Snort 또는 Suricata. 1부: 기업 네트워크 보호를 위한 무료 IDS/IPS 선택

옛날에는 일반 방화벽과 바이러스 백신 프로그램만으로도 로컬 네트워크를 보호할 수 있었지만 이러한 세트는 더 이상 현대 해커의 공격과 최근 확산되는 악성 코드에 충분히 효과적이지 않습니다. 오래된 방화벽은 패킷 헤더만 분석하고 일련의 공식 규칙에 따라 이를 통과하거나 차단합니다. 패키지의 내용물에 대해 아무것도 모르기 때문에 외부적으로 합법적인 침입자의 행동을 인식할 수 없습니다. 바이러스 백신 프로그램이 항상 맬웨어를 잡는 것은 아니므로 관리자는 비정상적인 활동을 모니터링하고 적시에 감염된 호스트를 격리하는 작업에 직면합니다.

회사의 IT 인프라를 보호할 수 있는 많은 고급 도구가 있습니다. 오늘은 값비싼 하드웨어 및 소프트웨어 라이선스를 구입하지 않고도 구현할 수 있는 오픈 소스 침입 탐지 및 방지 시스템에 대해 이야기하겠습니다.

IDS/IPS 분류

IDS(침입 탐지 시스템)는 네트워크 또는 별도의 컴퓨터에서 의심스러운 활동을 등록하도록 설계된 시스템입니다. 이벤트 로그를 유지하고 이에 대한 정보 보안 책임자에게 알립니다. IDS에는 다음 요소가 포함됩니다.

• 네트워크 트래픽, 다양한 로그 등을 보기 위한 센서 
• 수신된 데이터에서 유해한 영향의 징후를 감지하는 분석 서브시스템;
• XNUMX차 이벤트 및 분석 결과의 축적을 위한 저장;
• 관리 콘솔.

처음에 IDS는 위치별로 분류되었습니다. 개별 노드(호스트 기반 또는 호스트 침입 탐지 시스템(HIDS))를 보호하거나 전체 기업 네트워크(네트워크 기반 또는 네트워크 침입 탐지 시스템(NIDS))를 보호하는 데 집중할 수 있습니다. 소위 언급 할 가치가 있습니다. APIDS(애플리케이션 프로토콜 기반 IDS): 특정 공격을 탐지하기 위해 제한된 애플리케이션 계층 프로토콜 집합을 모니터링하고 네트워크 패킷을 심층 분석하지 않습니다. 이러한 제품은 일반적으로 프록시와 유사하며 웹 서버 및 웹 애플리케이션(예: PHP로 작성된), 데이터베이스 서버 등과 같은 특정 서비스를 보호하는 데 사용됩니다. 이 클래스의 일반적인 대표는 Apache 웹 서버용 mod_security입니다.

우리는 광범위한 통신 프로토콜과 DPI(Deep Packet Inspection) 패킷 분석 기술을 지원하는 범용 NIDS에 더 관심이 있습니다. 데이터 링크 계층에서 시작하여 통과하는 모든 트래픽을 모니터링하고 정보에 대한 무단 액세스뿐만 아니라 광범위한 네트워크 공격을 탐지합니다. 종종 이러한 시스템은 분산 아키텍처를 가지며 다양한 활성 네트워크 장비와 상호 작용할 수 있습니다. 많은 최신 NIDS는 하이브리드이며 여러 접근 방식을 결합합니다. 구성 및 설정에 따라 하나의 노드 또는 전체 네트워크 보호와 같은 다양한 문제를 해결할 수 있습니다. 또한 워크스테이션용 IDS의 기능은 안티 바이러스 패키지에 의해 인계되었으며, 정보 탈취를 목적으로 하는 트로이 목마의 확산으로 의심스러운 트래픽을 인식하고 차단하는 작업도 해결하는 다기능 방화벽으로 변모했습니다.

처음에 IDS는 맬웨어 활동, 포트 스캐너 또는 회사 보안 정책에 대한 사용자 위반만 감지할 수 있었습니다. 특정 이벤트가 발생하면 관리자에게 알렸지만 단순히 공격을 인식하는 것만으로는 충분하지 않고 차단해야 한다는 것이 곧 분명해졌습니다. 그래서 IDS는 방화벽과 상호 작용할 수 있는 침입 방지 시스템인 IPS(침입 방지 시스템)로 전환되었습니다.

탐지 방법

최신 침입 탐지 및 방지 솔루션은 세 가지 범주로 나눌 수 있는 다양한 방법을 사용하여 악의적인 활동을 탐지합니다. 이는 시스템 분류를 위한 또 다른 옵션을 제공합니다.

