12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 20042521 김진태
바이러스가 다른 실행 프로그램에 기생하여 실행하는 데 반해 웜은 독자적으로 실행 바이러스는 스스로 전달할 수 없지만 웜은 가능 12-4. 바이러스, 인터넷 웜 정의 바이러스(바이러스, 웜) 컴퓨터에서 실행되는 프로그램의 일종으로 자기 복제를 하여 컴퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 악성 프로그램이다. 바이러스와 웜의 차이점 바이러스가 다른 실행 프로그램에 기생하여 실행하는 데 반해 웜은 독자적으로 실행 바이러스는 스스로 전달할 수 없지만 웜은 가능 일반적으로 웜은 네트워크를 손상시키고 대역폭을 잠식하지만, 바이러스는 컴퓨터의 파일을 감염시키거나 손상 감염 대상을 가지고 있는가
최근에 발견된 첫번째 아이폰 전용 바이러스 아이키(Ikee)도 웜바이러스 12-4. 바이러스, 인터넷 웜 정의 웜 바이러스 웜과 바이러스의 특징을 결합 프로그램에 기생하며 네트워크로도 감염 최근에 발견된 첫번째 아이폰 전용 바이러스 아이키(Ikee)도 웜바이러스 트로이목마(非-바이러스 악성코드) 스스로 복제를 하지 못함 설치를 유도하여 정보 유출에 악용
바이러스의 종류 부트 바이러스 파일 바이러스 부트·파일 바이러스 매크로 바이러스 바이러스의 구분 기준 12-4. 바이러스, 인터넷 웜 종류 바이러스의 종류 부트 바이러스 파일 바이러스 부트·파일 바이러스 매크로 바이러스 바이러스의 구분 기준 감염 형태, 감염 증세, 감염 파일의 종류
12-4. 바이러스, 인터넷 웜 종류 부트바이러스 부트 바이러스는 디스크의 OS 기동 코드(부트프로그램)에 감염해서 이 디스크에서 시스템이 기동되어질 때 OS보다 먼저 실행한다.
부트 바이러스 하드디스크 감염 바이러스 플로피 디스크 감염 바이러스 대표적인 부트 바이러스 미켈란젤로 바이러스 브레인 바이러스 12-4. 바이러스, 인터넷 웜 종류 부트 바이러스 하드디스크 감염 바이러스 플로피 디스크 감염 바이러스 대표적인 부트 바이러스 미켈란젤로 바이러스 브레인 바이러스 LBC 돌 바이러스 Monkey Anti-CMOS
파일 바이러스 실행프로그램에 감염한 바이러스는 이 숙주 프로그램이 실행되어지는 시기에 실행되어진다. 12-4. 바이러스, 인터넷 웜 종류 파일 바이러스 실행프로그램에 감염한 바이러스는 이 숙주 프로그램이 실행되어지는 시기에 실행되어진다.
파일 바이러스 국내에서 발견된 바이러스의 80% 대표적인 파일 바이러스 Jerusalem Sunday Scorpion Crow 12-4. 바이러스, 인터넷 웜 종류 파일 바이러스 국내에서 발견된 바이러스의 80% 대표적인 파일 바이러스 Jerusalem Sunday Scorpion Crow FCL CIH 타이완의 천잉하오가 제작(이 나쁜놈은 체포 됐음 1999년 4월 29일) 체르노빌 바이러스라고도 불리며 체르노빌 원자력 발전소 사고가 일어난 4월 26일에 동작 운영체제의 시동 드라이브의 첫 1024킬로바이트를 0으로 채운 후 특정 바이오스 공격
부트·파일 바이러스 부트섹터와 파일에 모두 감염 크기가 크고 피해 정도도 크다 대표적인 부트·파일 바이러스 Invader 12-4. 바이러스, 인터넷 웜 종류 부트·파일 바이러스 부트섹터와 파일에 모두 감염 크기가 크고 피해 정도도 크다 대표적인 부트·파일 바이러스 Invader Euthanasia Ebola
매크로 바이러스 MS의 Word와 Excel의 문서파일에는 매크로라는 일종의 프로그램을 첨가하는 것이 가능하다. 12-4. 바이러스, 인터넷 웜 종류 매크로 바이러스 MS의 Word와 Excel의 문서파일에는 매크로라는 일종의 프로그램을 첨가하는 것이 가능하다.
