네트워크 보안 - 보안이론 (4) - Firewall, IDS… 김 재 명 공학박사 北京信安强科技有限公司

2 차 례차 례 침입차단시스템 침입탐지시스템

3 침입차단시스템 (Firewall)

4 Firewall 이란 정의 – 보호대상 네트워크, 서버와 인터넷 사이에서 모든 트래픽을 필터링하여 로 컬 보안 정책 / 목적에 맞는 인증된 트래픽 통과를 허용하는 시스템 기능 – 보안정책을 기반으로 서비스와 호스트에 대한 접근제어 –Firewall 을 통과하는 패킷을 필터링하여 보안 정책에 위배되는 패킷을 차단하여 내부망을 보호

5 Firewall 의 역할 Access Control PIX 515 Main Office Laptop CSPM Node Sentry NT PDC Internet Laptop VPN Client Scanner Attack Tools PP Presentation PIX xx 26xx Branch Office Laptop ACS/NT Private-I NT PDC PP Presentation DMZ Laptop ACS/NT Websense Private-I Main Office Network DMZ Network Internet Network Branch Office Network ID Snoop Fe0/1 Fe0/0 Fe0/1 Fe0/0 Fe1 Fe0 ID CS PIX Firewall

6 Firewall 의 역할 Fail-over 첫번째 Firewall(Active Unit) 에 문제가 발생할 경우 두 번째 Firewall(Standby Unit) 이 Active 가 되어 네트워킹 중단 없이 침입차단을 수행 안정적인 네트워크 구축, 하지만 비용 증가 Main Office Laptop CSPM Node Sentry NT PDC Internet Laptop VPN Client Scanner Attack Tools PP Presentation PIX xx 26xx PIX 515 Branch Office Laptop ACS/NT Private-I NT PDC PP Presentation DMZ Laptop ACS/NT Websense Private-I Main Office Network DMZ Network Internet Network Branch Office Network ID Snoop Fe0/1 Fe0/0 Fe0/1 Fe0/0 Fe1 Fe0 ID CS PIX Firewall

7 Firewall 침입차단 방식 종류 Network 계층 패킷 필터링 방법 성능이 우수, 하드웨어 방식 CISCO PIX Series, NETSCREEN NS Series, NOKIA IP Series Application 계층 Firewall 기능을 갖는 소프트웨어 방식 프락시 역할을 수행 Check Point Firewall-1

8 Firewall 물리적 구조 NetScreen 100

9 Firewall 물리적 구조 NS 100

10 Firewall 네트워크 구조 3 Operation Modes Transparent Mode Layer-2 Switch 나 Bridge 처럼 작동 IP 패킷의 Source, Destination 정보에 관계없이 패킷을 필터링함 Outside, Inside IP 주소가 같은 네트워크에 속해야 함 NAT(Network Address Translation) Mode Layer-3 Switch 나 Router 처럼 작동 IP 패킷의 Source IP Address & Port Number, Destination IP Address & Port Number 를 Incoming, Outgoing 시 Inside 와 Outside 환경에 맞도록 변환 Private IP 를 사용 Route Mode NAT 없이 Inside, Outside 사이의 트래픽을 라우팅하면서 패킷 필터링을 동시에 수행 하여 침입 차단하는 구조 Inside 와 Outside 는 서로 다른 네트워크이어야 함

11 침입탐지시스템 (IDS)

12 자동화된 감사기록 분석도구 필요 다량의 감사기록 발생 사후 침입 흔적 발견 사후 침입 흔적 발견 정보의 유출 및 피해 정보의 유출 및 피해 실시간 침입탐지시스템 필요 Need of Real-Time IDS

