Chapter 14 침입 탐지 및 모니터링.

Slides:



Advertisements
Similar presentations
침입 방지 시스템 (IPS) 최정환 남영석 방철규 전인철 조용진.
Advertisements

오대명 한선규 최민철 지봉욱 정성우. 외부로부터의 불법적인 침입을 막아서 컴퓨터 시스템을 보호하기 위한 방법을 의미한다. 인터넷 망의 연결로 인해 외부로부터의 접근이 가능해져 서 정보 유출이 자주 일어남으로 이를 방지해야 한다. 바이러스의 감염으로 인해 시스템이 손상되지.
Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석.
COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 10월.
제 8장 데이터 보안.
연관규칙기법과 분류모형을 결합한 상품 추천 시스템:
컴퓨터 보안 메커니즘에 기반한 자기 가치감의 셀프힐링
01. 과업의 개요 공간적ㆍ시간적 범위 내용적 범위 과업의 기대효과
Snort & Snorby.
Chapter 03. 네트워크 보안 : 길을 지배하려는 자에 대한 저항
금융 보안 정보통신대학원 양승화 양승화( ).
Chapter 8 Authorization
한드림넷 솔루션 소개.
기획 운영부 개선 방안 기획운영 차장.
“Total system for preventing Information outflow from inside
Chapter 06. 프로토콜.
보안 시스템 정보 보안 개론 10장.
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
Chapter 12 보안 정책, 조직, 솔루션.
11. 해킹기술 (4) - hacking & security -
JDBC 프로그래밍 이수지 이동주 1.
Chapter 08. 네트워크 관리.
Internet Control Message Protocol (ICMP)
Samsung Securities SECURITIES.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
Firewall & N-IDS 김창현.
제10장 지식경영과 지식관리시스템 박 성 수 박 성 수 Cafe: Mobile Phone:
제9장 지식경영과 지식관리시스템 제9장 지식경영과 지식경영시스템.
허영준 한국전자통신연구원 보안게이트웨이연구팀
Intrusion Detection System (IDS) 실습
Part 06 보안 1. Windows 보안 2. Linux 보안 3. 해킹 기술 4. 네트워크 장비 보안 5. 해킹 도구.
네트워크 Level의 기술적 보호조치 엘림넷 정보기술사업팀 장웅.
11. 해킹기술 (2) - hacking & security -
1. SNMP SNMP(Simple Network Management Protocol)은 네트워크의 중앙집중화된 관리를 목적으로 만들어졌으며, 현재까지 버전 3까지 세가지 버전이 만들어졌다. 각 버전의 차이는 대부분 보안상의 문제에 의한 것이다. SNMP 발전 과정 버전.
16 장 LAN 연결, 백본망과 가상 LAN 16.1 연결장비 16.2 백본 네트워크 16.3 가상랜 16.4 요약.
개선된 ATMSim을 이용한 DDoS 공격 분석
S N M P (Simple Network Management System).
Processing resulting output
For Security, For Stability, For Reliability
Data Mining 기법을 이용한 침입탐지 시스템
Chapter 05 목록화.
기업 시스템/네트웍 보안 종합 설계 방안.
Network Security Footprint & Scan.
Chapter 13 사용자 네트워크 보안.
침입 탐지 시스템 침입 탐지 시스템 침입 탐지 시스템의 구조 윈도우 침입 탐지 툴 리눅스 침입 탐지 툴 한빛미디어(주)
DoS와 DDoS 공격 DOS와 DDOS 공격의 이해 DOS 공격의 이해 DDOS 공격의 이해 한빛미디어(주)
15 침입 탐지 시스템.
Part 05 정보 보호 개론 NOS 보안 보안 프로토콜 및 암호와 네트워크 보안 및 정보 보호 제도.
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
Chapter 19 솔라리스 네트워크 관리 Solaris 3 . 네트워크 이중화
15 침입 탐지 시스템.
User Datagram Protocol (UDP)
네트워크 속에서의 정보보안 전 상 대.
평가기준 개요 및 보안기능요구사항 사업부 평가사업팀 조규민.
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
Linux Security (리눅스 소개)
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
Snort의 구성.
11. 시나리오 기반 디자인 2010년 2학기 숙명여자대학교 임순범.
2013년도 상반기 고객만족도 조사 결과 보고서
2013년도 하반기 고객만족도 조사 결과 보고서
제 9 장 ICMP 9.1 메시지 유형 9.2 메시지 형식 9.3 오류 보고 9.4 질의 9.5 검사합 9.6 ICMP 설계
Information Security - Network Scanning.
욕은 나의 삶을 망치는 나쁜 습관이다. '욕하면서 배우고 칭찬하며 닮아간다.'
▶서류관리 프로그램 1. 로그인….2 2. 서류등록 … 서류도착 서류스티커발행
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
7/25/2019 경계선 방어 기술 공급원 May
Data Compression 데이터 압축:음성, 비디오, 팩시밀리 전송등과 같은 경우에 중요
네트워크는 각종 공격들의 위협(Threat)을 받고 있다.
Presentation transcript:

