OSSEC

회원K   
   조회 794   추천 0    

서버별로 설치해야 하는 보안 도구.


  1. IDS(침입탐지시스템)나 IPS(침입방지시스템) 솔루션으로는 snort와 같은 네트워크 기반의 솔루션이 많이 알려져 있고, 반면에 각 Host에 agent 형식으로 설치하는 호스트 기반의 IDS/IPS는 각 Host마다 설치해야 한다는 번거로움 때문에 잘 알려져 있지 않은 것이 사실이다. 그러나 Host기반의 IDS/IPS는 직접 시스템 로그나 프로세스를 모니터링 할 수 있기 때문에, 네트워크 기반 솔루션에 비해 좀 더 정확하고 의미 있는 정보를 얻어낼 수 있다는 장점을 가지고 있다. 이를 위해 가장 대표적인 오픈소스 솔루션으로는 OSSEC(https://ossec.github.io/) 이라는 솔루션이 있는데, 현재는 보안회사인 Trendmicr의 지원 하에 지속적으로 오픈소스로 제공하고 있다.

    ossec은 Log 분석, 파일무결성모니터링(FIM)뿐 아니라 루트킷 탐지 기능도 제공하고 있으며 상세한 모니터링이 가능하기 때문에, System(kernel, daemon등)내부에서 어떠한 일이 발생하는지 상세하게 인지할 수 있어 전반적인 visibility(가시성)를 제공한다고 할 수 있다.



http://www.oss.kr/oss_guide/show/52998688-798a-465e-9762-42d58cdb5c86

http://egloos.zum.com/hanaduri/v/2271295


http://www.ossec.net/docs/

maronet 11-09
첨언하자면...
옛날 버전 소개라 트렌드마이크로 얘기가 나오나 보내요. 지금도 트렌드마이크로가 기여야 하고 있겠지만, 독립적이라고 보는 편이 맞을 것 같습니다.
홈페이지는 https://www.ossec.net 이고요. 단순히 hids만 설치한다고 해서 의미는 없으니, 홈페이지에도 소개하는 다음 두가지 솔루션 또는 기타 유료 보안 솔루션과 함께 사용하면 좋습니다.

http://wazuh.com/
https://www.alienvault.com/products/ossim
4년전 호스팅사에서 IPS 장비 도입이 힘들어서
구축해서 테스트까지 진행했던 IDS 오픈소스 시스템에서도 사용했던 오픈소스였내요.
https://securityonion.net/

위 솔루션이 당시는 인라인 TAP 기반으로 작동하는 방식이여서
MGMT, Tx, Rx 패킷 NIC별로 수집하느라 물리적 포트가 많이 필요했는데...

요즘 설치해보니...
스위치 SPAN 설정된 NIC 패킷 수신 기능으로 변경되서 많이 편해졌습니다만...
엘라스틱서치가 도입되면서 재대로 쓰려면 힘들어졌지만 강력합니다.

다만 간만에 설치해서 테스트해보니...
직장에서 가장 이슈되는 L2 통신 영역은 분석은 못해준다는 ㅠㅜ




제목Page 3947/41
게시물이 없습니다.