[네트워크] 오픈소스 무료 IDS/IPS/방화벽/웹방화벽 추천
- 네트워크
- 2020. 1. 21. 20:36
IDS/IPS/방화벽/웹방화벽 중에서는 IDS로 분류되는 snort와 IPS로 분류되는 iptables를 써봤던 게 다이다. 보안 솔루션에 좀 더 친숙해지기 위해 오픈소스 무료 IDS/IPS/방화벽/웹방화벽 방화벽 중, 많이 알려져 있고 널리 쓰이는 것들 위주로 소개해보려 한다. 그리고 아래 소개된 솔루션들 중 일부는 실제로 구축 및 실험을 수행해보고 포스팅할 생각이다.
무료 오픈소스 IDS(침입탐지 시스템) / IPS(침입방지 시스템) 추천
스노트(Snort)
실시간 트래픽 분석을 수행하는 IDS로 스니핑, 패킷 로깅, 네트워크 침입 탐지의 기능을 수행한다. 리눅스 기반으로 동작하며 공식 홈페이지에서 바이너리로 rpm, exe 혹은 소스로도 제공한다.
snort 룰 작성 및 탐지에 관해선 아래 포스팅을 참조하길 바란다.
관련포스팅
스노트(snort) threshold를 사용한 nmap 포트스캐닝 탐지
스노트(snort) TCP SYN Flooding(DDoS) 공격 탐지
스노트(snort) content를 사용한 XSS 공격 탐지
수리카타(Suricata)
스노트가 싱글 스레드 기반이라 대용량 트래픽을 처리하는 것에 적합하지 않다는 평과 반대로 수리카타는 대용량 트래픽을 실시간으로 처리해준다는 장점이 있다.
iptables
리눅스 기반으로 동작하는 IPS이자 방화벽으로 규칙(rulse)과 체인(chain)을 사용해 패킷 처리의 규칙을 설정하는 테이블을 생성할 수 있다. 공식 홈페이지에 다운로드가 있지만 리눅스는 기본적으로 iptables을 방화벽으로 사용하기 때문에 설치를 'atp-get install'과 'yum install'로 매우 쉽게 할 수 있다.
위에 소개된 snort와 iptables는 정보보안기사 필기, 실기 시험에 자주 출제되기 때문에 공부용으로도 많이 사용되는 것 같다. (나도 정보보안기사 7회 실기 때 snort의 옵션을 채워 넣는 문제를 풀었었다.) iptables는 브릿지 방화벽을 구축해야 할 때, 라즈베리파이에 설치해서 쓴 적이 있다. 이와 관련한 내용도 나중에 포스팅할 예정이다.
무료 오픈소스 방화벽 추천
pfsense
pfsense는 FreeBSD(유닉스 계열 운영체제) 기반의 방화벽으로 가장 보편적이고 널리 쓰인다. IPS, 방화벽 IP/Port 필터링, VPN 등 기본적인 보안 기능과 리포팅 기능을 제공하지만 웹 필터링이나 백신과 같은 기능은 제공하지 않는 등 기능은 살짝 약하지만 사양이 낮은 하드웨어에서도 비교적 잘 돌아간다고 한다.
또한, ISO를 제공하기 때문에 설치는 매우 쉽게 할 수 있다. 일부 기능이 유료인 다른 오픈소스 방화벽에 비해, pfsense는 전면 무료이다.
untangle(언탱글)
untangle는 데비안 기반의 리눅스 방화벽이다. 사실 방화벽이라기보단 UTM이다. 사실 UTM이 더 큰 개념인데 명확하게 구분해서 용어를 사용하는 것 같진 않다. pfsense와 마찬가지로 ISO를 제공하기 때문에 설치가 간단한다. 인터페이스가 괜찮다는 후기가 많았다.
IPS, 방화벽, VPN 등 기본적인 보안 기능을 제공하고 pfsense와는 달리 안티바이러스 기능, 웹방화벽, 피싱사이트 혹은 악성코드 유포지 웹사이트 차단 서비스도 지원한다. 실시간으로 업데이트되는 패턴을 무상으로 제공한다고 한다.
무료 오픈소스 웹방화벽 추천
WebKnight
IIS 서버 앞단에 위치해 웹서버로 들어오는 모든 웹 요청을 검사하는 윈도우 기반 공개용 웹방화벽이다. SQL 인젝션 공격 등 특정 웹 공격도 바로 차단한다. 무료 버전을 사용하려면 다운로드 페이지 하단에 'Archived Downloads'를 클릭하면 된다.
ModSecurity
WebKnight가 윈도우 기반이었다면 ModSecurity는 리눅스 기반의 웹방화벽이다. 아파치 웹서버, IIS 웹서버 등을 지원한다. 패키지가 제공되기 때문에 설치가 간단하다.
ModSecurity 설치 및 사용법은 아래 포스팅을 참조하길 바란다.
관련포스팅
웹방화벽(WAF) ModSecurity 설치 및 sql인젝션 룰 설정
'네트워크' 카테고리의 다른 글
[네트워크] 스노트(snort) TCP SYN Flooding(DDoS) 공격 탐지 (1) | 2020.02.04 |
---|---|
[네트워크] 눈으로 확인해보는 Vmware Host-Only, Nat, Bridge 차이 (0) | 2020.02.01 |
[네트워크] 스노트(snort) threshold를 사용한 nmap 포트스캐닝 탐지 (0) | 2020.01.22 |
[네트워크] 스노트(snort) 우분투(ubuntu) 설치 방법 (0) | 2020.01.22 |
[네트워크] 패킷 트레이서로 직접 확인해보는 VPN 터널링 구축 (0) | 2020.01.18 |