Chapter 14 침입 탐지 및 모니터링

01 침입 탐지 시스템 02 침입 차단 시스템 03 허니팟 04 통합 보안 관리 시스템

침입 탐지 시스템의 기능과 목적을 이해한다. 침입 탐지 시스템을 설치하고 운용할 수 있다. 침입 차단 시스템의 기능과 목적을 이해한다. 허니팟의 기능과 목적을 이해한다. 통합 보안 관리 시스템을 이해한다.

1. 침입 탐지 시스템 침입 탐지 시스템(IDS)의 목적 1.1 침입 탐지 시스템에 대한 이해 DISA(Defence Information System Agency)에서 발표한 미 국방성에 대한 해 킹 통계 자료 네트워크에서 IDS는 경찰과 비슷한 역할(탐지)을 함. 데이터 수집 데이터 필터링과 축약 침입탐지 책임 추적성과 대응

데이터 수집(Raw Data Collection) 1. 침입 탐지 시스템 1.2 침입 탐지 시스템의 기능 데이터 수집(Raw Data Collection) HIDS(Host-based IDS) 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치됨. 설정된 사용자 계정에 따라 어떤 사용자가 어떤 접근, 작업을 했는지 기록을 남기고 추적 호스트 자신이 공격 대상이 될 때만 침입 탐지 가능: 전체 네트워크에 대한 침입 탐지 불 가능 운영체제의 취약점이 HIDS를 손상시킬 수 있으며, 다른 IDS에 비해 많은 비용 필요 NIDS(Network-based IDS) 네트워크에서 하나의 독립된 시스템으로 운용(TCP Dump도 NIDS) 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않음. 네트워크 전반에 대한 감시 가능 IP 주소를 소유하지 않아 해커의 직접적인 공격은 거의 완벽하게 방어 가능 공격당한 시스템에 대한 결과를 알 수 없고, 암호화된 내용을 검사할 수 없음. 스위칭 환경에서 NIDS를 설치하려면 부가 장비가 필요함 1Gbps 이상의 네트워크에서는 정상적으로 작동하기가 힘듦. → 보통 HIDS와 NIDS를 상호 보완적으로 사용

데이터 필터링과 축약(Data Filtering and Reduction) 1. 침입 탐지 시스템 1.2 침입 탐지 시스템의 기능 데이터 필터링과 축약(Data Filtering and Reduction) 보안감사 : HIDS와 NIDS를 통해 쌓은 로그정보를 감시하여 유효성을 확인 수 많은 데이터 중에서 필요한 데이터만 추려내기 위해서 필터링과 축약이 필 요 -> 효과적인 필터링을 위해서 데이터 수집에 대한 규칙을 설정하는 작업이 필요 -> 클리핑 레벨 설정 클리핑 레벨(Clipping Level) 예: 일정 수 이상 잘못된 패스워드로 접속을 요구 하면 로그를 남기도록 하는 것 침입 탐지(Analysis and Intrusion Detection) 오용 탐지(Misuse Detection) Signature Base(시그니처 베이스) 또는 Knowledge Base(날리지 베이스) 방식. 이미 발견되고 정립된 공격 패턴을 미리 입력하여 해당 패턴을 탐지하면 알려주는 것 탐지 오판 확률이 낮고 비교적 효율적 알려진 공격 외에는 탐지할 수 없으며, 많은 데이터를 분석하는 데는 부적합 상태 전이(State Transition) 탐지방식 각각의 공격 상황에 대한 시나리오를 작성하여 각 상태에 따른 공격을 분석

침입 탐지(Analysis and Intrusion Detection) 1. 침입 탐지 시스템 1.2 침입 탐지 시스템의 기능 침입 탐지(Analysis and Intrusion Detection) 이상 탐지(Anomaly Detection)기법 Behavior(비헤이비어) 또는 Statistical Detection(스태티스티컬 디텍션)이라고 함 급격한 변화가 생기거나 확률이 낮은 일이 발생할 경우 침입 탐지로 여겨서 알리는 것 정량 분석, 통계 분석, 비특성 통계 분석 등이 있음. 인공지능 IDS : 공격에 대해 스스로 판단하고 결정을 내려서 알려줌. -> 오판 확률 면역 시스템 IDS : 새로운 공격을 당할 경우 그에 대한 학습함 -> 재 공격 시 대응 -> 재설치를 하면 초기 상태가 되어버림 책임 추적성과 대응(Reporting and Response) 침입 탐지 시스템은 과거에는 공격을 발견하면 알리는 정도였지만, 최근에는 공격을 역추적하는 등 능동적인 기능들이 추가되고 있음. IDS가 실행할 수 있는 능동적인 기능 공격자로 확인된 연결에 TCP Reset 패킷을 보내 연결을 끊음. 공격자의 IP 주소나 사이트를 확인하여 라우터나 방화벽으로 차단 공격 포트를 확인하여 라우터와 방화벽을 설정 심각한 사태에 이르렀을 때는 네트워크 구조 자체를 임시로 바꿈.