Chapter 14 침입 탐지 및 모니터링

01 침입 탐지 시스템 02 침입 차단 시스템 03 허니팟 04 통합 보안 관리 시스템

침입 탐지 시스템의 기능과 목적을 이해한다. 침입 탐지 시스템을 설치하고 운용할 수 있다. 침입 차단 시스템의 기능과 목적을 이해한다. 허니팟의 기능과 목적을 이해한다. 통합 보안 관리 시스템을 이해한다.

1. 침입 탐지 시스템 침입 탐지 시스템(IDS)의 목적 1.1 침입 탐지 시스템에 대한 이해 DISA(Defence Information System Agency)에서 발표한 미 국방성에 대한 해 킹 통계 자료 네트워크에서 IDS는 경찰과 비슷한 역할(탐지)을 함. 데이터 수집 데이터 필터링과 축약 침입탐지 책임 추적성과 대응

데이터 수집(Raw Data Collection) 1. 침입 탐지 시스템 1.2 침입 탐지 시스템의 기능 데이터 수집(Raw Data Collection) HIDS(Host-based IDS) 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치됨. 설정된 사용자 계정에 따라 어떤 사용자가 어떤 접근, 작업을 했는지 기록을 남기고 추적 호스트 자신이 공격 대상이 될 때만 침입 탐지 가능: 전체 네트워크에 대한 침입 탐지 불 가능 운영체제의 취약점이 HIDS를 손상시킬 수 있으며, 다른 IDS에 비해 많은 비용 필요 NIDS(Network-based IDS) 네트워크에서 하나의 독립된 시스템으로 운용(TCP Dump도 NIDS) 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않음. 네트워크 전반에 대한 감시 가능 IP 주소를 소유하지 않아 해커의 직접적인 공격은 거의 완벽하게 방어 가능 공격당한 시스템에 대한 결과를 알 수 없고, 암호화된 내용을 검사할 수 없음. 스위칭 환경에서 NIDS를 설치하려면 부가 장비가 필요함 1Gbps 이상의 네트워크에서는 정상적으로 작동하기가 힘듦. → 보통 HIDS와 NIDS를 상호 보완적으로 사용

데이터 필터링과 축약(Data Filtering and Reduction) 1. 침입 탐지 시스템 1.2 침입 탐지 시스템의 기능 데이터 필터링과 축약(Data Filtering and Reduction) 보안감사 : HIDS와 NIDS를 통해 쌓은 로그정보를 감시하여 유효성을 확인 수 많은 데이터 중에서 필요한 데이터만 추려내기 위해서 필터링과 축약이 필 요 -> 효과적인 필터링을 위해서 데이터 수집에 대한 규칙을 설정하는 작업이 필요 -> 클리핑 레벨 설정 클리핑 레벨(Clipping Level) 예: 일정 수 이상 잘못된 패스워드로 접속을 요구 하면 로그를 남기도록 하는 것 침입 탐지(Analysis and Intrusion Detection) 오용 탐지(Misuse Detection) Signature Base(시그니처 베이스) 또는 Knowledge Base(날리지 베이스) 방식. 이미 발견되고 정립된 공격 패턴을 미리 입력하여 해당 패턴을 탐지하면 알려주는 것 탐지 오판 확률이 낮고 비교적 효율적 알려진 공격 외에는 탐지할 수 없으며, 많은 데이터를 분석하는 데는 부적합 상태 전이(State Transition) 탐지방식 각각의 공격 상황에 대한 시나리오를 작성하여 각 상태에 따른 공격을 분석

