누구나 침입자를집. 마찬가지로, 비슷한 이유로 네트워크 관리자는 침입자가 관리하는 네트워크에 침입하지 못하도록 노력합니다. 오늘날 많은 조직에서 가장 중요한 자산 중 하나는 데이터입니다. 잘못 의도 한 많은 사람들이 그 데이터를 훔치기 위해 많은 시간을 투자하는 것이 매우 중요합니다. 네트워크와 시스템에 대한 무단 액세스를 얻기 위해 방대한 기술을 사용하여이를 수행합니다. 이러한 공격의 수는 최근에 기하 급수적으로 증가한 것으로 보이며, 이에 대응하기 위해 시스템이 마련되고 있습니다. 이러한 시스템을 IPS (Intrusion Prevention Systems)라고합니다. 오늘날, 우리는 우리가 찾을 수있는 최고의 침입 방지 시스템을 살펴보고 있습니다.
우리는 무엇을 더 잘 정의하려고 노력할 것입니다.침입 방지입니다. 물론 이것은 침입이 무엇인지 정의해야합니다. 그런 다음 일반적으로 사용되는 다양한 탐지 방법과 탐지시 수행되는 치료 조치에 대해 알아 봅니다. 그런 다음 수동 침입 방지에 대해 간단히 이야기하겠습니다. 침입 시도 횟수를 대폭 줄일 수있는 정적 조치입니다. 그 중 일부는 컴퓨터와 관련이 없다는 것을 알고 놀랄 수도 있습니다. 그래야만 우리 모두가 같은 페이지에 우리가 찾을 수있는 최고의 침입 방지 시스템을 검토 할 수있을 것입니다.
침입 방지 –이 모든 것이 무엇입니까?
몇 년 전만해도 바이러스는 유일하게시스템 관리자의 우려. 바이러스는 바이러스 보호 도구를 개발하여 업계가 반응 할 정도로 일반적인 시점에 도달했습니다. 오늘날 올바른 사용자는 바이러스 보호없이 컴퓨터를 실행한다고 생각하지 않습니다. 우리는 더 이상 많은 바이러스를 듣지 못하지만 침입 또는 악의적 인 사용자가 데이터에 무단으로 액세스하는 것이 새로운 위협입니다. 데이터가 조직의 가장 중요한 자산 인 경우가 많기 때문에 회사 네트워크는 의도하지 않은 해커의 대상이되어 데이터에 액세스하기 위해 많은 시간을 할애합니다. 바이러스 방지 소프트웨어가 바이러스의 확산에 대한 해답 인 것처럼 침입 방지 시스템은 침입자 공격에 대한 해답입니다.
침입 방지 시스템은 본질적으로 두 가지를 수행합니다.소지품. 먼저 침입 시도를 감지하고 의심스러운 활동을 감지하면 다른 방법을 사용하여 중지 또는 차단합니다. 침입 시도를 탐지 할 수있는 두 가지 방법이 있습니다. 시그니처 기반 탐지는 네트워크 트래픽 및 데이터를 분석하고 침입 시도와 관련된 특정 패턴을 찾아서 작동합니다. 이는 바이러스 정의에 의존하는 기존 바이러스 방지 시스템과 유사합니다. 서명 기반 침입 탐지는 침입 서명 또는 패턴에 의존합니다. 이 탐지 방법의 주요 단점은 소프트웨어에 적절한 서명을로드해야한다는 것입니다. 그리고 새로운 공격 방법 인 경우 일반적으로 공격 서명이 업데이트되기 전에 지연이 발생합니다. 일부 공급 업체는 업데이트 된 공격 서명을 제공하는 데 매우 빠르지 만 다른 공급 업체는 훨씬 느립니다. 공급 업체를 선택할 때 서명이 얼마나 자주, 얼마나 빨리 업데이트되는지 고려해야합니다.
