OSSEC

회원K   
   조회 1504   추천 0    

서버별로 설치해야 하는 보안 도구.


  1. IDS(침입탐지시스템)나 IPS(침입방지시스템) 솔루션으로는 snort와 같은 네트워크 기반의 솔루션이 많이 알려져 있고, 반면에 각 Host에 agent 형식으로 설치하는 호스트 기반의 IDS/IPS는 각 Host마다 설치해야 한다는 번거로움 때문에 잘 알려져 있지 않은 것이 사실이다. 그러나 Host기반의 IDS/IPS는 직접 시스템 로그나 프로세스를 모니터링 할 수 있기 때문에, 네트워크 기반 솔루션에 비해 좀 더 정확하고 의미 있는 정보를 얻어낼 수 있다는 장점을 가지고 있다. 이를 위해 가장 대표적인 오픈소스 솔루션으로는 OSSEC(https://ossec.github.io/) 이라는 솔루션이 있는데, 현재는 보안회사인 Trendmicr의 지원 하에 지속적으로 오픈소스로 제공하고 있다.

    ossec은 Log 분석, 파일무결성모니터링(FIM)뿐 아니라 루트킷 탐지 기능도 제공하고 있으며 상세한 모니터링이 가능하기 때문에, System(kernel, daemon등)내부에서 어떠한 일이 발생하는지 상세하게 인지할 수 있어 전반적인 visibility(가시성)를 제공한다고 할 수 있다.



http://www.oss.kr/oss_guide/show/52998688-798a-465e-9762-42d58cdb5c86

http://egloos.zum.com/hanaduri/v/2271295


http://www.ossec.net/docs/

maronet 2018-11
첨언하자면...
옛날 버전 소개라 트렌드마이크로 얘기가 나오나 보내요. 지금도 트렌드마이크로가 기여야 하고 있겠지만, 독립적이라고 보는 편이 맞을 것 같습니다.
홈페이지는 https://www.ossec.net 이고요. 단순히 hids만 설치한다고 해서 의미는 없으니, 홈페이지에도 소개하는 다음 두가지 솔루션 또는 기타 유료 보안 솔루션과 함께 사용하면 좋습니다.

http://wazuh.com/
https://www.alienvault.com/products/ossim
     
iwill 2018-11
개인적으로도 에어리언 볼트를 추천합니다. 함께 스터디 하실분들이라도 있으면 좋겠네요..
4년전 호스팅사에서 IPS 장비 도입이 힘들어서
구축해서 테스트까지 진행했던 IDS 오픈소스 시스템에서도 사용했던 오픈소스였내요.
https://securityonion.net/

위 솔루션이 당시는 인라인 TAP 기반으로 작동하는 방식이여서
MGMT, Tx, Rx 패킷 NIC별로 수집하느라 물리적 포트가 많이 필요했는데...

요즘 설치해보니...
스위치 SPAN 설정된 NIC 패킷 수신 기능으로 변경되서 많이 편해졌습니다만...
엘라스틱서치가 도입되면서 재대로 쓰려면 힘들어졌지만 강력합니다.

다만 간만에 설치해서 테스트해보니...
직장에서 가장 이슈되는 L2 통신 영역은 분석은 못해준다는 ㅠㅜ




제목Page 2/42
12-11   2120   훔냥이
12-08   1497   루시엘
12-05   1865   루시엘
12-04   1280   미사카미코토
12-03   1076   남극곰
12-02   1422   hanukoon
12-01   1490   gentoo
11-29   1144   ENIHS
11-29   1607   전진
2018-11   1675   po2481
2018-11   1519   여수21
2018-11   1931   po2481
2018-11   1454   송주환
2018-11   2085   박건
2018-11   2824   리얼홀릭
2018-11   1834   회원K
2018-11   1685   KIKI1140
2018-11   1505   회원K
2018-11   1732   회원K
2018-11   1345   회원K