침입 탐지(Analysis and Intrusion Detection) 1. 침입 탐지 시스템 1.2 침입 탐지 시스템의 기능 침입 탐지(Analysis and Intrusion Detection) 이상 탐지(Anomaly Detection)기법 Behavior(비헤이비어) 또는 Statistical Detection(스태티스티컬 디텍션)이라고 함 급격한 변화가 생기거나 확률이 낮은 일이 발생할 경우 침입 탐지로 여겨서 알리는 것 정량 분석, 통계 분석, 비특성 통계 분석 등이 있음. 인공지능 IDS : 공격에 대해 스스로 판단하고 결정을 내려서 알려줌. -> 오판 확률 면역 시스템 IDS : 새로운 공격을 당할 경우 그에 대한 학습함 -> 재 공격 시 대응 -> 재설치를 하면 초기 상태가 되어버림 책임 추적성과 대응(Reporting and Response) 침입 탐지 시스템은 과거에는 공격을 발견하면 알리는 정도였지만, 최근에는 공격을 역추적하는 등 능동적인 기능들이 추가되고 있음. IDS가 실행할 수 있는 능동적인 기능 공격자로 확인된 연결에 TCP Reset 패킷을 보내 연결을 끊음. 공격자의 IP 주소나 사이트를 확인하여 라우터나 방화벽으로 차단 공격 포트를 확인하여 라우터와 방화벽을 설정 심각한 사태에 이르렀을 때는 네트워크 구조 자체를 임시로 바꿈.

1. 침입 탐지 시스템 1.3 침입 탐지 시스템의 구조 IDS의 효과적인 설치 위치(NIDS)

1. 침입 탐지 시스템 IDS의 효과적인 설치 위치(NIDS) 1.3 침입 탐지 시스템의 구조 패킷이 라우터로 들어오기 전(①) 네트워크에 실행되는 모든 공격 탐지 가능 너무 많은 공격에 대한 데이터를 수집하여 정작 치명적인 공격에는 대처가 어려움. 라우터 뒤(②) ①보다 좀더 적은 수의 공격을 탐지하며, 좀더 강력한 의지가 있는 공격자 탐지 가능 방화벽 뒤(③) 탐지되는 공격에 대한 정책과 방화벽과의 연동이 가능하고 내부에서 외부로의 공격자 도 탐지 가능 만약 침입 탐지 시스템을 한 대만 설치할 수 있다면 이곳에 설치해야 함. 내부 네트워크(④) 내부 클라이언트에 의한 내부 네트워크 해킹을 감시할 때 설치 DMZ(⑤) 외부와 내부의 공격자에 의한 데이터 손실이나 서비스 중단을 막기 위해 설치 → HIDS는 유지 관리 비용이 많이 들기 때문에 보통 가장 중요한 시스템에 설치

IDS의 관리 구조-중앙 집중화된 IDS 관리 1. 침입 탐지 시스템 1.3 침입 탐지 시스템의 구조 IDS의 관리 구조-중앙 집중화된 IDS 관리 보안이 아주 중요하고 보안팀을 별도로 운영하는 네트워크에 적합 관리시스템은 보통 DMZ 안에 위치하며, 각 IDS와는 별도의 선으로 통신

IDS의 관리 구조-외부 시스템에 위임된 IDS 관리 1. 침입 탐지 시스템 1.3 침입 탐지 시스템의 구조 IDS의 관리 구조-외부 시스템에 위임된 IDS 관리 설비 및 전문 인력의 부재로 IDS를 설치한 곳에서 중앙 집중화된 관리가 어려 울 경우 외부 침입 탐지 전문가에게 위임하는 형태(관제 서비스가 이와 유사)

1. 침입 탐지 시스템 실습 14-1 Snort 설치하고 운용하기 Snort 설치하기

1. 침입 탐지 시스템 Snort 설치하기 실습 14-1 Snort 설치하고 운용하기 ‘snortrules-snapshot-2900.tar.gz’ 파일의 압축을 풀어 ‘preproc_rule’과 ‘rules’를 복사하여 ‘C:\Snort’ 폴더에 덮어쓰기 실행

1. 침입 탐지 시스템 Snort 설치하기 실습 14-1 Snort 설치하고 운용하기 Snort의 동작 구조 ‘preproc_rules’와 ‘rules’ : 각각 전처리기와 탐색 엔진에서 사용되는 rule ‘so_rules’ : 단순 rule로 탐지가 어려운 것을 위해 C로 만들어진 프로그램

