Intrusion Detection System (IDS) 실습

Slides:



Advertisements
Similar presentations
제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
Advertisements

침입 방지 시스템 (IPS) 최정환 남영석 방철규 전인철 조용진.
Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석.
COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 10월.
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
8 스니핑.
任員 在·不在 案內 시스템.
㈜맥스무비 영화관 발권 전산망 시스템.
개인정보의 안전한 관리 방안 보안전략연구소 박나룡.
연구활동종사자 교육ㆍ훈련 수강방법 사무처 안전관리실
조준희 (Cho, Junhee) TCP/IP 조준희 (Cho, Junhee)
Chapter 03. 네트워크 보안 : 길을 지배하려는 자에 대한 저항
Chapter 8 Authorization
1. 스푸핑 공격 - 스푸핑(Spoofing): ‘속이다’ 의 의미.
웹 해킹 기초와 실습.
Asymmetric Link 분석.
Chapter 06. 프로토콜.
보안 시스템 정보 보안 개론 10장.
제 5 장 특별한 용도로 사용될 특수 기능.
NetBIOS 크래킹 7조 최효림/한종민/김재경.
UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 Network 보안과 대책
Network Security - Ethereal 실습
{ ] [ HelpCom 개요 HelpCom이란? HelpCom의 특징
11. 해킹기술 (4) - hacking & security -
Network Security - Wired Sniffing 실습
서버의 종류와 기능 환경공학과 권진희.
Internet Control Message Protocol (ICMP)
Network 네트워크 이론 및 실습 TCP / IP 4장.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
Firewall & N-IDS 김창현.
네트워크 보안 TCP/IP 네트워크통신 개념.
Chapter 02 네트워크에 대한 이해.
PSINet BackBone Network
NAC Test 시나리오 내부단말 통제 보안 BMT 시나리오
11. 해킹기술 (2) - hacking & security -
1. SNMP SNMP(Simple Network Management Protocol)은 네트워크의 중앙집중화된 관리를 목적으로 만들어졌으며, 현재까지 버전 3까지 세가지 버전이 만들어졌다. 각 버전의 차이는 대부분 보안상의 문제에 의한 것이다. SNMP 발전 과정 버전.
Processing resulting output
Web상에서의 Network Management
Chapter 05 목록화.
Network Security Footprint & Scan.
Access Control Lists Access Control List
Chapter 13 사용자 네트워크 보안.
3부 해킹 전 정보 획득 Chapter 6. 풋프린팅과 스캔
2012 인터넷 응용프로그래밍 FTP, MySQL 사용 방법 및 텀 프로젝트용 서버에서 웹페이지 구동 방법 설명
Chapter 14 침입 탐지 및 모니터링.
IP(Internet Protocol)
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
Information Security - Wired Sniffing 실습
Part 04-3 Windows 2000 Server IIS Outlook Express 도메인 사용 관리자
User Datagram Protocol (UDP)
TCP/IP 네트워크 구조 TCP/IP 개요 TCP/IP 프로토콜 한빛미디어(주).
정보보안 및 개인정보 보호의 이해 충청북도교육청.
평가기준 개요 및 보안기능요구사항 사업부 평가사업팀 조규민.
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
8 네트워크 계층 프로토콜 학습 목표 IPv6의 필요성과 헤더 구조를 이해한다. 이동 IP 프로토콜의 터널링 원리를 이해한다.
Linux Security (리눅스 소개)
14 방화벽.
Snort의 구성.
제 11장 User Datagram Protocol(UDP)
정보 INFRA 구축 RF카드를 이용한 고객관리시스템 구축 에클라트소프트.
Part TCP / IP 1. TCP / IP 프로토콜 2. 기본 프로토콜.
제 9 장 ICMP 9.1 메시지 유형 9.2 메시지 형식 9.3 오류 보고 9.4 질의 9.5 검사합 9.6 ICMP 설계
Information Security - Network Scanning.
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
7/25/2019 경계선 방어 기술 공급원 May
Chakra Max V2 Database & System Audit and Protection Soluton
관리자 페이지에서 관리자 승인 1. 정기권 신규고객 1. 로그인 화면 2. 차량등록여부 확인 3. 개인정보 활용 동의
Data Compression 데이터 압축:음성, 비디오, 팩시밀리 전송등과 같은 경우에 중요
Presentation transcript:

Intrusion Detection System (IDS) 실습 Information Security Intrusion Detection System (IDS) 실습

Outline IDS Snort 소개 Snort 실습 IDS 종류 및 탐지 방법 Snort 기능 Snort 구조

Intrusion Detection System (IDS) 네트워크나 시스템의 활동을 감시하여 시스템으로 침입하려 하거나 해를 끼치려 하는 등의 공격을 발견하고 필요한 조치를 취하는 시스템 단순한 접근 제어 기능을 넘어서 침입의 패턴 데이터베이스와 Expert System을 사용해 네트워크나 시스템의 사용을 실시간 모니터링하고 침입을 탐지하는 보안 시스템

IDS Information Source 기준 분류 Host 기반 IDS : OS 감사 자료, 시스템 로그 탐지 트로이 목마 등 네트워크 기반에서 불가능한 침입 탐지 가능 Network 기반 IDS : 네트워크 패킷 탐지 포트 스캐닝 등 호스트 기반에서 탐지 불가능한 침입 탐지 가능 전체 네트워크에 대한 침입 탐지 가능 Hybrid IDS : 네트워크와 호스트 IDS의 장점을 모두 가지고 있음 네트워크와 호스트의 개별 감시 및 통합 감시 가능

IDS IDS Analysis 기준 분류 Misuse Detection(오용 탐지) IDS : 정해진 공격모델과 일치하는 경우 침입으로 간주 상대적으로 오판율이 낮음 침입에 사용된 특정 도구/기술에 대한 분석 가능 Anomaly Detection(비정상 행위 탐지) IDS : 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 정해진 모델을 벗어나는 경우를 침입으로 간주 새로운 침입 유형에 대한 탐지 가능

Snort 1998년 Sourcefire 사 CTO Martin Roesch 발표 공개 네트워크 침입탐지시스템(NIDS) Snort 용어는 sniffer and more 라는 말에서 유래 커뮤니티를 통해 지속적인 탐지 Rule 제공 Multi-Platform(다양한 OS)에서 실행 가능 관리자가 직접 탐지 Rule 설정 가능

Snort 기능(모드) 분류 Sniffer Logger Network IDS Snort Inline 네트워크의 패킷을 읽어 보여주는 기능 패킷 데이터의 id/pass 도청 가능 Logger 모니터링 한 패킷을 저장 로그 기록, 트래픽 디버깅에 유용 Network IDS 침입탐지 시스템 네트워크 트래픽(패킷) 분석, 공격 탐지 기능 Snort Inline 침입방지 시스템 패킷 분석, 공격 차단 가능

Snort 구조 Sniffer : Snort를 통과하는 모든 패킷 수집 Preprocessor : 효율적인 공격 탐지를 위해 몇 가지 플러그인을 먼저 거치며 매칭되는지 확인 Detection Engine : rule 기반의 탐지 엔진, 사전에 정의된 detection rule과 매칭되는지 확인 Logging : 정책에 따라 로그 기록

Snort 설치 APMSETUP adodb Base Snort http://apmsetup.com/download.php https://sourceforge.net/projects/adodb/?source=dir ectory Base https://sourceforge.net/projects/secureideas/postdo wnload?source=dlp Snort https://www.snort.org/downloads

Snort 설치 APMSETUP ID : root PW : apmsetup

Snort 설치 C:\APM_Setup\htdocs에 adodb5 복사 index.php 파일 삭제

Snort 설치 Snort 설치

Snort 설치 C:\APM_Setup\htdocs에 base 복사

Snort 설정 명령 프롬프트로 열기 cmd→cd \snort\schemas

Snort 설정 >mysqladmin –u create snort (snort DB 생성) >mysql –D –u root –p < create_mysql (snort DB에 현재 폴더에 있는 create_mysql 내용 넣음) >mysql –u root –p (mysql 콘솔 로그인) >use snort; (snort DB 선택) >show table; (snort DB 테이블 확인)