• 시그니처 기반 IDS/IPS는 트래픽의 패턴을 찾거나 시스템 상태 변화를 모니터링하여 네트워크 공격 또는 감염 시도를 감지합니다. 실제로 실화 및 오 탐지를 제공하지 않지만 알려지지 않은 위협을 감지할 수는 없습니다.
• 이상 탐지 IDS는 공격 서명을 사용하지 않습니다. 정보 시스템의 비정상적인 동작(네트워크 트래픽의 이상 포함)을 인식하고 알려지지 않은 공격도 탐지할 수 있습니다. 이러한 시스템은 많은 오 탐지를 제공하고 잘못 사용하면 로컬 네트워크의 작동을 마비시킵니다.
• 규칙 기반 IDS는 FACT인 경우 ACTION과 같이 작동합니다. 사실 이들은 일련의 사실과 추론 규칙인 지식 기반을 갖춘 전문가 시스템입니다. 이러한 솔루션은 설정하는 데 시간이 많이 걸리고 관리자가 네트워크를 자세히 이해해야 합니다. 

IDS 개발의 역사

인터넷과 기업 네트워크의 급속한 발전 시대는 지난 세기의 90년대에 시작되었지만 전문가들은 조금 더 일찍 고급 네트워크 보안 기술에 당황했습니다. 1986년 도로시 데닝(Dorothy Denning)과 피터 노이만(Peter Neumann)은 가장 현대적인 침입 탐지 시스템의 기초가 된 IDES(침입 탐지 전문가 시스템) 모델을 발표했습니다. 그녀는 전문가 시스템을 사용하여 알려진 공격과 통계적 방법 및 사용자/시스템 프로필을 식별했습니다. IDES는 Sun 워크스테이션에서 실행되어 네트워크 트래픽과 애플리케이션 데이터를 확인했습니다. 1993년 차세대 침입 탐지 전문가 시스템인 NIDES(차세대 침입 탐지 전문가 시스템)가 출시되었습니다.

Denning과 Neumann의 작업을 기반으로 P-BEST와 LISP를 사용하여 MIDAS(Multics 침입 탐지 및 경고 시스템) 전문가 시스템이 1988년에 등장했습니다. 동시에 통계적 방법에 기반한 Haystack 시스템이 만들어졌습니다. 또 다른 통계 이상 탐지기인 W&S(Wisdom & Sense)는 1990년 후 로스 알라모스 국립 연구소에서 개발되었습니다. 산업의 발전은 빠른 속도로 진행되었습니다. 예를 들어, 1991년에는 순차적 사용자 패턴(Common LISP 언어)에 대한 귀납적 학습을 사용하여 TIM(Time-based inductive machine) 시스템에서 이상 탐지가 이미 구현되었습니다. NSM(Network Security Monitor)은 이상 탐지를 위한 액세스 매트릭스를 비교했으며 ISOA(Information Security Officer's Assistant)는 통계적 방법, 프로파일 검사 및 전문가 시스템과 같은 다양한 탐지 전략을 지원했습니다. AT&T Bell Labs에서 만든 ComputerWatch 시스템은 검증을 위해 통계적 방법과 규칙을 모두 사용했으며 캘리포니아 대학의 개발자는 XNUMX년에 분산 IDS의 첫 번째 프로토타입을 받았습니다. DIDS(분산 침입 탐지 시스템)도 전문가였습니다. 체계.

처음에 IDS는 독점적이었지만 1998년에 이미 국립 연구소였습니다. Lawrence at Berkeley는 libpcap 데이터를 구문 분석하기 위해 자체 규칙 언어를 사용하는 오픈 소스 시스템인 Bro(2018년 Zeek로 이름 변경)를 출시했습니다. 같은 해 XNUMX월에는 libpcap을 사용하는 APE 패킷 스니퍼가 등장했으며 한 달 후 Snort로 이름이 바뀌었고 이후 본격적인 IDS/IPS가 되었습니다. 동시에 수많은 독점 솔루션이 등장하기 시작했습니다.

스노트와 수리카타

많은 기업들이 무료 및 오픈 소스 IDS/IPS를 선호합니다. 오랫동안 이미 언급한 Snort는 표준 솔루션으로 간주되었지만 이제는 Suricata 시스템으로 대체되었습니다. 장점과 단점을 좀 더 자세히 고려하십시오. Snort는 서명 방법의 장점과 실시간으로 이상 징후를 감지하는 기능을 결합합니다. Suricata는 공격 시그니처 탐지 외에 다른 방법도 허용합니다. 이 시스템은 Snort 프로젝트에서 분리되어 버전 1.4부터 IPS 기능을 지원하는 개발자 그룹에 의해 만들어졌으며 침입 방지는 나중에 Snort에 등장했습니다.