이상 기반 탐지 기능으로 더 나은 보호 기능 제공제로 데이 공격에 대비하여 탐지 서명 이전에 발생한 공격은 업데이트 될 기회가있었습니다. 이 프로세스는 알려진 침입 패턴을 인식하려고 시도하는 대신 이상을 찾습니다. 예를 들어, 누군가가 잘못된 암호로 여러 번 연속으로 시스템에 액세스하려고 시도하면 무차별 대입 공격의 일반적인 표시가됩니다. 이것은 단지 예일 뿐이며 일반적으로 이러한 시스템을 트리거 할 수있는 수백 가지의 의심스러운 활동이 있습니다. 두 가지 탐지 방법 모두 장단점이 있습니다. 최상의 도구는 최상의 보호를 위해 서명과 행동 분석을 조합하여 사용하는 도구입니다.
침입 시도 탐지는 첫 번째 부분입니다그들을 막기 위해. 탐지 된 침입 방지 시스템은 탐지 된 활동을 중지하는 데 적극적으로 노력합니다. 이러한 시스템은 여러 가지 다른 치료 조치를 수행 할 수 있습니다. 예를 들어 사용자 계정을 일시 중지하거나 비활성화 할 수 있습니다. 또 다른 일반적인 작업은 공격의 소스 IP 주소를 차단하거나 방화벽 규칙을 수정하는 것입니다. 악의적 인 활동이 특정 프로세스에서 비롯된 경우 예방 시스템이 프로세스를 종료시킬 수 있습니다. 일부 보호 프로세스를 시작하는 것은 또 다른 일반적인 반응이며 최악의 경우 전체 시스템을 종료하여 잠재적 손상을 제한 할 수 있습니다. 침입 방지 시스템의 또 다른 중요한 작업은 관리자에게 경고하고 이벤트를 기록하며 의심스러운 활동을보고하는 것입니다.
패시브 침입 방지 조치
침입 방지 시스템은 보호 할 수 있지만수많은 유형의 공격에 대비해 구식 수동 침입 방지 조치를 능가하는 것은 없습니다. 예를 들어 강력한 암호를 요구하는 것은 많은 침입을 막는 훌륭한 방법입니다. 또 다른 쉬운 보호 조치는 장비 기본 비밀번호를 변경하는 것입니다. 아직까지는 아니지만 회사 네트워크에서는 빈도가 적지 만 여전히 기본 관리자 암호가있는 인터넷 게이트웨이는 너무 자주 보았습니다. 암호의 주제에 따라 암호 노화는 침입 시도를 줄이기 위해 시행 할 수있는 또 다른 구체적인 단계입니다. 충분한 시간이 주어지면 모든 암호, 심지어 가장 좋은 암호도 결국 해독 될 수 있습니다. 암호 에이징은 암호가 해독되기 전에 암호가 변경되도록합니다.
할 수있는 일에 대한 예가있었습니다.수동적으로 침입을 방지합니다. 우리는 어떤 소극적 조치를 취할 수 있는지에 대한 전체 글을 쓸 수 있지만 이것은 오늘날 우리의 목표가 아닙니다. 우리의 목표는 대신 가장 활동적인 침입 방지 시스템을 제시하는 것입니다.
최고의 침입 방지 시스템
우리의 목록에는 다음과 같은 다양한 도구가 혼합되어 있습니다.침입 시도를 방지하는 데 사용됩니다. 포함 된 대부분의 도구는 진정한 침입 방지 시스템이지만, 시판되지는 않지만 침입을 방지하는 데 사용할 수있는 도구도 포함되어 있습니다. 첫 번째 항목은 그러한 예 중 하나입니다. 무엇보다도 어떤 도구를 사용할 것인지는 특정 요구 사항에 따라 결정해야합니다. 자, 우리의 최고 툴 각각이 무엇을 제공해야하는지 봅시다.
1. SolarWinds 로그 및 이벤트 관리자 (무료 시험판)
SolarWinds는 네트워크에서 잘 알려진 이름입니다.관리. 최고의 네트워크 및 시스템 관리 도구 중 하나로 유명합니다. 주력 제품인 Network Performance Monitor는 사용 가능한 최고의 네트워크 대역폭 모니터링 도구 중에서 지속적으로 점수를 매 깁니다. SolarWinds는 또한 네트워크 관리자의 특정 요구를 해결하는 많은 무료 도구로 유명합니다. Kiwi Syslog 서버 또는 SolarWinds TFTP 서버는 이러한 무료 도구의 두 가지 훌륭한 예입니다.
