템은 침입 시도와 의심스러운 활동을 탐지합니다. 그들은 무언가를 감지하면 일반적으로 어떤 형태의 경고 나 알림을 촉발합니다. 그런 다음 침입 시도를 중지하거나 차단하는 데 필요한 단계를 수행하는 것은 관리자의 책임입니다.
IPS (Intrusion Prevention Systems)가 한 걸음 나아갑니다또한 침입이 완전히 발생하는 것을 막을 수 있습니다. 침입 방지 시스템에는 침입 감지 시스템과 기능적으로 동등한 감지 구성 요소가 포함되어있어 침입 시도가 감지 될 때마다 자동 치료 조치를 트리거합니다. 침입 시도를 중지하기 위해 사람의 개입이 필요하지 않습니다. 침입 방지는 침입을 방지하는 방법으로 수행되거나 수행 된 모든 것을 지칭 할 수도 있습니다. 예를 들어, 암호 강화 또는 침입자 잠금은 침입 방지 수단으로 생각할 수 있습니다.
최고의 네트워크 침입 탐지 도구
우리는 최고의 시장을 검색했습니다네트워크 기반 침입 탐지 시스템. 당사의 목록에는 네트워크 기반 침입 탐지 구성 요소가 있거나 침입 시도를 탐지하는 데 사용할 수있는 진정한 호스트 기반 침입 탐지 시스템 및 기타 소프트웨어가 포함되어 있습니다. 권장되는 각 도구는 네트워크에서 침입 시도를 탐지하는 데 도움이됩니다.
1. SolarWinds 위협 모니터 – IT 운영 에디션 (무료 데모)
SolarWinds는네트워크 관리 도구. 이 회사는 약 20 년 동안 근무했으며 최고의 네트워크 및 시스템 관리 도구를 제공했습니다. 주력 제품인 네트워크 성능 모니터 (Network Performance Monitor)는 최고의 네트워크 대역폭 모니터링 도구 중에서 지속적으로 점수를 매 깁니다. SolarWinds는 또한 네트워크 관리자의 특정 요구를 해결하는 뛰어난 무료 도구를 만듭니다. Kiwi Syslog Server와 Advanced Subnet Calculator가 좋은 예입니다.
네트워크 기반 침입 탐지를 위해 SolarWinds는 위협 모니터 – IT 운영 에디션. 대부분의 다른 SolarWinds 도구와 달리하나는 로컬에 설치된 소프트웨어가 아닌 클라우드 기반 서비스입니다. 단순히 가입하고 구성하면 침입 시도 및 몇 가지 유형의 위협에 대해 환경을 감시하기 시작합니다. 그만큼 위협 모니터 – IT 운영 에디션 여러 도구를 결합합니다. 네트워크 및 호스트 기반 침입 탐지와 로그 중앙 집중화 및 상관 관계, SIEM (Security Information and Event Management)이 있습니다. 매우 철저한 위협 모니터링 제품군입니다.
- 무료 데모 : SolarWinds 위협 모니터 – IT 운영 에디션
- 공식 다운로드 링크 : https://www.solarwinds.com/threat-monitor/registration
그만큼 위협 모니터 – IT 운영 에디션 항상 최신 상태이며 지속적으로 업데이트됩니다.IP 및 도메인 평판 데이터베이스를 포함한 여러 소스의 위협 인텔리전스. 알려진 위협과 알려지지 않은 위협을 모두 감시합니다. 이 도구는 자동화 된 지능형 대응 기능을 통해 보안 사고를 신속하게 해결하여 침입 방지와 유사한 기능을 제공합니다.
제품의 알림 기능은 상당히감동적인. 도구의 활성 응답 엔진과 함께 작동하고 중요한 이벤트를 식별하고 요약하는 데 도움이되는 다중 조건의 상호 관련 경보가 있습니다. 보고 시스템은 경고와 마찬가지로 우수하며 기존의 미리 작성된 보고서 템플릿을 사용하여 규정 준수를 입증하는 데 사용할 수 있습니다. 또는 비즈니스 요구에 정확하게 맞게 사용자 정의 보고서를 작성할 수 있습니다.
의 가격 SolarWinds 위협 모니터 – IT 운영 에디션 10 일 동안 최대 25 개의 노드에 대해 $ 4500에서 시작인덱스 특정 요구에 맞는 자세한 견적을 받으려면 SolarWinds에 문의하십시오. 제품이 실제로 작동하는 것을 선호하는 경우 SolarWinds에서 무료 데모를 요청할 수 있습니다.
2. 흡입
흡입 확실히 가장 잘 알려진 오픈 소스 NIDS입니다. 그러나 흡입 실제로 침입 탐지 도구 이상입니다. 또한 패킷 스니퍼 및 패킷 로거이며 몇 가지 다른 기능도 포함합니다. 지금은이 게시물의 주제이므로 도구의 침입 탐지 기능에 중점을 둘 것입니다. 제품 구성은 방화벽 구성을 연상시킵니다. 규칙을 사용하여 구성됩니다. 에서 기본 규칙을 다운로드 할 수 있습니다 흡입 웹 사이트를 그대로 사용하거나 특정 요구에 맞게 사용자 정의하십시오. 구독 할 수도 있습니다 흡입 규칙은 진화하거나 새로운 위협이 발견 될 때 모든 최신 규칙을 자동으로 가져옵니다.