12-4. 바이러스, 인터넷 웜 감염 감염 증상 컴퓨터 바이러스의 감염 여부는 시스템 및 프로그램의 속도 저하, 컴퓨터 바이러스 백신 실행이나 시스템 레지스터 확인, 디스크나 파일의 파괴 증상, 각종 컴퓨터 바이러스별로 나타나는 특이 증상 등을 기준으로 판단 가능 일반적인 증상 비정상적인 프로그램 실행 에러가 발생할 경우 시스템의 사용 가능 메모리가 줄어들어 여분이 없을 경우 하드디스크에 정상적으로 존재하고 있던 파일 중에서, 본인이 삭제한 일이 없는 실행 파일이나 데이터 파일 등이 삭제되거나 변형되었을 경우 실행 및 부팅 속도가 눈에 띄게 떨어질 경우 시스템이 비정상적으로 다운될 경우 비정상적으로 저장매체가 인식되지 않을 경우 시스템에 비정상적인 그림, 메시지, 소리 등이 출력될 때
바이러스 방지와 사용자 지침 12-4. 바이러스, 인터넷 웜 시스템 디스켓의 경우에는 반드시 쓰기 방지용 탭을 붙여 놓는다. 예방 바이러스 방지와 사용자 지침 시스템 디스켓의 경우에는 반드시 쓰기 방지용 탭을 붙여 놓는다. 새로운 디스켓이나 프로그램은 반드시 바이러스의 감염 여부를 검사한 후 사용하는 습관을 들인다. 하드 디스크가 있는 경우에는 될 수 있는 한 하드디스크로 부팅을 하며 특별히 플로피 디스크로 부팅을 해야만 하는 경우에는 반드시 안전한 디스켓(바이러스 검사를 마친 디스켓)을 사용하도록 한다. 중요한 데이터는 반드시 백업해 둔다. 또한 전체 데이터에 대한 정기적인 백업을 해 둔다. 여러 사람이 공유하는 컴퓨터를 사용하는 경우에는 바이러스를 검사한 후에 사용하는 최신 버전의 바이러스 백신 프로그램을 설치한다. 네트워크(인터넷 등)로 다른 컴퓨터와의 연결을 통한 프로그램의 전송을 받을 경우 바이러스 검사를 하여 사용하도록 한다.
12-4. 바이러스, 인터넷 웜 예방 그냥 알약, v3
방화벽이란? 신뢰하는 비공개 인트라넷과 인터넷 사이를 분리시키는 것이 목적 12-5. 방화벽 정의 방화벽이란? 신뢰하는 비공개 인트라넷과 인터넷 사이를 분리시키는 것이 목적 소프트웨어와 하드웨어를 총체적으로 구현한 설계 및 그러한 제품 내부 네트워크를 방어하는 보안 경계선
12-5. 방화벽 구성 요소 방화벽 구성 요소 스크린 라우터 베스천 호스트 프록시 서버
스크린 라우터 12-5. 방화벽 패킷의 헤더 내용을 보고 필터링(스크린) 출발지 주소 및 목적지 주소에 의한 스크린 구성 요소 스크린 라우터 패킷의 헤더 내용을 보고 필터링(스크린) 출발지 주소 및 목적지 주소에 의한 스크린 포트번호, 프로토콜별 스크린 어느 정도 수준의 보안 접근제어가 가능 하지만 라우터에서 구현된 펌웨어수준으로는 제한점이 많고 복잡한 정책 구현이 어려움 일반적으로 스크린 라우터에 베스천 호스트를 함께 운영
베스천 호스트 외부의 공격에 노출되어 방어를 담당하는 별도의 시스템 네트워크 보안 상 가장 중요한 위치를 차지 12-5. 방화벽 구성 요소 베스천 호스트 외부의 공격에 노출되어 방어를 담당하는 별도의 시스템 네트워크 보안 상 가장 중요한 위치를 차지 방화벽 시스템의 중요기능으로서 접근제어 및 응용 시스템 게이트웨이로서 프록시 서버의 설치, 로그, 인증, 로그, 감사, 추적 등을 담당