두 지마 SolarWinds 로그 및 이벤트 관리자이름은 당신을 바보입니다. 눈을 만나는 것보다 훨씬 더 있습니다. 이 제품의 일부 고급 기능은이 제품을 침입 탐지 및 방지 시스템으로 인정하는 반면 SIEM (Security Information and Event Management) 범위에 해당 제품도 있습니다. 예를 들어이 도구는 실시간 이벤트 상관 관계 및 실시간 치료 기능을 갖추고 있습니다.
- 무료 시험판: SolarWinds 로그 및 이벤트 관리자
- 공식 다운로드 링크 : https://www.solarwinds.com/log-event-manager-software/registration
그만큼 SolarWinds 로그 및 이벤트 관리자 의심스러운 순간 감지활동 (침입 탐지 기능) 및 자동 응답 (침입 방지 기능). 이 도구는 보안 이벤트 조사 및 법의학을 수행하는 데에도 사용할 수 있습니다. 완화 및 준수 목적으로 사용할 수 있습니다. 이 도구는 검증 된보고 기능을 제공하며 HIPAA, PCI-DSS 및 SOX와 같은 다양한 규제 프레임 워크 준수를 입증하는 데 사용될 수 있습니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링 기능도 있습니다. 소프트웨어의 모든 고급 기능으로 인해 로그 및 이벤트 관리 시스템보다 통합 된 보안 플랫폼의 이름을 얻게되므로 이름이 믿을 수 있습니다.
의 침입 방지 기능 SolarWinds 로그 및 이벤트 관리자 활성이라는 작업을 구현하여 작동위협이 탐지 될 때마다 응답합니다. 다른 응답은 특정 경고에 연결될 수 있습니다. 예를 들어, 시스템은 방화벽 테이블에 기록하여 의심스러운 활동을 수행하는 것으로 식별 된 소스 IP 주소의 네트워크 액세스를 차단할 수 있습니다. 이 도구는 또한 사용자 계정을 일시 중지하고 프로세스를 중지 또는 시작하며 시스템을 종료 할 수 있습니다. 이전에 확인한 치료 조치가 정확히 어떻게 수행되는지 기억할 것입니다.
에 대한 가격 SolarWinds 로그 및 이벤트 관리자 모니터링되는 노드 수에 따라 다릅니다. 가격은 최대 30 개의 모니터링 노드에 대해 $ 4,585에서 시작하며 최대 2500 개의 노드에 대한 라이센스를 구매하여 제품의 확장 성을 높일 수 있습니다. 테스트 실행을 위해 제품을 가져 가고 자신에게 적합한 지 직접 확인하고 싶다면 30 일 무료 평가판을 무료로 이용할 수 있습니다.
2. 스 플렁크
스 플렁크 아마도 가장 인기있는 침입 방지 시스템 중 하나 일 것입니다. 다른 기능 세트를 사용하는 여러 가지 버전으로 제공됩니다. Splunk Enterprise 보안-또는 스 플렁크 ES이라고도합니다. 진정한 침입 방지에 필요한 것입니다. 이 소프트웨어는 시스템 데이터를 실시간으로 모니터링하여 취약점 및 비정상적인 활동 징후를 찾습니다.
보안 대응은 제품의 장점 중 하나입니다적합하고 침입 방지 시스템의 특징 공급 업체가 ARF (Adaptive Response Framework)라고하는 것을 사용합니다. 이 솔루션은 55 개 이상의 보안 공급 업체의 장비와 통합되며 자동화 된 응답을 수행하여 수동 작업 속도를 높입니다. 자동 치료 및 수동 개입이 가능한 경우이 조합은 신속하게 손을 잡을 수있는 최상의 기회를 제공합니다. 이 도구는 간단하고 깔끔한 사용자 인터페이스를 갖추고있어 성공적인 솔루션을 제공합니다. 다른 흥미로운 보호 기능으로는 사용자 지정 가능한 경고를 표시하는 "Notables"기능과 악의적 인 활동을 표시하고 추가 문제를 방지하기위한 "Asset Investigator"가 있습니다.
Splunk Enterprise 보안의 가격 정보를 쉽게 이용할 수 없습니다. 자세한 견적을 받으려면 Splunk 영업에 문의해야합니다. 무료 평가판을 사용할 수있는 훌륭한 제품입니다.