Snort 설정

Snort 설정 Base 설정 C:\APM_Setup\htdocs\base\includes\base_actio n.inc.php //include_once("Mail.php"); // r.rioux added for PEAR::Mail //include_once("Mail/mime.php"); //r.rioux added for PEAR::Mail attachments

Snort 설정 http://localhost/base C:\APM_Setup\htdocs\adodb5

Snort 설정

Snort 설정

Snort 설정 base 메인화면

Snort 설정 C:\Snort\etc\snort.conf protvar, ipvar → var / → \

Snort 설정

Snort 설정 # 주석처리

Snort 설정 #database에 추가 output database: alert, mysql, user=root password=apmsetup dbname=snort host=localhost output database: log, mysql, user=root password=apmsetup dbname=snort host=localhost

Snort 설정

Snort 설정 방화벽 해제

Snort 실행 snort -W

Snort 실행 snort -c [설정파일] -l [로그경로] -i [네트워크 카드 번호] snort -c C:\Snort\etc\snort.conf -l C:\Snort\log -i 1

Snort Rule 구조 Rule은 Header, Option으로 구성 됨

Snort Rule 구조 action protocol IP address port direction alert : Alert 발생시킴, 패킷 기록 log : 패킷 기록 pass : 패킷 무시 protocol TCP, UDP, ICMP, IP IP address 임의의 주소 any 또는 IP 주소 지정 특정 호스트만 지정 : 192.168.1.10/32 동시에 여러 IP 지정 192.168.1.0/24, 172.16.0.0/16 port 임의의 주소 any 또는 port 번호 지정 포트 범위 지정 ‘:’ 사용 direction 패킷 방향 나타내는 기호 -> 좌측 송신자, 우측 수신자 <> 송수신자 구별없이 지정한 IP 사이의 모든 패킷 대상

Snort Rule 구조 option

Snort 실습 C:\snort\rules 폴더에 user.rules 파일을 만들고 alert icmp any any -> any any (msg:"ICMP TEST"; sid:50001;) 를 추가 C:\Snort 에는 so_rules라는 파일을 만들어서 50001 || ICMP TEST 를 추가

Snort 실습 다른 PC에서 ping 보내기

Snort 실습

실습 오늘 실습 한 것과 특정 포트 (예:http, ftp)로 전송된 패킷을 받으면 alert 되도록 rule 설정한 결과 캡쳐 p37에 있는 Rule 분석 보고서에 설정한 rule과 탐지된 결과 및 분석 결과 첨부 E-mail 제출 : daeunlee@khu.ac.kr (5/15 자정까지) 보고서 제목 : [정보보호]hw3_학번_이름.hwp 메일 제목 : [정보보호]hw3_학번_이름

실습 Detection Engine : Rules

Snort 실행 옵션 options Decription -A Alert 모드를 fast, full, none 중의 하나로 지정 스노트를 데몬 모드로 실행 -F <bpf> BPF 필터링 식을 <bpf>로 지정된 파일에서 읽어온다. -h <hn> 홈네트워크 변수 HOME_NET 을 <hn> 의 값으로 셋팅 -n <cnt> <cnt> 개의 패킷만을 모니터링하고 프로그램을 종료 -N 로깅 기능을 사용하지 않는다. Alert 만이 저장 -o 룰셋 테스트 순서를 Pass, Alert, Log 순으로 변경 -p 난잡모드 (promicuous) 를 사용하지 않고 스니핑 -r <tf> <tf>로 지정된 tcpdump 파일의 패킷 읽어 들임 -V 버전 정보를 표시 -X 링크 레이어의 law 패킷 데이터를 덤프 -e 두번째 레이어의 헤더 정보를 프린트 -d 어플리케이션 레이어를 덤프 -? 도움말 표시 <filter options> 위치에 지정되는 필터링 옵션은 tcpdump 같이 BPF 를 사용