프록시 서버 방화벽이 설치되어 있는 호스트에서 동작하는 서버 12-5. 방화벽 구성 요소 프록시 서버 방화벽이 설치되어 있는 호스트에서 동작하는 서버 방화벽 내에 있는 사용자들에게 방화벽 밖에 있는 서버로의 자유로운 서비스 요구와 응답을 받기 위한 수단 Traffic 제어 내부의 모든 사용자는 프록시 서버에게만 서비스를 요구하고 응답받을 수 있다. Cashing 기능
방화벽의 기능 특정 서비스의 선택적 수용 특정 노드에 대한 선택적 보호 집중적 보안 프라이버시 강화 프록시 서비스의 지원 12-5. 방화벽 기능 방화벽의 기능 특정 서비스의 선택적 수용 특정 노드에 대한 선택적 보호 집중적 보안 프라이버시 강화 프록시 서비스의 지원 애플리케이션 게이트웨이 방식 방화벽에서만 가능 특정 서비스의 경우 프락시 서비스 모듈을 통해 추가 사용자 인증 기능을 수행 가능
12-5. 방화벽 적용방식 방화벽 적용 방식 네트워크 수준의 방화벽 애플리케이션 수준의 방화벽 혼합형 방화벽
네트워크 수준의 방화벽(Packet Filetering Firewall) 12-5. 방화벽 적용방식 네트워크 수준의 방화벽(Packet Filetering Firewall) 스크린 라우터만을 가지고 있는 가장 단순한 형태 장점 싸다. 단점 로그인 방식 불가능 IP Spoofing 공격에 취악
애플리케이션 수준의 방화벽(Application Gateway FireWall) 12-5. 방화벽 적용방식 애플리케이션 수준의 방화벽(Application Gateway FireWall) proxy 서버 기능을 제공 사용자별, IP주소별 제한, 통제가 가능 가장 안전한 방화벽의 유형
혼합형 방화벽(Hybrid FireWall) 12-5. 방화벽 적용방식 혼합형 방화벽(Hybrid FireWall) 네트워크 수준의 방화벽과 애플리케이션 수준의 방화벽의 장점만을 취해 개선한 방화벽 상호보완하여 보안 수준을 더 향상시킬 수 있다. 혼합형 방화벽 아키텍쳐 Stateful Inspection 제품 CheckPoint사의 FireWall-1
Stateful Inspection(dynamic packet filtering) static packet filtering 12-5. 방화벽 적용방식 Stateful Inspection(dynamic packet filtering) static packet filtering 패킷의 헤더만을 검사 dynamic packet filtering 패킷의 내용까지 검사 monitors the state of the connection and compiles the information in a state table. Because of this, filtering decisions are based not only on administrator-defined rules (as in static packet filtering) but also on context that has been established by prior packets that have passed through the firewall.