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Snort 설치 디렉토리 아래의 etc 디렉토리에 ‘snort.conf ’ 파일 설정

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Rule과 Preproc_rules의 경로를 윈도우에 맞게 수정(so_rules는 주석 처리)

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Dynamic Preprocessor는 Snort에 새로운 Preprocessor를 추가하는 것으로, 다 음과 같이 설정

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 포트 스캐닝 탐지 툴을 활성화시키기 위해 주석 표시를 제거 Snort 탐지 룰에서 ‘/’ 문자를 윈도우 디렉토리 구분자인 ‘\’로

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Preproc_rule에서 주석 부분을 제거하고, ‘/’ 문자를 윈도우 디렉토리 구분자인 ‘\’로 바꿈.

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 네트워크 인터페이스 확인 snort - W

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 테스트를 수행할 네트워크 인터페이스를 ‘-i’ 옵션으로 선택 Snort 설정 파일을 지정한 뒤 ‘-T’ 옵션으로 테스트를 수행 snort -i 1 -c c:\snort\etc\snort.conf -T

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 실제 Snort가 정상적으로 동작하는지 확인을 위해 C:\Snort\rules\local.rules 파일에서 Snort rule 설정 alert icmp any any -> any any (msg:"Testing ICMP alert"; sid:1000001;) Rule에 사용된 sid는 시그니처의 ID로, 번호 범위에 따라 구분

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 Snort Rule의 구조

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 Snort 실행 snort -i 1 -c c:\snort\etc\snort.conf -l c:\Snort\log -A Console

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 ping을 보내면 설정한 Rule에 따라 Snort에서 경고 메시지를 보냄.

1. 침입 탐지 시스템 Base 설치하기 실습 14-1 Snort 설치하고 운용하기 BASE(Basic Analysis and Security Engine)를 이용하면 웹 환경의 인터페이스 구성 가능 웹 서버 환경을 구성하기 위해 MPMSetup을 다운로드 받아 설치

1. 침입 탐지 시스템 Base 설치하기 실습 14-1 Snort 설치하고 운용하기 PHP와 데이터베이스 연동을 위한 ADOdb를 다운로드 후 C:\APM_Setup\htdocs 폴더에 복사

1. 침입 탐지 시스템 Base 설치하기 실습 14-1 Snort 설치하고 운용하기 BASE 다운로드 받아 압축을 푼 다음, C:\APM_Setup\base 폴더에 복사

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 Snort 데이터베이스 테이블 생성 mysqladmin -u root -p create snort create_mysql을 이용하여 생성한 snort 데이터베이스에 테이블을 생성 mysql -D snort -u root -p < create_mysql

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 생성한 테이블 확인 mysql -u root -p use snort; show tables;

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 웹 브라우저를 통해 http://127.0.0.1/base로 접근 <Continue>를 눌러 5단계 설정 화면 확인

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 1단계 : ABODB 경로 입력(‘C:\APM_Setup\htdocs\adodb’)

1. 침입 탐지 시스템 실습 14-1 Snort 설치하고 운용하기 Base 설정하기 2단계 : 데이터베이스 관련 정보 설정

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 3단계 : BASE에 사용할 계정 생성

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 5단계 : 3단계에서 생성한 아이디와 패스워드 입력

1. 침입 탐지 시스템 Snort와 BASE 연동하기 실습 14-1 Snort 설치하고 운용하기 Snort가 생성하는 로그를 MySQL에 저장하도록 Snort.conf 파일에 MySQL 관 련 정보를 입력 Snort.conf 파일을 수정한 후 Snort를 실행 snort -i 1 -c c:\snort\etc\snort.conf -l c:\Snort\log

1. 침입 탐지 시스템 Snort와 BASE 연동하기 실습 14-1 Snort 설치하고 운용하기 snort 실행 후, ping을 날려보면 BASE에서 해당 사항을 확인할 수 있음.

