오픈소스 IPS 를 사용하기 위해 테스트 해봤다.
테스트 환경
1.xenserver의 가상화로 테스트
2. 1G 메모리, 20 하드 부여, 1core
중점으로 체크 한 사항은 IPS 기능, 라이센스, 웹GUI, 업데이트 날짜이다.
3. 간단한 소감.
security onion : v12,v14 두 버젼 모두 알수 없는 프로그램 충돌
smoothwell : 하드 인식 안됨.
clearOs : 로그가 부실함. 되는 지도 잘 모르겠음.로그가 안나옴.
untangle : 무려 한글지원(간단한 영어라 별 의미는 없음) 로그 검색기능이 좋음.
여러가지 기능을 모두 쓰려면 라이센스 구매해야 하지만, 내가 필요한 IPS 기능은 무료임.
DD-WRT : 가정용, 중소기업
제로쉘 : 가정용, 중소기업
Endian (EFC) : 쉘모드 접속시 명령어가 스위치처럼 되어 있음. login 으로 쉘 진입가능. IPS 로그가 안나옴. 되는 건지...firewall 로그는 나옴
pfsense : IDS or IPS 기능이 없음. (snort 추가하면 가능).
opnSense : pfsense랑 비슷한듯...
ipfire : 로그에 나라 표기됨. 로그 검색 기능이 없음
selks : IPS 없음. 데이터 안나옴. Out Of Memory 로 뻗음. 별로임.
최종적으로는 untangle과 ipfire.
처음에는 ipfire를 이용하려고 하였으나, 로그 검색기능 없다.
최종적으로 untangle 설치함.
2017년 2월 15일 수요일
2017년 2월 13일 월요일
포트스캔시 메일포트가 무조건 나오는 이유
포트 스캔을 실행하면 아래의 포트가 사용하는 걸로 나온다.
25smtp
110pop3
119nntp
143imap
465urd
563nntps
587submission
993imaps
995pop3s
타겟 서버에서는 실행되는 프로세스가 없다.
백도어가 있나 살펴보고, arp spoofing 인가도 살펴 봐도 아니였다.
조금 더 살펴보니 타겟 서버외에 포트스캔을 하는 모든 서버가 위의 포트가 오픈 되어있다고 나온다.
이상해서 다른 pc에서 같은 서버로 포트스캔을 해보니 정상적으로 나온다.
문제는 avast 백신이였다.
avast 백신 기능 중에는 메일 감시 기능이란게 있는데, 이게 원인이였다.
자체적으로 외부로 나가는 해당 포트를 감시하고 있다가 검사하고 내보내는 것 같다.
25smtp
110pop3
119nntp
143imap
465urd
563nntps
587submission
993imaps
995pop3s
타겟 서버에서는 실행되는 프로세스가 없다.
백도어가 있나 살펴보고, arp spoofing 인가도 살펴 봐도 아니였다.
조금 더 살펴보니 타겟 서버외에 포트스캔을 하는 모든 서버가 위의 포트가 오픈 되어있다고 나온다.
이상해서 다른 pc에서 같은 서버로 포트스캔을 해보니 정상적으로 나온다.
문제는 avast 백신이였다.
avast 백신 기능 중에는 메일 감시 기능이란게 있는데, 이게 원인이였다.
자체적으로 외부로 나가는 해당 포트를 감시하고 있다가 검사하고 내보내는 것 같다.
피드 구독하기:
글 (Atom)