침입탐지 시스템(IDS:Intrusion Detection System) 12-6. 침입탐지 시스템 개념 침입의 정의 인증되지 않은 컴퓨터 시스템의 사용 또는 오용 침입탐지 시스템(IDS:Intrusion Detection System) 실시간으로 네트워크를 감시하여 권한이 없는 사용자로부터의 접속, 정보의 조작, 오용, 남용 등 네트워크 상에서 시도되는 불법적인 침입 행위를 막지 못했을 때 조치를 취하기 위해 사용되는 시스템
침입 탐지 시스템의 기능과 특징 Stealth 모드 지원 Session drop 기능 Process 종료 백도어 탐지 12-6. 침입탐지 시스템 기능과 특징 침입 탐지 시스템의 기능과 특징 Stealth 모드 지원 Session drop 기능 Process 종료 백도어 탐지 각종 공격 탐지 공격을 시도할 때 특정한 코드 값을 보내게 되는 데 이를 알아내어 탐지 방화벽 연동 탐지한 공격 패턴을 방화벽에 전달함으로써 유사 공격을 원천적으로 막을 수 있다. Alert 기능
탐지영역에 따른 IDS 분류 H-IDS(host based IDS) 감시 대상이 되는 host에 탑재 12-6. 침입탐지 시스템 기능과 특징 탐지영역에 따른 IDS 분류 H-IDS(host based IDS) 감시 대상이 되는 host에 탑재 N-IDS(Network based IDS) 지나가는 트래픽을 볼 수 있는 감시 대상이 되는 네트워크단에 설치 대부분의 IDS는 N-IDS가 대부분
침입탐지 기법 비정상 행위 탐지(Anomaly Detection) 통계적 접근 예측 가능 패턴 생성 신경망 12-6. 침입탐지 시스템 침입탐지 기법 침입탐지 기법 비정상 행위 탐지(Anomaly Detection) - 시스템 가동 전에 정상적인 수치를 기록하여 기준선을 초과하는 비정상 행위를 탐지 통계적 접근 통계적으로 처리된 과거의 경험자료를 기준으로 특별한 행위 또는 유사한 사건으로 이탈을 탐지 예측 가능 패턴 생성 이벤트 간의 상호관계와 순서를 설명하고 각각의 이벤트에 시간을 부여하여 기존에 설정된 침입 시나리오와 비교하여 침입을 탐지하는 방법 신경망 현재까지의 사용자의 행동과 명령을 학습하여 다음 행동과 명령을 예측하여 침입을 탐지
침입탐지 기법 오용 탐지(Misuse Detection, signature Base, Knowledge Base) 12-6. 침입탐지 시스템 침입탐지 기법 침입탐지 기법 오용 탐지(Misuse Detection, signature Base, Knowledge Base) - 과거의 침입 행들로부터 얻어진 공격 패턴으로 공격을 탐지 전문가 시스템(Expert System) 이미 발견되어 정립된 공격패턴을 입력해놓고 여기에 해당하는 패턴을 탐지하여 정해진 액션으로 대응 키 모니터링(Keystroke Monitoring) 사용자의 key-stroke를 모니터링하여 공격패턴을 나타내는 key-stroke패턴을 탐지 상태 전이 분석(State Transition Analysis) 공격패턴을 상태전이의 순서로 표현 침입 과정을 규칙 기반으로 탐지
패턴 매칭(Pattern Matching) 12-6. 침입탐지 시스템 침입탐지 기법 패턴 매칭(Pattern Matching) 이미 알려진 공격 유형들을 패턴으로 가지고 현재 행위와 일치하는 패턴을 탐지 조건부 확률 이용 특정 이벤트가 침입일 확률을 조건부 확률을 이용해서 계산 하는 방법 모델에 근거한 방법 공격패턴을 DB화하고 특정 공격패턴에 대해DB를 참조하여 침입 여부를 탐지
대응 방식 능동적인 대응(Active IDS) 연결, 세션 또는 프로세스 종료 네트워크 재구성 속임수 12-6. 침입탐지 시스템 대응 방식 대응 방식 능동적인 대응(Active IDS) 연결, 세션 또는 프로세스 종료 네트워크 재구성 속임수 수동적인 대응(Passive IDS) 피하기(Shunning) 기록(Logging) 통보(notification)
IPS(Intrusion Prevention System) 12-6. 침입탐지 시스템 IPS IPS(Intrusion Prevention System) IDS에 능동적인 대응 기능을 넣은 프로그램 IPS출시 후 IDS의 입지가 좁아지고 있다. 하지만 아직 IPS의 표준이 정해지지 않아 기준이 모호해 당분간 IDS와 공존할 것으로 보임