침입 차단 시스템(Intrusion Prevention System, IPS) 2. 침입 차단 시스템 2.1 침입 차단 시스템의 기능과 목적 침입 차단 시스템(Intrusion Prevention System, IPS) 침입탐지시스템 + 방화벽 기능 방화벽의 한계 새로운 공격에 대한 적응력이 부족하고, 실시간 대응을 할 수 없음 침입탐지시스템의 한계 실시간 탐지는 가능하지만 방화벽과 연동하는 대응 외 차단 대책이 없음 Zero Day Attack : 취약점이 발표되면 빠른 시간 내에 공격하는 웜이 개발 -> 새로운 공격에 신속히 대처하기 위해 IPS가 필요

2. 침입 차단 시스템 IPS 개념 2.1 침입 차단 시스템의 기능과 목적 패킷을 검사하여 패턴을 분석한 후 비정상 트래픽을 차단 -> 신종 웜이라도 패 턴과 특성을 비교하여 차단 가능

침입 차단 시스템(Intrusion Prevention System, IPS) 2. 침입 차단 시스템 2.1 침입 차단 시스템의 기능과 목적 침입 차단 시스템(Intrusion Prevention System, IPS) 일반적으로 방화벽 다음에 설치 네트워크의 변형이 불필요하기 때문에 다 른 보안 솔루션보다 설치하기 간편 최근에는 방화벽 없이 IPS만 설치하기도 함. (높은 성능을 내기 위해 소프트웨어를 하드 웨어 칩으로 만든 ASIC를 많이 이용)

3. 허니팟 허니팟(HoneyPot) 3.1 허니팟의 이해 꿀단지처럼 해커를 유인해서 해커의 정보를 얻거나 잡으려고 설치 1990년대 중반 미국 매사추세츠 공과대학 교수 데이비드 클록이 처음 제안 1999년 썬마이크로시스템즈의 컴퓨터 보안 전문가인 랜스 스피츠너와 2002년 소프트웨어 제조회사인 SAIC가 실제 프로젝트 시행

3. 허니팟 허니넷(HoneyNet) 허니팟의 요건 3.1 허니팟의 이해 허니팟을 포함한 네트워크로 경각심, 정보, 연구를 목적으로 함. 허니팟의 요건 해커에게 쉽게 노출된다. 쉽게 해킹이 가능한 것처럼 취약해 보인다. 시스템의 모든 구성 요소를 갖추고 있다. 시스템을 통과하는 모든 패킷을 감시한다. 시스템에 접속하는 모든 사람에 대해 관리자에게 알려준다.

3. 허니팟 허니넷의 구성-(허니넷 GEN-Ⅰ) 3.1 허니팟의 이해 분당 다섯 개 정도의 연결만 허용 자동화된 툴의 공격과 웜 공격에 대한 정보 수집에 좋은 성능을 보이며, DoS나 무차별적 스캐닝 공격을 막을 수 있음. 보통 방화벽으로 iptables를 사용하고 침입 탐지 시스템은 Snort를 이용

3. 허니팟 허니넷의 구성-(허니넷 GEN-Ⅱ) 3.1 허니팟의 이해 허니넷 센서로 Hogwash(호그와시) 라는 2계층의 IDS 게이트웨이 추가 설치 IDS 게이트웨이는 Snort를 이용해 공격으로 탐지되는 패킷을 2계층에 서 차단 라우팅 정보의 변경을 통한 접근 제 어를 하지 않으며, 방화벽의 필터링 기능과 IDS의 침입 탐지 기능을 결 합한 것

통합 보안 관리 시스템(Enterprise Security Management, ESM) 4. 통합 보안 관리 시스템 4.1 통합 보안 관리 시스템에 대한 이해 통합 보안 관리 시스템(Enterprise Security Management, ESM) 방화벽, 침입 차단 시스템, 침입 탐지 시스템, 가상 사설망 등 다양한 종류의 보 안 솔루션 로그 및 일반 시스템의 로그를 하나로 통합해 관리하는 솔루션

4. 통합 보안 관리 시스템 4.1 통합 보안 관리 시스템에 대한 이해 통합 보안 관리 시스템의 구성

4. 통합 보안 관리 시스템 통합 보안 관리 시스템의 구성 통합 보안 관리 시스템의 특징 4.1 통합 보안 관리 시스템에 대한 이해 통합 보안 관리 시스템의 구성 관리 콘솔 : 정책 설정, 침해 사고 모니터링, 분석, 경보, 보고서 생성 등 매니저 : 관리 콘솔에서 설정한 정책 적용, 데이터를 취합 및 저장, 분석 에이전트 : 방화벽, 침입 탐지 시스템, 침입 차단 시스템, 일반 서버에 설치되어 관련 로그를 수집한 뒤 매니저에게 보냄. 통합 보안 관리 시스템의 특징 보안 정책의 일관성 유지 통합 보안 관리 인프라 구축 효과적인 침해사고 대응