1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS

Slides:



Advertisements
Similar presentations
침입 방지 시스템 (IPS) 최정환 남영석 방철규 전인철 조용진.
Advertisements

Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석.
제 8장 데이터 보안.
멀티미디어 서비스를 위한 IP 네트워크 순천향대학교 정보기술공학부 이 상 정
PC와 인터넷 정강수 컴퓨터 구조와 웹의 이해 PC와 인터넷 정강수
Chapter 03. 네트워크 보안 : 길을 지배하려는 자에 대한 저항
Nortelnetworks VPN & Firewall Contivity 1100.
2 장 인터넷의 구성 및 접속.
Chapter 8 Authorization
한드림넷 솔루션 소개.
Understanding of Socket and File I/O
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
암호화 기술(IPsec,SSL) 배문주 송정미 황유진.
Chapter 06. 프로토콜.
보안 시스템 정보 보안 개론 10장.
Network Security - Wireless Sniffing 실습
Network Security - Ethereal 실습
Switching 기술 II(L4, L5, L7).
Network Security - Wired Sniffing 실습
Dept. of Computer Engineering, Hannam Univ. Won Goo Lee
Samsung Securities SECURITIES.
Network 네트워크 이론 및 실습 TCP / IP 4장.
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
PART 1 개념 컴퓨터 네트워크 Chapter 01 서론 임효택.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
Internet 및 EC 관련 기술들.
Firewall & N-IDS 김창현.
Chapter 02 네트워크에 대한 이해.
4주 : 정보통신 네트워크 인터넷정보원 및 학술정보자원의 활용 담당교수 : 박 양 하 정보통신시스템 – 정보전송/처리시스템
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Intrusion Detection System (IDS) 실습
국산 Firewall 제품 비교표 SecureShield SecureWorks InterGuard Hwarang
Processing resulting output
Data Mining 기법을 이용한 침입탐지 시스템
Web상에서의 Network Management
Chapter 05 목록화.
Network Security Footprint & Scan.
침입탐지시스템과 정보보안 안
세미나.. NETWORK??!! 저자 : 장경칩 도전하라 창조의 세계로(SINCE 1992) - 장경칩.
Network Management 김대환 김태훈 김숙흔 이근민.
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
컴퓨터 네트워크 개념, 프로토콜, 프로그래밍 임 효 택, 송 주 석 dongseo. ac
Network Programming(1)
네트워크 보안 3 오 세 종.
Chapter 14 침입 탐지 및 모니터링.
Chapter 10. 네트워크 e-learning Computers.
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
전자상거래 구축을 위한 EC/EDI Solution 제안서.
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
박 태하 ㈜ 아이네트 인터넷 망관리를 위한 도구 박 태하 ㈜ 아이네트.
Information Security - Wired Sniffing 실습
OSI 모델 OSI 모델의 개념과 필요성 OSI 모델의 데이터 전송 과정 OSI 모델 7계층 한빛미디어(주)
1 학습 목표 네트워크의 기초 네트워크 관련 기초 용어를 익힌다.
Internet 데이터 전송 목표: 인터넷의 개요 및 기본 내용을 살펴보고 VB에서의 데이터 전송 프로그래밍에 대하여 학습한다. 주요내용 인터넷의 개요 인터넷 데이터 전송 인터넷 프로그래밍 Winsock Client Server 프로그래밍.
Chapter 04. OSI 참조 모델.
TCP/IP 네트워크 구조 TCP/IP 개요 TCP/IP 프로토콜 한빛미디어(주).
평가기준 개요 및 보안기능요구사항 사업부 평가사업팀 조규민.
기술가정 2학년 2학기 4.컴퓨터와 생활 > 2) 인터넷의 활용 > 1/7 인터넷이란 무엇일까.
초기화면 인터넷의 이해 Ⅳ. 컴퓨터와 생활> 2. 인터넷의 활용> 기술·가정 2학년 2학기
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
윤성우의 열혈 TCP/IP 소켓 프로그래밍 윤성우 저 열혈강의 TCP/IP 소켓 프로그래밍 개정판
Internet & WWW Protocols
Linux Security (리눅스 소개)
14 방화벽.
김 형 진 전북대학교 IT응용시스템공학과 네트워크의 기본 Chapter 김 형 진 전북대학교 IT응용시스템공학과.
10장 OSI 7 Layer 강원도립대학교 정보통신개론.
Part TCP / IP 1. TCP / IP 프로토콜 2. 기본 프로토콜.
Information Security - Sniffing 실습.
7/25/2019 경계선 방어 기술 공급원 May
Data Compression 데이터 압축:음성, 비디오, 팩시밀리 전송등과 같은 경우에 중요
Presentation transcript:

