Firewall & N-IDS 김창현

목차 Network 보안의 필요성 Firewall 과 N-IDS의 이해 Firewall (IPTABLES) N-IDS (Snort)

Network 보안의 필요성 업무환경이 Internet, Intranet으로의 이동 네트워크 대역폭 증가 대부분의 업무 시스템에 연결 가능 네트워크 대역폭 증가 데이터의 이동이 저장 매체에서 네트워크로 대체 Internet등 네트워크서비스 증가

Network 보안의 필요성 해킹 발생건수 및 추이 해킹 피해 발생 건수(US, Cert/CC, 1988년~2005년)

Network 보안의 필요성 국내 피해 업종 내용 온라인 쇼핑물 설 대목 거래 중단 업체당 2~5억 항공/ 여행 스케줄 조회 불가, 예약 취소 은행/ 증권 일일 300만건 거래되는 인터넷 뱅킹 마비 PC방 인터넷 불능으로 약 225억원 피해 2003년 1월 25일 슬래머 웸에 대한 피해

Firewall 과 N-IDS의 이해 비 인가된 인원 차단 => Firewall

Firewall 과 N-IDS의 이해 내부 감시 => N-IDS

Firewall 과 N-IDS의 이해 N-IDS Firewall Internet

Firewall 과 N-IDS의 이해 Firewall 외부에서 내부 네트워크로 유입되는 패킷의 운명을 결정하는 보안솔류션 허락되어진 패킷은 내부 네트워크로 보냄 허락되어지지 않은 패킷은 버림

Firewall 과 N-IDS의 이해 Firewall 동작 REJECT!! Checking… ACCEPT!! Firewall Dest Port: 80 Dest Port: 23 ACCEPT Dest Port: 80 Dest Port: 21 REJECT Dest Port: ALL

Firewall (IPTABLES) IPTABLES

Firewall (IPTABLES) IPTABLES 리눅스 환경의 대표적인 방화벽 설정 툴 Kernel ver.2.2에서는 IPCHAIN이었으나 ver.2.4에서 더 강력해진 IPTABLES로 대체 Packet Filtering은 Kernel의 Netfilter기능을 이용하고 IPTABLES은 Netfilter의 정책을 세팅하는 툴 Kernel Level의 처리로 오버헤드가 작음

Firewall (IPTABLES) IPTABLES 구성 LINUX SYSTEM INPUT OUTPUT FORWARD

Firewall (IPTABLES) INPUT Chain OUTPUT Chain FORWARD Chain 패킷이 시스템에 유입될 때 거치는 정책 체인 OUTPUT Chain 패킷이 시스템으로부터 나갈때 거치는 정책체인 FORWARD Chain 목적지가 현 시스템이 아닌 다른 시스템일때 거치는 정책체인

Firewall (IPTABLES) 예제: INPUT Drop: Dest Port 80 LINUX SYSTEM INPUT OUTPUT P: 21 P: 80 FORWARD

Firewall (IPTABLES) IPTABLES의 사용예 -A : 체인 지정 -p : 프로토콜 지정 root@localhost# iptables -A INPUT –p TCP –d 192.168.1.3 –-dport 80 \ -j DROP -A : 체인 지정 -p : 프로토콜 지정 -s : 소스 어드레스 지정 -d : 목적 어드레스 지정 --sport : 소스 포트 지정 --dport : 목적 포트 지정 -j : 부합되는 패킷에 취할 정책 ACCEPT, DROP, REJECT

Firewall (IPTABLES) 자세한 설명 Http://www.lastking.net/2 IPTABLES 에서 MASQ and FORWARD and MANGLE 설명 Http://www.lastking.net/3 IPTABLES 로그 정책 설명 Http://www.lastking.net/4

Firewall (IPTABLES) 실습1 실습2 목적지 포트 80으로 접근하는 전체 호스트에 대하여 접근 차단 root@localhost# iptables -A INPUT –p TCP –-dport 80 -j DROP root@localhost# iptables -A INPUT –p TCP –s 192.168.1.3 –-dport 80 \ -j DROP

N-IDS (Snort) IDS(Intrusion Detection System) IDS의 종류 컴퓨터자원의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템 IDS의 종류 H IDS : Host기반의 침입탐지 시스템 N IDS : Network기반의 침입탐지 시스템

N-IDS (Snort) 비정상적 탐지기법 사용자의 패턴을 분석하여 비정상적 행위에 대해 탐지 장점: 알려지지 않은 방법의 침입탐지가능 단점: 정상과 비정상의 경계가 모호 오용탐지 기법 알려진 침입탐지 기법을 기반 장점: 탐지율이 높음 단점: 알려지지 않은 기법에 대하여 탐지불능

N-IDS (Snort) 소프트웨어 기반 N-IDS 하드웨어 기반 N-IDS 저비용으로 구축할 수 있음 감시 룰 업데이트가 용이함 대량의 트래픽에 대하여 많은 오버헤드가 발생 대표적으로 Snort가 이에 해당 하드웨어 기반 N-IDS 소프트웨어 보다 비용이 많이 듬 대량의 트래픽에 대하여 작은 오버헤드로 처리 여러 벤더들이 장비와 함께 제품을 판매

N-IDS (Snort) Snort

N-IDS (Snort) Snort 리눅스 기반의 대표적인 네트워크 침입탐지 시스템 오픈소스프로젝트로 진행중이며 http://www.snort.org 에서 다운가능 Telnet, Http, FTP, SMTP, POP, NFS등 다양한 프로토콜의 감시룰 제공

N-IDS (Snort) Snort의 구성 RULE HTTP FTP TELNET SMTP ETC… Matching Engine

N-IDS (Snort) HTTP RULE STRING: ATTACK 로그 및 통지 A T C K

N-IDS (Snort) Snort의 제공 기능 STRING MATCHING뿐만 아니라 프로토콜 헤더의 플래그 및 옵셋 매칭기능 제공 최신 공격유형이 포함된 업데이트된 룰파일을 주기적으로 배포 포트스케닝, 취약점 스케닝등의 스케닝 감지 분절된 패킷의 처리 기능

Thank you!