13 Overview  Intrusion Detection System 이란 ?  컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 규정하는 시스템으로 가능하면 실시간으로 처리하는 시스템  1980 년대 Anderson 이 침입탐지 개념 도입  정보 접근, 정보 조작, 시스템 무기력화 등에 대한 고의적이면서도 불법 적인 시도의 잠재 가능성으로 정의  1980 년대부터 20 여년간 지속적으로 연구개발 추진 중 ( 미국 )  SRI International / CSL(Computer Science Laboratory)  “21 세기를 위한 기술들 ” ( 미국 대통령 직속 국가과학기술위원회 )  Gr-IDS(Graph-based Intrusion Detection System)  “Survivability of Large Scale System”  DARPA ITO(Information Technology Office)

14 IDS Audit Source Data Source Supplier Based Detection Method Detection Timing Audit Trail Analysis System Data Based Network Packet Based Real-Time Virtual Real-Time Non Real-Time Anomaly Based Misuse Based Single Host Based Multi Host Based Network Based Single Analysis Cooperative Analysis Responsiveness Active Passive Host/Network Based Classification of IDS (1/3)

15 Network Based IDS Multihost Based IDS Single Host Based IDS Internet IDS System 네트워크 패킷 시스템 로그, 시스템 콜  침입판정 데이터 소스 기반 Classification of IDS (2/3)

16  침입판정 모델 기반 Anomaly Detection 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 정해진 모델을 벗어나는 경우를 침입으로 간주 구현 비용이 큼 Misuse Detection 시스템과 응용프로그램의 취약점을 이용한 공격 을 탐지 정해진 모델과 일치하는 경우를 침입으로 간주 Auditing 정보에 대한 의존도가 높음 Hybrid Detection anomaly 와 misuse detection 을 모두 사용 침입탐지비용 공격의 복잡도 Misuse Anomaly Classification of IDS (3/3)

17  Misuse Detection Model Based on the pattern of known misuse or abnormal behavior Types of IDS Models  Anomaly Detection Model Based on the database of normal behavior System profile Update profile Generate new profiles dynamically Statistically deviant? Audit data Compromised state System profile Modify existing rule Add new rules Rule match? Timing information Audit data Compromised state

18  Misuse Detection Model Efficient but hard to detect new intrusion patterns Possible to draw false negative detection Expert System, State Transition Analysis, Key Stroke Monitoring, Model Based Approach  Anomaly Detection Model High Cost, but capable of detecting unknown intrusions Possible to draw false positive detection Statistical Approaches, Predictive Pattern Generation, Neural Network Hard to set a threshold value Characteristics of ID Models

19 Misuse DM : Expert System  Compare the Audit Trail Event to the set of rules established  Exploit If-then-else rule if Event-x? no Yes if Event-x? no Yes if Event-x? no Yes if Event-x? no Yes Attack

20 Misuse DM : Keystroke Monitoring  Compare the key inputs to the set of attack patterns established  Need for Semantic Analysis in order to get less false detection m v a p s w s d 1. mv passwd 2. cp passwd 3. finger 4. su 5. whoami mv p a s s w d Comparison

21 Misuse DM : Model Based  Generate Scenario of Intrusion Pattern and compare the audit event  Consist of three modules  Anticipator : Anticipate the next event to consider as an intrusion by exploiting active scenario database  Planner : Analyze the effects of the event and formatting  Interpreter : Locate information from audit trail Event planner anticipator Attack scenarios database Audit trail  Analyze the effect of hypothesized behavior from the Audit data  Interpret to the System dependent audit trail data

22 Misuse DM : State Transition Analysis  Represent the status of intrusion in state transition diagram  State changes are made by analyzing the data and condition is true  If current status is in a compromised state, then attacked ABC Standard access User create file User execute file TRUE

23  Generate statistically anticipated activity profile that includes normal behavior – CPU time, Network Connections, etc.  Detect the activities deviated from the profiled data  Gradually build the user’s behavior by learning  Periodically monitor against the profiled data activity monitoring Generate Profile Evaluate Abnormality Against profiled data Activity intensity File access I/O activity Login frequency CPU usage Anomaly DM : Statistical Approach