3. 사간
사간 기본적으로 무료 침입 탐지 시스템입니다. 그러나 침입 방지 시스템 범주에 배치 할 수있는 스크립트 실행 기능이있는 도구입니다. 사간 로그 파일 모니터링을 통해 침입 시도를 탐지합니다. 결합 할 수도 있습니다 사간 출력을 공급할 수있는 Snort 사간 도구에 네트워크 기반 침입 탐지 기능을 제공합니다. 사실로, 사간 최상의 보호를 위해 여러 도구의 기능을 결합하여 Bro 또는 Suricata와 같은 다른 많은 도구로부터 입력을받을 수 있습니다.
캐치가있다 사간그래도 스크립트 실행 기능은 치료 스크립트를 작성해야합니다. 이 툴은 침입에 대한 유일한 방어 수단으로 사용되지 않을 수도 있지만, 여러 소스의 이벤트를 서로 연관시켜 여러 툴을 통합하여 여러 제품 중 최고를 제공하는 시스템의 주요 구성 요소가 될 수 있습니다.
동안 사간 Linux, Unix 및 Mac OS에만 설치할 수 있습니다.이벤트를 얻기 위해 Windows 시스템에 연결할 수 있습니다. Sagan의 다른 흥미로운 기능으로는 IP 주소 위치 추적 및 분산 처리가 있습니다.
4. OSSEC
오픈 소스 보안또는 OSSEC, 최고의 오픈 소스 호스트 기반 중 하나입니다침입 탐지 시스템. 우리는 두 가지 이유로 목록에 포함 시켰습니다. 이 도구의 인기는 특히 특정 도구가 트리거 될 때마다 자동으로 수행되는 작업을 지정하여 침입 방지 기능을 제공 할 수 있다는 점을 고려하여 포함시켜야했습니다. OSSEC IT 보안의 선두 주자 중 하나이며 최고의 바이러스 보호 제품군 중 하나 인 Trend Micro가 소유하고 있습니다.
유닉스 계열 운영 체제에 설치하면소프트웨어 탐지 엔진은 주로 로그 및 구성 파일에 중점을 둡니다. 중요한 파일의 체크섬을 만들고 주기적으로 확인하여 이상한 일이 발생할 때마다 경고하거나 치료 조치를 트리거합니다. 또한 루트 액세스 권한을 얻는 비정상적인 시도를 모니터링하고 경고합니다. Windows의 경우 시스템은 무단 레지스트리 수정이 악의적 인 활동의 주요 징후 일 수 있기 때문에 감시합니다. 모든 탐지는 중앙 콘솔에 표시되는 알림을 트리거하며 알림은 전자 메일로도 전송됩니다.
OSSEC 호스트 기반 침입 방지 시스템입니다. 따라서 보호하려는 각 컴퓨터에 설치해야합니다. 그러나 중앙 콘솔은 관리가 용이하도록 각 보호 된 컴퓨터의 정보를 통합합니다. 그만큼 OSSEC 콘솔은 Unix-Like 운영 체제에서만 실행되지만 에이전트는 Windows 호스트를 보호하는 데 사용할 수 있습니다. 또는 Kibana 또는 Graylog와 같은 다른 도구를 도구의 프런트 엔드로 사용할 수 있습니다.
5. 열린 WIPS-NG
우리가 포함시켜야할지 너무 확신하지 못했습니다 열린 WIPS NG 우리 목록에. 잠시 후에 더 자세히 알아보십시오. 주로 무선 네트워크를 대상으로하는 유일한 제품 중 하나이기 때문에 주로 사용되었습니다. 열린 WIPS NG–WIPS는 Wireless Intrusion의 약자입니다.예방 시스템 – 세 가지 주요 구성 요소로 구성된 오픈 소스 도구입니다. 먼저 센서가 있습니다. 이것은 단순히 무선 트래픽을 캡처하여 분석을 위해 서버로 전송하는 바보 같은 프로세스입니다. 짐작 하셨겠지만 다음 구성 요소는 서버입니다. 모든 센서에서 데이터를 수집하고 수집 된 데이터를 분석하고 공격에 대응합니다. 이 구성 요소는 시스템의 핵심입니다. 마지막으로 서버를 관리하고 무선 네트워크에서 발견 된 위협에 대한 정보를 표시하는 데 사용하는 GUI 인 인터페이스 구성 요소가 있습니다.