1. 침입 탐지 시스템 1.3 침입 탐지 시스템의 구조 IDS의 효과적인 설치 위치(NIDS)

1. 침입 탐지 시스템 IDS의 효과적인 설치 위치(NIDS) 1.3 침입 탐지 시스템의 구조 패킷이 라우터로 들어오기 전(①) 네트워크에 실행되는 모든 공격 탐지 가능 너무 많은 공격에 대한 데이터를 수집하여 정작 치명적인 공격에는 대처가 어려움. 라우터 뒤(②) ①보다 좀더 적은 수의 공격을 탐지하며, 좀더 강력한 의지가 있는 공격자 탐지 가능 방화벽 뒤(③) 탐지되는 공격에 대한 정책과 방화벽과의 연동이 가능하고 내부에서 외부로의 공격자 도 탐지 가능 만약 침입 탐지 시스템을 한 대만 설치할 수 있다면 이곳에 설치해야 함. 내부 네트워크(④) 내부 클라이언트에 의한 내부 네트워크 해킹을 감시할 때 설치 DMZ(⑤) 외부와 내부의 공격자에 의한 데이터 손실이나 서비스 중단을 막기 위해 설치 → HIDS는 유지 관리 비용이 많이 들기 때문에 보통 가장 중요한 시스템에 설치

IDS의 관리 구조-중앙 집중화된 IDS 관리 1. 침입 탐지 시스템 1.3 침입 탐지 시스템의 구조 IDS의 관리 구조-중앙 집중화된 IDS 관리 보안이 아주 중요하고 보안팀을 별도로 운영하는 네트워크에 적합 관리시스템은 보통 DMZ 안에 위치하며, 각 IDS와는 별도의 선으로 통신

IDS의 관리 구조-외부 시스템에 위임된 IDS 관리 1. 침입 탐지 시스템 1.3 침입 탐지 시스템의 구조 IDS의 관리 구조-외부 시스템에 위임된 IDS 관리 설비 및 전문 인력의 부재로 IDS를 설치한 곳에서 중앙 집중화된 관리가 어려 울 경우 외부 침입 탐지 전문가에게 위임하는 형태(관제 서비스가 이와 유사)

1. 침입 탐지 시스템 실습 14-1 Snort 설치하고 운용하기 Snort 설치하기

1. 침입 탐지 시스템 Snort 설치하기 실습 14-1 Snort 설치하고 운용하기 ‘snortrules-snapshot-2900.tar.gz’ 파일의 압축을 풀어 ‘preproc_rule’과 ‘rules’를 복사하여 ‘C:\Snort’ 폴더에 덮어쓰기 실행

1. 침입 탐지 시스템 Snort 설치하기 실습 14-1 Snort 설치하고 운용하기 Snort의 동작 구조 ‘preproc_rules’와 ‘rules’ : 각각 전처리기와 탐색 엔진에서 사용되는 rule ‘so_rules’ : 단순 rule로 탐지가 어려운 것을 위해 C로 만들어진 프로그램

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Snort 설치 디렉토리 아래의 etc 디렉토리에 ‘snort.conf ’ 파일 설정

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Rule과 Preproc_rules의 경로를 윈도우에 맞게 수정(so_rules는 주석 처리)

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Dynamic Preprocessor는 Snort에 새로운 Preprocessor를 추가하는 것으로, 다 음과 같이 설정

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 포트 스캐닝 탐지 툴을 활성화시키기 위해 주석 표시를 제거 Snort 탐지 룰에서 ‘/’ 문자를 윈도우 디렉토리 구분자인 ‘\’로

1. 침입 탐지 시스템 Snort 설정하기 실습 14-1 Snort 설치하고 운용하기 Preproc_rule에서 주석 부분을 제거하고, ‘/’ 문자를 윈도우 디렉토리 구분자인 ‘\’로 바꿈.

