IDS 오픈소스 솔루션은 비인가 사용자의 보안정책에 위반하는 행동을 시그니처 기반 및 행위기반으로 차단, 경고하는 보안기술 입니다. 이 문서에서는 데이터와 시스템을 보호하기 위해 성능이 좋은 open source IDS 솔루션 7가지의 특징 및 장단점을 정리해보겠습니다.
IDS 오픈소스 솔루션
IDS는 기업 내 내부 서버 및 클라우드 환경에 이르기까지 다양한 외부 공격에 대응하거나 내부 직원의 태만 행동 등도 적발하는 기능의 보안 프로그램입니다. IDS 오픈소스 솔루션의 특징은 다음과 같습니다.
특징
- 상용솔루션에 비해 커스터마이즈가 수월하다. (다양한 설정 가능)
- 비용 절감이 가능하다. (횟수 제한 없는 지속적 사용)
- 보안패치 및 업그레이드가 지속해서 이루어진다 (오픈소스 커뮤니티)
- 작동원리 및 다양한 응용이 가능하다 (커뮤니티에서 정보 공유)
1. SNORT
가장 오래된 IDS 솔루션의 하나이며 사실상의 표준이라고도 불리는 오픈소스 프로그램입니다. GUI를 통해 편리하게 설정하기는 어렵지만, 다양한 방법으로 커스터마이즈할 수 있다는 이점이 있습니다.
주로 실시간 트래픽을 분석하거나 패킷을 Logging 하기 위한 용도로 많이 사용하며, 다음과 같은 외부 공격의 차단이 가능합니다.
- 버퍼 오버플로우 공격
- 스텔스 스캔: 서버에 로그가 남지 않는 스캔 기법
- CGI 공격: 서버와 클라이언트 사이의 공격
- OS 핑거프린팅 시도 공격
리눅스 계열(페도라, 센트OS, FreeBSD) 및 윈도에서 지원가능합니다. 한가지 단점이 있다면 모든 처리가 단일 스레드 방식으로 데이터의 효율적 처리에 한계가 있습니다.
이를 보완하는 다른 오픈소스 솔루션으로 Suricata가 있습니다.
2. Suricata
네트워크 속도가 빨라지면서 Snort의 단점인 느린 처리 속도를 보완하는 프로젝트입니다. Suricata는 비영리재단 OISF에 의해 개발된 IDS 오픈소스 솔루션으로 기존 Snort의 거의 모든 기능 및 Rule의 적용이 가능합니다.
또한 멀티코어와 멀티 스레드 방식 및 GPU 가속까지 지원하여 매우 빠른 패킷 분석 및 공격 차단이 가능한 장점이 있습니다. 또한 YAML 형식지원으로 설정이 직관적입니다.
3. OSSEC
앞서 설명드린 솔루션과 마찬가지로 호스트 기반의 IDS 오픈소스 기반 프로그램입니다. 구동에 많은 리소스(CPU, RAM)를 사용하지 않는 특징이 있으며, 윈도, 리눅스, Mac OS, 솔라리스 등의 다양한 운영체제를 지원합니다.
장점으로는 클라이언트 서버 방식의 구조로 설계되어, 중앙의 서버에서 각종 경고이나 로그 취합할 수 있으며, 각 클라이언트 Agent 들을 중앙에서 관리할 수 있는 장점이 있습니다.
4. Zeek
일반적인 네트워크 트래픽 분석을 위해 유용한 프로그램입니다. (예전 Bro 프로젝트로 개발) Zeek를 이용해 DHCP, DNS, FTP, HTTP, SSL 등의 많은 프로토콜에 대한 로그 수집을 통해 이상 증상에 대한 분석이 가능합니다. (아래 참고)
- HTTP 세션 및 응용 프로그램 로깅(DNS Request, SSL Auth 등)
- SSL 공격 탐지 및 인증서 체크
- HTTP 세션 내 악성프로그램 탐지
- 네트워크내 소프트웨어 취약점 탐지보고
5. KISMET
위에 설명해 드린 솔루션이 유선 네트워크에 유용하다면, 키스멧은 무선망의 칩입탐지에 적합한 솔루션입니다. 다음과 같은 무선망에 대한 위협탐지가 가능합니다.
- WFI 인터페이스
- 블루투스 인터페이스
- SDR HW (Software 정의 무선망)
위의 이전 글에서도 언급한 바와 같이 무선망의 눈에 보이지 않으므로 외부 및 내부자에 의한 공격의 탐지가 어렵습니다. 키스멧은 내부자의 실수로 인한 AP 접근의 추적도 가능합니다.
6. OpenDLP
IDS는 외부공격 패턴을 분석해 차단하는 솔루션이라면 OpenDLP는 주요 데이터의 무단 복사와 전송을 탐지하는 솔루션입니다. (윈도 및 리눅스 지원 가능)
OpenDLP는 사용자의 디지털 행동의 분석, 모니터링 및 네트워크 트래픽 모니터링과 같은 IDS와 유사한 처리를 통해 침입을 탐지할 수 있다는 공통점이 있습니다.
7. Security Onion
시큐리니 오니언은 네트워크 침입탐지, 엔터프라이즈 보안 모니터링 및 로깅관리를 지원하는 오픈소스 프로그램입니다. 이 프로그램은 앞서 설명한 Snort, Zeek, Suricata 외에 Kibana, Wazuh, CyberChef 등의 오픈소스 보안 솔루션을 통합한 배포판의 형태입니다.
- 네트워크 침입탐지
- 여러개의 네트워크 모니터 관리
- 사용하기 쉬운 설치환경
이상으로 IDS 오픈소스 솔루션 7가지 들의 특징 및 장단점에 대해서 정리해보았습니다.