포함하기 전에 주저했던 주된 이유 열린 WIPS NG 우리의 목록에있는 것처럼누구나 제품 개발자를 좋아합니다. Aircrack NG와 동일한 개발자가 모든 WiFi 해커 툴킷의 일부인 무선 패킷 스니퍼 및 암호 크래커입니다. 이를 통해 개발자 윤리에 대한 토론이 시작되고 일부 사용자는 경계하게됩니다. 반면에 개발자의 배경은 Wi-Fi 보안에 대한 깊은 지식의 증거로 볼 수 있습니다.
6. Fail2Ban
Fail2Ban 비교적 인기있는 무료 호스트 침입입니다.침입 방지 기능을 갖춘 탐지 시스템. 이 소프트웨어는 로그인 시도 실패 또는 탐색 시도와 같은 의심스러운 이벤트가 있는지 시스템 로그 파일을 모니터링하여 작동합니다. 시스템이 의심스러운 것을 탐지하면 로컬 방화벽 규칙을 자동으로 업데이트하여 악의적 인 동작의 소스 IP 주소를 차단합니다. 물론 이것은 일부 방화벽 프로세스가 로컬 컴퓨터에서 실행되고 있음을 의미합니다. 이것이 도구의 주요 단점입니다. 그러나 일부 치료 스크립트 실행 또는 전자 메일 알림 보내기와 같은 다른 임의의 작업을 구성 할 수 있습니다.
Fail2Ban 사전 구축 된 여러 감지 기능이 제공됩니다Apache, Courrier, SSH, FTP, Postfix 등과 같은 가장 일반적인 서비스 중 일부를 포괄하는 필터라고하는 트리거. 앞에서 언급했듯이 치료 조치는 호스트의 방화벽 테이블을 수정하여 수행됩니다. Fail2Ban Netfilter, IPtables 또는 TCP Wrapper의 hosts.deny 테이블을 지원합니다. 각 필터는 하나 이상의 작업과 연관 될 수 있습니다. 필터와 액션을 함께 감옥이라고합니다.
7. Bro 네트워크 보안 모니터
그만큼 Bro 네트워크 보안 모니터 또 다른 무료 네트워크 침입 탐지입니다IPS와 유사한 기능을 갖춘 시스템. 두 단계로 작동하며, 먼저 트래픽을 기록한 다음 분석합니다. 이 도구는 애플리케이션 침입 계층까지 여러 계층에서 작동하여 분할 침입 시도를보다 효과적으로 탐지합니다. 제품의 분석 모듈은 두 가지 요소로 구성됩니다. 첫 번째 요소를 이벤트 엔진이라고하며 TCP 연결 또는 HTTP 요청과 같은 트리거 이벤트를 추적하는 것이 목적입니다. 그런 다음 두 번째 요소 인 정책 스크립트로 이벤트를 분석합니다. 정책 스크립트의 작업은 알람을 트리거할지, 작업을 시작하는지 또는 이벤트를 무시할지 여부를 결정하는 것입니다. 다음과 같은 조치를 취할 수 있습니다. Bro 네트워크 보안 모니터 IPS 기능.
그만큼 Bro 네트워크 보안 모니터 몇 가지 제한이 있습니다. HTTP, DNS 및 FTP 활동 만 추적하며 SNMP 트래픽도 모니터링합니다. 그러나 심각한 보안 결함에도 불구하고 SNMP는 종종 네트워크 모니터링에 사용되기 때문에 이것은 좋은 것입니다. SNMP는 거의 모든 내장 보안 기능을 가지고 있으며 암호화되지 않은 트래픽을 사용합니다. 또한 프로토콜을 사용하여 구성을 수정할 수 있으므로 악의적 인 사용자가 쉽게 악용 할 수 있습니다. 제품은 또한 장치 구성 변경 및 SNMP 트랩을 감시합니다. Unix, Linux 및 OS X에 설치할 수 있지만 Windows의 경우 주요 단점 인 Windows에서는 사용할 수 없습니다. 그렇지 않으면 시도해 볼 가치가있는 매우 흥미로운 도구입니다.
코멘트