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 네트워크 인터페이스 확인 snort - W

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 테스트를 수행할 네트워크 인터페이스를 ‘-i’ 옵션으로 선택 Snort 설정 파일을 지정한 뒤 ‘-T’ 옵션으로 테스트를 수행 snort -i 1 -c c:\snort\etc\snort.conf -T

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 실제 Snort가 정상적으로 동작하는지 확인을 위해 C:\Snort\rules\local.rules 파일에서 Snort rule 설정 alert icmp any any -> any any (msg:"Testing ICMP alert"; sid:1000001;) Rule에 사용된 sid는 시그니처의 ID로, 번호 범위에 따라 구분

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 Snort Rule의 구조

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 Snort 실행 snort -i 1 -c c:\snort\etc\snort.conf -l c:\Snort\log -A Console

1. 침입 탐지 시스템 Snort 설정 점검 및 테스트하기 실습 14-1 Snort 설치하고 운용하기 ping을 보내면 설정한 Rule에 따라 Snort에서 경고 메시지를 보냄.

1. 침입 탐지 시스템 Base 설치하기 실습 14-1 Snort 설치하고 운용하기 BASE(Basic Analysis and Security Engine)를 이용하면 웹 환경의 인터페이스 구성 가능 웹 서버 환경을 구성하기 위해 MPMSetup을 다운로드 받아 설치

1. 침입 탐지 시스템 Base 설치하기 실습 14-1 Snort 설치하고 운용하기 PHP와 데이터베이스 연동을 위한 ADOdb를 다운로드 후 C:\APM_Setup\htdocs 폴더에 복사

1. 침입 탐지 시스템 Base 설치하기 실습 14-1 Snort 설치하고 운용하기 BASE 다운로드 받아 압축을 푼 다음, C:\APM_Setup\base 폴더에 복사

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 Snort 데이터베이스 테이블 생성 mysqladmin -u root -p create snort create_mysql을 이용하여 생성한 snort 데이터베이스에 테이블을 생성 mysql -D snort -u root -p < create_mysql

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 생성한 테이블 확인 mysql -u root -p use snort; show tables;

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 웹 브라우저를 통해 http://127.0.0.1/base로 접근 <Continue>를 눌러 5단계 설정 화면 확인

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 1단계 : ABODB 경로 입력(‘C:\APM_Setup\htdocs\adodb’)

1. 침입 탐지 시스템 실습 14-1 Snort 설치하고 운용하기 Base 설정하기 2단계 : 데이터베이스 관련 정보 설정

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 3단계 : BASE에 사용할 계정 생성

1. 침입 탐지 시스템 Base 설정하기 실습 14-1 Snort 설치하고 운용하기 5단계 : 3단계에서 생성한 아이디와 패스워드 입력

1. 침입 탐지 시스템 Snort와 BASE 연동하기 실습 14-1 Snort 설치하고 운용하기 Snort가 생성하는 로그를 MySQL에 저장하도록 Snort.conf 파일에 MySQL 관 련 정보를 입력 Snort.conf 파일을 수정한 후 Snort를 실행 snort -i 1 -c c:\snort\etc\snort.conf -l c:\Snort\log

1. 침입 탐지 시스템 Snort와 BASE 연동하기 실습 14-1 Snort 설치하고 운용하기 snort 실행 후, ping을 날려보면 BASE에서 해당 사항을 확인할 수 있음.

침입 차단 시스템(Intrusion Prevention System, IPS) 2. 침입 차단 시스템 2.1 침입 차단 시스템의 기능과 목적 침입 차단 시스템(Intrusion Prevention System, IPS) 침입탐지시스템 + 방화벽 기능 방화벽의 한계 새로운 공격에 대한 적응력이 부족하고, 실시간 대응을 할 수 없음 침입탐지시스템의 한계 실시간 탐지는 가능하지만 방화벽과 연동하는 대응 외 차단 대책이 없음 Zero Day Attack : 취약점이 발표되면 빠른 시간 내에 공격하는 웜이 개발 -> 새로운 공격에 신속히 대처하기 위해 IPS가 필요