인기 있는 두 제품의 주요 차이점은 Suricata가 GPU를 IDS 컴퓨팅과 고급 IPS에 사용할 수 있다는 것입니다. 이 시스템은 원래 다중 스레드용으로 설계된 반면 Snort는 단일 스레드 제품입니다. 오랜 역사와 레거시 코드로 인해 멀티 프로세서/멀티 코어 하드웨어 플랫폼을 최적으로 사용하지 못하는 반면 Suricata는 일반 범용 컴퓨터에서 최대 10Gbps의 트래픽을 처리할 수 있습니다. 두 시스템 간의 유사점과 차이점에 대해 오랫동안 이야기할 수 있지만 Suricata 엔진이 더 빠르게 작동하지만 채널이 너무 넓지 않은 경우에는 중요하지 않습니다.

배포 옵션

IPS는 시스템이 제어하는 ​​네트워크 세그먼트를 모니터링할 수 있는 방식으로 배치되어야 합니다. 대부분의 경우 이것은 전용 컴퓨터이며, 그 중 하나의 인터페이스는 에지 장치 뒤에 연결되어 이를 통해 보안되지 않은 공용 네트워크(인터넷)를 "찾습니다". 다른 IPS 인터페이스는 보호된 세그먼트의 입력에 연결되어 모든 트래픽이 시스템을 통과하고 분석됩니다. 보다 복잡한 경우에는 여러 개의 보호된 세그먼트가 있을 수 있습니다. 예를 들어 회사 네트워크에서 DMZ(비무장 지대)는 종종 인터넷에서 액세스할 수 있는 서비스와 함께 할당됩니다.

이러한 IPS는 포트 스캐닝 또는 무차별 대입 공격, 메일 서버, 웹 서버 또는 스크립트의 취약점 악용 및 기타 유형의 외부 공격을 방지할 수 있습니다. 로컬 네트워크의 컴퓨터가 악성코드에 감염되면 IDS는 외부에 있는 봇넷 서버에 접속하는 것을 허용하지 않습니다. 내부 네트워크에 대한 보다 심각한 보호를 위해서는 포트 중 하나에 연결된 IDS 인터페이스에 대한 트래픽을 미러링할 수 있는 분산 시스템 및 값비싼 관리 스위치가 있는 복잡한 구성이 필요할 가능성이 높습니다.

기업 네트워크는 DDoS(분산 서비스 거부) 공격을 받는 경우가 많습니다. 최신 IDS가 이를 처리할 수 있지만 위의 배포 옵션은 여기에서 거의 도움이 되지 않습니다. 시스템은 악의적인 활동을 인식하고 스퓨리어스 트래픽을 차단하지만 이를 위해서는 패킷이 외부 인터넷 연결을 거쳐 네트워크 인터페이스에 도달해야 합니다. 공격의 강도에 따라 데이터 전송 채널이 부하를 감당하지 못할 수 있으며 공격자의 목표가 달성됩니다. 이러한 경우 더 나은 인터넷 연결이 알려진 가상 서버에 IDS를 배포하는 것이 좋습니다. VPN을 통해 VPS를 로컬 네트워크에 연결할 수 있으며 이를 통해 모든 외부 트래픽의 라우팅을 구성해야 합니다. 그런 다음 DDoS 공격이 발생하면 공급자에 대한 연결을 통해 패킷을 구동할 필요가 없으며 외부 호스트에서 차단됩니다.

선택의 문제

무료 시스템 중에서 리더를 식별하는 것은 매우 어렵습니다. IDS / IPS의 선택은 네트워크 토폴로지, 필요한 보안 기능, 관리자의 개인 선호도 및 설정을 조작하려는 욕구에 따라 결정됩니다. Suricata에 대한 정보는 온라인에서도 쉽게 찾을 수 있지만 Snort는 더 긴 역사를 가지고 있으며 더 잘 문서화되어 있습니다. 어쨌든 시스템을 마스터하려면 약간의 노력을 기울여야하며 결국 성과를 거둘 것입니다. 상용 하드웨어 및 하드웨어-소프트웨어 IDS / IPS는 상당히 비싸고 항상 예산에 맞지 않습니다. 훌륭한 관리자는 항상 고용주를 희생시키면서 자신의 자격을 향상시키기 때문에 보낸 시간을 후회해서는 안됩니다. 이 상황에서는 모두가 이깁니다. 다음 기사에서는 Suricata를 배포하기 위한 몇 가지 옵션을 살펴보고 더 현대적인 시스템을 클래식 IDS/IPS Snort와 실제 비교합니다.

출처 : habr.com