종류 매우 철저하며 기본 규칙조차도스텔스 포트 스캔, 버퍼 오버 플로우 공격, CGI 공격, SMB 프로브 및 OS 지문과 같은 다양한 이벤트를 탐지합니다. 이 도구로 탐지 할 수있는 것에는 제한이 없으며, 탐지하는 것은 설치 한 규칙 세트에만 의존합니다. 탐지 방법의 경우 기본 Snort 규칙 중 일부는 서명 기반이고 다른 Snort 규칙은 예외 기반입니다. 따라서 Snort는 두 세계의 최고를 제공 할 수 있습니다.
3. 수리 카타
수리 카타 침입 탐지 시스템 만이 아닙니다. 또한 일부 침입 방지 기능이 있습니다. 사실, 완벽한 네트워크 보안 모니터링 에코 시스템으로 알려졌습니다. 이 도구의 최고의 자산 중 하나는 응용 프로그램 계층까지 작동하는 방식입니다. 따라서이 도구는 다른 도구에 의해 눈에 띄지 않을 위협을 탐지 할 수있는 하이브리드 네트워크 및 호스트 기반 시스템입니다.
수리 카타 진정한 네트워크 기반 침입 탐지시스템과 응용 프로그램 계층에서만 작동하지는 않습니다. TLS, ICMP, TCP 및 UDP와 같은 하위 수준 네트워킹 프로토콜을 모니터링합니다. 또한이 도구는 HTTP, FTP 또는 SMB와 같은 고급 프로토콜을 이해하고 디코딩하며 일반적인 요청에 숨겨진 침입 시도를 탐지 할 수 있습니다. 이 도구에는 파일 추출 기능이있어 관리자가 의심스러운 파일을 검사 할 수 있습니다.
수리 카타의 애플리케이션 아키텍처는 매우 혁신적입니다. 이 도구는 최상의 성능을 위해 여러 프로세서 코어와 스레드에 작업 부하를 분산시킵니다. 필요한 경우 일부 처리를 그래픽 카드로 오프로드 할 수도 있습니다. 이것은 그래픽 카드가 일반적으로 사용되지 않기 때문에 서버에서 도구를 사용할 때 유용한 기능입니다.
4. 브로 네트워크 보안 모니터
그만큼 Bro 네트워크 보안 모니터또 다른 무료 네트워크 침입 탐지 시스템. 이 도구는 트래픽 로깅과 트래픽 분석의 두 단계로 작동합니다. Suricata와 마찬가지로 Bro 네트워크 보안 모니터 응용 프로그램 계층의 여러 계층에서 작동합니다. 이를 통해 분할 침입 시도를보다 잘 탐지 할 수 있습니다. 그만큼 Bro 네트워크 보안 모니터의 분석 모듈은 두 가지 요소로 구성됩니다. 첫 번째 요소는 이벤트 엔진이라고하며 net TCP 연결 또는 HTTP 요청과 같은 트리거 이벤트를 추적합니다. 그런 다음 두 번째 요소 인 정책 스크립트로 이벤트를 분석하여 경보를 트리거할지 및 / 또는 조치를 시작할지 여부를 결정합니다. 액션을 시작할 가능성은 Bro 네트워크 보안 모니터 일부 IPS와 유사한 기능.
그만큼 Bro 네트워크 보안 모니터 HTTP, DNS 및 FTP 활동을 추적 할 수 있습니다.SNMP 트래픽도 모니터링합니다. SNMP는 종종 네트워크 모니터링에 사용되지만 보안 프로토콜이 아니기 때문에 좋은 방법입니다. 또한 구성을 수정하는데도 사용할 수 있으므로 악의적 인 사용자가 악용 할 수 있습니다. 이 도구를 사용하면 장치 구성 변경 및 SNMP 트랩을 볼 수 있습니다. Unix, Linux 및 OS X에 설치할 수 있지만 Windows의 경우 주요 단점 인 Windows에서는 사용할 수 없습니다.
5. 보안 양파
무엇을 정의하기 어렵다 보안 양파 입니다. 단지 침입 탐지 또는 예방 시스템이 아닙니다. 실제로 침입 탐지, 엔터프라이즈 보안 모니터링 및 로그 관리에 중점을 둔 완전한 Linux 배포입니다. 따라서 관리자는 많은 시간을 절약 할 수 있습니다. 여기에는 방금 검토 한 많은 도구가 포함되어 있습니다. 보안 양파에는 Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner 등이 포함됩니다. 모든 설정을보다 쉽게하기 위해 배포는 사용하기 쉬운 설정 마법사와 함께 번들로 제공되므로 몇 분 안에 조직을 보호 할 수 있습니다. 우리가 설명해야한다면 보안 양파 한 마디로, 우리는 그것이 기업 IT 보안의 스위스 군용 칼이라고 말할 것입니다.
이것에 대한 가장 흥미로운 것들 중 하나도구는 하나의 간단한 설치로 모든 것을 얻는 것입니다. 침입 탐지의 경우이 도구는 네트워크 기반 및 호스트 기반 침입 탐지 도구를 모두 제공합니다. 패키지는 또한 서명 기반 접근 방식을 사용하는 도구와 이상 기반 도구를 결합합니다. 또한 텍스트 기반 및 GUI 도구의 조합을 찾을 수 있습니다. 정말 다양한 보안 도구가 있습니다. Security Onion에는 하나의 주요 단점이 있습니다. 포함 된 도구가 너무 많기 때문에 모두 구성하면 상당한 작업이 될 수 있습니다. 그러나 모든 도구를 사용 및 구성 할 필요는 없습니다. 사용할 수있는 것만 자유롭게 선택할 수 있습니다. 포함 된 몇 가지 도구 만 사용하더라도 별도로 설치하는 것보다 더 빠른 옵션 일 수 있습니다.
코멘트