2. 침입 차단 시스템 IPS 개념 2.1 침입 차단 시스템의 기능과 목적 패킷을 검사하여 패턴을 분석한 후 비정상 트래픽을 차단 -> 신종 웜이라도 패 턴과 특성을 비교하여 차단 가능

침입 차단 시스템(Intrusion Prevention System, IPS) 2. 침입 차단 시스템 2.1 침입 차단 시스템의 기능과 목적 침입 차단 시스템(Intrusion Prevention System, IPS) 일반적으로 방화벽 다음에 설치 네트워크의 변형이 불필요하기 때문에 다 른 보안 솔루션보다 설치하기 간편 최근에는 방화벽 없이 IPS만 설치하기도 함. (높은 성능을 내기 위해 소프트웨어를 하드 웨어 칩으로 만든 ASIC를 많이 이용)

3. 허니팟 허니팟(HoneyPot) 3.1 허니팟의 이해 꿀단지처럼 해커를 유인해서 해커의 정보를 얻거나 잡으려고 설치 1990년대 중반 미국 매사추세츠 공과대학 교수 데이비드 클록이 처음 제안 1999년 썬마이크로시스템즈의 컴퓨터 보안 전문가인 랜스 스피츠너와 2002년 소프트웨어 제조회사인 SAIC가 실제 프로젝트 시행

3. 허니팟 허니넷(HoneyNet) 허니팟의 요건 3.1 허니팟의 이해 허니팟을 포함한 네트워크로 경각심, 정보, 연구를 목적으로 함. 허니팟의 요건 해커에게 쉽게 노출된다. 쉽게 해킹이 가능한 것처럼 취약해 보인다. 시스템의 모든 구성 요소를 갖추고 있다. 시스템을 통과하는 모든 패킷을 감시한다. 시스템에 접속하는 모든 사람에 대해 관리자에게 알려준다.

3. 허니팟 허니넷의 구성-(허니넷 GEN-Ⅰ) 3.1 허니팟의 이해 분당 다섯 개 정도의 연결만 허용 자동화된 툴의 공격과 웜 공격에 대한 정보 수집에 좋은 성능을 보이며, DoS나 무차별적 스캐닝 공격을 막을 수 있음. 보통 방화벽으로 iptables를 사용하고 침입 탐지 시스템은 Snort를 이용

3. 허니팟 허니넷의 구성-(허니넷 GEN-Ⅱ) 3.1 허니팟의 이해 허니넷 센서로 Hogwash(호그와시) 라는 2계층의 IDS 게이트웨이 추가 설치 IDS 게이트웨이는 Snort를 이용해 공격으로 탐지되는 패킷을 2계층에 서 차단 라우팅 정보의 변경을 통한 접근 제 어를 하지 않으며, 방화벽의 필터링 기능과 IDS의 침입 탐지 기능을 결 합한 것

통합 보안 관리 시스템(Enterprise Security Management, ESM) 4. 통합 보안 관리 시스템 4.1 통합 보안 관리 시스템에 대한 이해 통합 보안 관리 시스템(Enterprise Security Management, ESM) 방화벽, 침입 차단 시스템, 침입 탐지 시스템, 가상 사설망 등 다양한 종류의 보 안 솔루션 로그 및 일반 시스템의 로그를 하나로 통합해 관리하는 솔루션

4. 통합 보안 관리 시스템 4.1 통합 보안 관리 시스템에 대한 이해 통합 보안 관리 시스템의 구성

4. 통합 보안 관리 시스템 통합 보안 관리 시스템의 구성 통합 보안 관리 시스템의 특징 4.1 통합 보안 관리 시스템에 대한 이해 통합 보안 관리 시스템의 구성 관리 콘솔 : 정책 설정, 침해 사고 모니터링, 분석, 경보, 보고서 생성 등 매니저 : 관리 콘솔에서 설정한 정책 적용, 데이터를 취합 및 저장, 분석 에이전트 : 방화벽, 침입 탐지 시스템, 침입 차단 시스템, 일반 서버에 설치되어 관련 로그를 수집한 뒤 매니저에게 보냄. 통합 보안 관리 시스템의 특징 보안 정책의 일관성 유지 통합 보안 관리 인프라 구축 효과적인 침해사고 대응