ch14 - 침입 탐지 및 모니터링

 

01 침입 탐지 시스템

 1. 침입 탐지 시스템에 대한 이해

침입 탐지 시스템(IDS, Intrusion Detection System)

 

 2. 침입 탐지 시스템의 기능

• 데이터 수집
• 데이터 필터링과 축약
• 침입 탐지
• 책임 추적성과 대응

 

  2.1 데이터 수집

설치 위치와 목적에 따라 호스트 기반의 HIDS와 네트워크 기반의 NIDS가 있다.

• HIDS

윈도우나 유닉스 등의 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치된다.

운영체제에 설정된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고, 어떤 작업을 했는지에 대한 기록을 남기고 추적한다.

단점 : 스스로가 공격 대상이 될 때만 침입을 탐지하고 운영체제 취약점이 HIDS를 손상시키며 비용이 많이 든다.

 

• NIDS

네트워크에서 하나의 독립된 시스템으로 운영된다. [tcp dump를 기반으로 하는 snort는 IDS의 기본]

장점 : 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않고 HIDS로 할 수 없는 네트워크 전반에 대한 감시와 감시 영역도 넓다.

단점 : 공격당한 시스템에 대한 결과를 알 수 없고 암호화된 내용을 검사할 수 없다. 또한 1Gps이상의 네트워크에서 정상적으로 작동하기 힘들다.

 

  2.2 데이터 필터링과 축약

HIDS와 NIDS로 수집한 침입 관련 데이터는 한 곳에 모아서 관리하는 것이 상호 연관된 내용을 좀더 효과적으로 분석할 수 있고, 빠르게 대응할 수 있어 좋다.

보안감사(Audit Trailing) : HIDS와 NIDS를 통하여 쌓여 있는 로그를 살펴보고 유효성을 확인하는 작업으로 방대하게 모인 데이터를 보안 감사를 실시하는데 불필요한 데이터를 필터링하고 축약할 필요가 있다.

 

 - 효과적인 필터링을 위해서 데이터 수집에 규칙을 설정하면 된다.

ex) 잘못된 접속에 대한 무조건적인 로그는 실수로 입력한 내용까지 남겨 방대한 로그를 생성해서 공격 의도가 있는 실제 공격자를 숨길 수 있다.[은행 비밀번호 5회이상 틀릴 시 사용 불가]

이럴 때 클리핑 레벨(Clipping Level)을 설정한다.

 : 일정 수 이상 잘못된 패스워드로 접속을 요구하면 로그를 남기도록 하는 것.

 

  2.3 침입 탐지

• 오용 탐지 기법(Signature Base, Knowledge Base)

   : 이미 발견되고 정립된 공격 패턴을 미리 입력하여 해당 패턴을 탐지하면 알려주는 것으로 탐지 오판 확률이 낮고 효율적이지만 알려진 공격 외에는 탐지할 수 없고, 많은 데이터를 분석하기에 부적합하다.

또 공격을 실시한 순서에 관한 정보를 얻기가 힘들다.

 

-다른 형태의 오용 탐지로 상태 전이(State Transition)에 따른 탐지 방법이 있는데 각각의 공격 상황에 대한 시나리오를 작성하여 각 상태에 따른 공격을 분석한다.

 결과가 직관적이지만 세밀한 시나리오를 만들기가 어렵다.

 

• 이상 탐지 기법(Behavior, Statistical Detection)

: 정상적이고 평균적인 상태를 기준으로 했을 때 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우를 침입 탐지로 여겨서 알리는 것.(정량 분석, 통계 분석, 비특성 통계 분석 등..)

 

  2.4 책임 추적성과 대응

 - IDS가 실행할 수 있는 능동적 기능

공격자로 확인된 연결에 TCP Reset 패킷을 보내 연결을 끊는다.

공격자의 IP 주소나 사이트를 확인하여 라우터나 방화벽으로 차단한다.

공격 포트를 확인하여 라우터와 방화벽을 설정한다.

심각한 사태에 이르렀을 때 네트워크 구조 자체를 임시로 바꾼다.

 

 3. 침입 탐지 시스템의 구조

  3.1 IDS의 효과적인 설치 위치

 - NIDS(Network Intrusion Detection System) 설치 위치

라우터, 방화벽, 라우터 순으로 구성되어 있고 두 번째 라우터는 내부 클라이언트를 위한 네트워크와 서버를 위한 네트워크(DeMilitarized Zone, DMZ)로 구성된다. DMZ에는 별도로 운영되는 방화벽이 존재한다.

• 1) 패킷이 라우터로 들어오기 전

이곳에 IDS를 설치하면 실제로 네트워크에 실행되는 모든 공격을 탐지가능

의도가 있는 공격자를 쉽게 파악할 수 있지만 너문 많은 공격에 대한 데이터를 수집하여, 정작 네트워크에 치명적인 공격에 대처하기 어렵다.

 

• 2) 라우터 뒤

라우터의 패킷 필터링을 거친 후의 패킷을 검사하며 좀더 강력한 의지가 있는 공격자 탐지 가능

 

• 3) 방화벽 뒤

방화벽 뒤 탐지되는 공격은 네트워크에 영향을 주는 만큼 탐지되는 공격에 대한 정책과 방화벽과의 연동성이 중요하다.

네트워크 톡성과 목적에 따라 다르지만 한 대만 설치할 수 있다면 이곳에 설치해야 한다.

