LINUX SECURITY - 침 입 탐 지 - 네트워크 실험실 김 윤 수 2018-12-07 #

목 차 칩입탐지란 무엇인가? 침입탐지의 기본개념 침입탐지도구 2018-12-07 #

침입탐지 무엇인가? 침입탐지란 자동화되고 지능적인 도구를 사용하여 실시간으로 침입 시도를 발견해 내는 것을 의미. 규칙기반시스템(rule-based system) 알려진 공격 방법과 공격서명(signature)의 데이타베이스와 라이브러리에 기반. 도착하는 트래픽에서 특정기준이다 규칙이 발견되면 침입시도로 표시. 규칙이 너무 한정되면 비슷하지만 완전히 동일하지 않은 공격들은 빠져나간다 적응시스템(adaptive system) 인공지능같은 보다 진보된 기술을 사용하여 알려진 공격서명을 인식할 뿐만 아니라 새로운 것을 학습할 수 있다. 너무 비용이 많이 드는 점과 주로 실험환경에서 사용 유지가 힘들며 수학과 통계학에 고등지식 요구 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

침입 탐지의 기본 개념 규칙기반시스템 선점형방법(preemptory) 반응형방법(reactionary) 실제 네트워크 트래픽을 감시하고 있다가 의심스러운 활동(특정 패킷 플러드등)이 발견되면 적당한 행동을 취한다. 반응형방법(reactionary) 실제 트래픽을 감시하는 대신에 로그를 감시하고 있다가 의심스러운 행동이 발견되면 적당한 행동을 취한다. 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

chkwtmp(1) wtmp를 분석하여 삭제된 항목을 출력한다. 필요조건:C 설정파일:없음 보안사항:없음 주의사항:없음 http://sunsite.ics.forth.gr/pub/systools/chkwtmp/chkwtmp-1.0.tar.gz 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

tcplogd(2) stealth scan을 탐지 필요조건 : C 설정파일 : tcplogd.init 보안사항 : 없음 주의사항 : 없음 http://www.kalug.lug.net/tcplogd NMAP/QueSo/Saint 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

snort(3) libpcap기반의 피킷 필터 기능과 스니퍼 기능, 그리고 기본적인 네트워크 침입 기능을 발견해 낼수 있는 기능 필요조건 : libpcap, libc.so.6, 인텔 리눅스 설정파일 : 사용자 정의 규칙파일(RULES.SAMPLE)과 snort.conf 보안사항 : 없음 주의사항 : 이종의 네트워크에서도 사용(Samba를 통해서 윈도우 워크스테이션으로 경고메시지 전송) http://www.clark.net/~roesch/security.html 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

HostSentry(4) Abacus Project의 일부분으로 비정상적인 로그인을 감시하는 침입탐지 도구 필요조건 : Python(dbm/gdbm과 syslog가 지원) 설정파일 : hostsentry.conf, hostsentry.modules, hostsentry.ignore, hostsentry.action 보안사항 : 없음 주의사항 : 없음 이상한 행동/시간예외/로케일 예외 http://www.psionic.com/abacus/hostsentry 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

shadow(5) stealth scan을 탐지 로렌스 버클리 연구소/NSWC 필요조건 : C, Perl, libpcap, tcpdump, tcpslice, Apache, SSH 설정파일 : 많음. 문서파일참조 보안사항 : 없음 주의사항 : 없음 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

MOM(6) MOM은 전체 네트워크 감시를 위한 강력한 분신 침입탐지 도구(http://www.biostat.wisc.edu/~annis/mom) 필요조건 : C, Perl 5.003, Perl/Tk(GUI 사용시) 설정파일 : 많음. 문서파일참조 보안사항 : 없음 작동 주프로세서는 중앙시스템에서 실행되면서 다른 호스트에 있는 자식 프로세스로부터 데이터를 받아 결과 출력 다른호스트에는 자식 클라이언트 프로세스가 생성된다. 이 프로세스튼 이상이 발견되면 부모 프로세스로 정보를 전달 모든 호스트에서 다양한 관리,분석, 침입발견 작업을 수행하기 위해 다양한 대리인을 실행 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

HummingBird 시스템(6) 몇 개이 호스트간에 침입 발견 정보와 보안을 분산할 수 있는 기능을 제공하는 복합적인 툴킷. 필요조건 : g++, perl 5+, 아파치, Kerberos 설정파일 : 많음. 문서파일참조 보안사항 : 없음 http://www.csds.uidaho.edu/~hummer/ 특징 각 시스템의HummingBird시스템은 어떠한 행동이 취해졌는지 로그 정보를 서버로 보고하고, 다른 Hummingbird의 정보를 중계한다. 이러한 행동을 중앙화된 웹 기반 인터페이스를 통해서통제할 수 있다. 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-07 #

AAFID(7) 네트워크 안에 있는 호스트들의 기능을 감시하기 위하여 대리인을 사용하는 분산 감시및 침입발견 시스템 필요조건 : C, Perl 5.004, Data::Dumper, Log::Topics, MD5, Perl/싸(4.2 or 8.0), Perl IO 모듈(IO::File, IO::Handle 등)과 Perl Socket 모듈 설정파일 : 많음. 문서파일참조 보안사항 : 없음 주의사항 : Perl모듈 사용법을 잘 알아야 한다. http://www.cs.purdue.edu/coast/projects/aafid-announce.html 2018-12-07 #

침입 발견에 관한 문서(8) A Framework and Prototype for a Distributed Intrusion Detection System, Diego Zamboni and E.H. Spafford, Dept of Computer Science , Purdue University. http://www.cs.purdue.edu/coast/projects/autonomous-agents.html. A pattern matching Model for Misuse Intrusion Detecton, Kumar and Spafford. http://www.raptor.com/lib/ncscpdf. An Application of Pattern Matching in Intrusion Detecton, Kumar and Spafford. http://www.raptor.com/lib/ncsc.94.ps An Architecture for Intrusion Detection using Autonomous Agents, ftp://coast.cs.purdue.edu/pub/COAST/papers/diego-zamboni/zamboni9805.px An Evening with Berferd: In Which a Cracker is Lured, Endured, and Studied, Bill Cheswick http://www.alw.nih.ogv/security/FIRST/papers/general/berferd.ps 2018-12-07 #