24 Anomaly DM : Predictive Pattern Generation  Represent the predictive patterns(probable events) based on already occurred events  Sensitive because only high quality rules remain and low quality rules are removed  Only those represented as rules are considered E1E2 E3=80% E4=15% E5=5%

25 Anomaly DM : Neural Network  Profile generated by neural learning is used to anticipate next action of intrusion  Orthogonal to statistical results  False detection(positive/negative) occurs according to the amount of learning data  Intruder may use learning activities over time vi pwd chmod ls Stored Commands Next predicted command Neural Network

26 Others : Dennings Model  Expert System Independent of System or Input type  Consists of three components :  Event Generator – events from audit trail, network packet, application trail  Activity Profile – Generate by statistical Method  Rule Set – Inference mechanisms Event Generator Activity ProfileRule Set Generate New Profiles Dynamically Update Profile Generate Anomaly Record CLOCK Assert New Rules Modify Existing Rules

27 Others : Autonomous Agent  Distributed IDS that are independently works  Consist of agents that collect audit data  Transceiver - Access point to the external network  Monitor – Control agents and analyze intrusion data  Optimistic responsiveness to intrusion Agent transceiver monitor

28  Data Collection  호스트 로그 정보 수집  프로그램 / 프로세스의 변수  멀티호스트간 로그 정보 수집  호스트간 통신 필요  네트워크 패킷 수집  패킷 수집 및 프로토콜 해석 기술  Data Reduction  Raw 데이터로부터 의미있는 정보로 가공  실시간 침입판정을 위한 최소한의 정보  자체의 Audit Record 로서의 의미  IDES Audit Record Format  ASAX(Advanced Security audit trail Analyzer on uniX)  NADF(Normalized Audit file Format) Technical Requirements of IDS (1/3)

29  Intrusion Analysis & Detection Engine  침입탐지 시스템의 핵심기술  Anomaly Detection Engine  Misuse Detection Engine  SRI/CSL IDES  Statistical Anomaly Detector  Expert System  침입탐지의 정확도  False Negative(Type I Error)  False Positive(Type II Error)  Report & Responses  침입 발견시 즉각적으로 보고 및 해당 조치 사항 수행  침입 진행 상황 보고  침입 재연 기능 Technical Requirements of IDS (2/3)

30 1. 정보수집 (Data Collection) (Data Collection) 2. 정보가공 및 축약 (Data Reduction) (Data Reduction) 3. 침입 분석 및 탐지 (Analysis & Detection) (Analysis & Detection) 4. 보고 및 조치 (Report & Response) (Report & Response) Host MultiHost Network Misuse Anomaly Technical Requirements of IDS (3/3)

31 사용자 인터페이스 축약된 감사 기록 형태 (Audit Data Reduction Format) 침입 탐지 결과 침입탐지 결과 데이터 브라우징 (Browsing) 비정상적행위탐지 (Anomaly Detection) 오용탐지 (Misuse Detection) 통계적인 방법 Statistical 특징추출방법 Feature Selection 예상되는 패턴생성 Predictive Pattern Generation 신경망 Neural Network 규칙기반 전문가시스템 Rule-Based Expert System 상태전이분석 State Transition Analysis 모델기반 방법 Model-Based 패트리 넷 Coloured Petri-Net 침입 분석 / 탐지 엔진 Profile Rule-Base 탐지결과조정 침입 처리 정해진 대응 조치 지시 React 축약된 감사 데이터 보관소 탐지 결과 데이터 보관소 데이터 관리 인터페이스 축약된 감사 기록 저장 탐지결과 저장 축약된 감사 기록 추출 탐지결과 추출 Design Examples (1/2)

32 Admin Report & Resppnse Audit Data Collection H-EngineC-Engine Target System Lists Intrusion Detection Audit DB Log Daemon Intrusion Pattern DB Pre-filtering Audit Data Reduction Mail Daemon Admin Interface 신분확인신분확인무결성검사무결성검사보안관리보안관리 Target Network Design Examples (2/2)