 

• 4) 내부 네트워크

방화벽은 내부에 대해서 거의 무방비다. 내부 네트워크에는 사람 수나 사용하는 사람의 특성에 따라 관리하려는 내부 클라이언트를 신용할 수 없을 때, 내부 클라이언트에 의한 내부 네트워크 해킹을 감시할 때 설치할 수 있는 곳이다.

 

• 5) DMZ

외부와 내부의 공격자에 의한 데이터 손실이나 서비스 중단을 막기 위해 설치한다.

 

  3.2  IDS의 관리 구조

• 중앙 집중화된 IDS 관리

네트워크에 설치된 모든 로그와 데이터가 DMZ에 위치한 관리 시스템으로 통합되고 관리 시스템은 보통 DMZ 안에 위치하며, 각 IDS와는 일반 네트워크 공유 통신이 아닌 별도의 선으로 통신한다.

 

• 외부 시스템에 위임된 IDS 관리

IDS 시스템이 외부에 있는 관리 시스템으로 로그 정보를 보내는 구성으로 중앙 집중화된 관리가 어려운 경우 전문가에게 위임하는 형태.

 

[실습] SNORT

 : 오픈 소스 IDS로 packet sniffer, packet logger, ids/ips 기능

 - Snort는 스니퍼, 전처리기, 탐색엔진, 로깅 및 경고, 로그 파일과 DB 구조로 동작한다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

02 침입 차단 시스템

 1. 침입 차단 시스템의 기능과 목적

침입 차단 시스템(IPS, Intrusion Prevention System)

: 침입 탐지 시스템에 방화벽의 차단 기능을 부가한 시스템이다.

 

  1.1 방화벽과 침입 탐지 시스템의 한계

방화벽은 공격 차단이 가능하지만 새로운 패턴의 공격에 대한 적응력이 낮아 대부분 IP나 포트를 통한 차단만 가능하고 실시간 대응을 할 수 없다.

IDS는 실시간 탐지가 가능하지만 대응책이 없다.

zero day attack같이 취약점이 빠른 속도로 발견되는 문제로 IPS(방화벽 + IDS)가 제시된다.

 

  1.2 침입 차단 시스템의 개념

 - IPS 모듈이 패킷 하나하나를 검사해 패턴을 분석한 후, 정상 패킷이 아니면 방화벽 기능을 갖춘 모듈로 해당 트래픽을 차단한다.

웜의 경우 신종 웜이여도 특정한 패턴과 특성을 띠는 경우가 많아 차단할 수 있다.

 

03 허니팟에 대한 이해

 1. 허니팟에 대한 이해

허니팟(honeyPot) : 꿀단지라는 의미로 곰을 유인해 사냥할 때 쓰는 꿀단지처럼 해커를 유인해서 해커의 정보를 얻거나 잡으려고 설치한다. 유인o, 함정x

허니팟 -발전-> 허니넷

허니팟은 해커의 정보를 얻기 위한 개별 시스템 / 허니넷은 허니팟을 포함한 네트워크로 경각심, 정보,연구를 목적으로 한다.[새로운 공격이 실행되었을 때 이에 대처할 수 있도록 하는 목적]

 

- 허니팟의 조건 

• 해커에게 쉽게 노출된다
• 쉽게 해킹이 가능한 것처럼 취약해 보인다.
• 시스템의 모든 구성 요소를 갖추고 있다.
• 시스템을 통과하는 모든 패킷을 감시한다.
• 시스템에 접속하는 모든 사람에 대해 관리자에게 알려준다.

 

 - 허니넷의 구성

 

• 허니넷 GEN-I

분당 다섯 개 정동의 연결만 허용하고 자동화된 툴의 공격과 웜 공격에 대한 정보 수집에 좋은 성능을 보인다.

방화벽 설정 시 로그 서버는 NAT 설정을 하지 않고 SSH 접근만 가능하도록 포트 포워딩을 이용해야 하고

보통 방화벽으로 iptables를 사용하고 IDS는 snort를 이용한다.

 

• 허니넷 GEN-II

게이트웨이 추가

• 허니넷 GEN-II

 

04 통합 보안 관리 시스템

통합 보안 관리 시스템(Enterprise Security Management, ESM)

: 방화벽, IPS, IDS, VLAN 등 다양한 종류의 보안 솔루션 로그 및 일반 시스템의 로그를 하나로 통합해 관리하는 솔루션

 

# 통합 보안 관리 시스템의 구성

 - ESM은 흔히 관리 콘솔, 매니저, 에이전트로 구성된다.

관리 콘솔에서는 정책 설정, 침해사고 모니터링, 분석, 경보, 보고서 생성과 같은 작업을 한다.

매니저는 관리 콘솔에서 설정한 정책을 적용하고 데이터를 취합 및 저장, 분석한다.

에이전트는 방화벽, IDS, IPS, 일반 서버에 설치되어 관련 로그를 수집한 뒤 매니저에게 보낸다.

 

 

# 통합 보안 관리 시스템의 특징

• 보안 정책의 일관성 유지

통합 정보 보호 체계 수립을 통해 IT 보안의 체계성과 일관성을 보장

 

• 통합 보안 관리 인프라 구축

통합 보안 관리 시스템 구축을 통해 보안 시스템에 대한 통합 관리 능력을 향상시킨다.

 

• 효과적인 침해사고 대응

신속하고 능동적인 침해사고 대응 가능

여러 시스템의 보안 로그를 기반으로 한 상호연관 분석을 통해 분석적 침해사고 인지를 가능하게 함