1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS Intrusion Detection System 1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS

2 NIDS vs. HIDS Network IDS Host IDS Intrusion Detection System 2 NIDS vs. HIDS Network IDS Host IDS 위의 두 방식은 각각 장단점을 가지고 있고 서로 상호 보완적이다. 실제로 효과적인 침입탐지 시스템은 두 기술을 모두 적용한 것 공격 시 특별한 패턴을 가지고 침입여부 판단

2.1 NIDS 기술 체계 자료 수집원 : 네트워크 패킷 침입 판단 모듈 IDS의 반응 모듈 Intrusion Detection System 2.1 NIDS 기술 체계 자료 수집원 : 네트워크 패킷 실시간으로 네트워크를 지나가는 모든 traffic을 모니터하고 분석(promiscuous mode에서 수행) 침입 판단 모듈 Pattern / Byte code 매칭 방식 빈도 칯 threshold Correlation of lesser events 통계적 Anomaly Detection IDS의 반응 모듈 침입판단 모듈에서 신호가 오면 다양한 옵션으로 대응 Alarm Close connection Logging(사후 분석과 증거 취합)

2.2 네트웍 침입탐지 시스템 (1) 침입탐지 시스템의 기능 Network Host Intrusion Detection System 2.2 네트웍 침입탐지 시스템 (1) 침입탐지 시스템의 기능 침입탐지 침입차단 Network Host 위험경보 감사추적

Intrusion Detection System 2.2 네트웍 침입탐지 시스템 (2) 침입탐지 시스템의 구성도

2.3 NIDS 장점(1) 저렴한 투자 비용 HIDS이 놓치는 공격 탐지 공격 흔적 제거의 난이 Intrusion Detection System 2.3 NIDS 장점(1) 저렴한 투자 비용 Network traffic을 감시할 수 있는 전략적인 위치에만 설치(효과적인 침입탐지 가능) 다양한 호스트를 관리하는 SW 필요 없음 HIDS이 놓치는 공격 탐지 HIDS는 모든 패킷의 헤더를 볼 수 없으므로 모든 종류의 공격을 탐지 할 수 없다(TearDrop, IP 기반의 DOS 공격) Payload를 검사 함으로써 특별한 공격에 사용되는 Command와 Syntax를 찾아냄 공격 흔적 제거의 난이 Network traffic을 이용하므로 공격자는 흔적을 제거할 수 없다. Capture된 데이터는 공격의 방법뿐 아니라 사후 조사에 사용될 많은 정보를 포함하고 있다.

2.3 NIDS 장점(2) 실시간 탐지와 대응 실패한 공격의 탐지 OS Independence Intrusion Detection System 2.3 NIDS 장점(2) 실시간 탐지와 대응 TCP Dos 공격을 당하는 시스템이 감지되면 곧바로 TCP reset으로 공격을 중지 HIDS는 공격을 인식 못하기 때문에 공격행위가 실행된 후에 조치를 취한다. 실패한 공격의 탐지 NIDS를 F/W의 앞단에 설치하면 F/W이 차단하는 공격도 탐지할 수 있다. OS Independence

2.4 HIDS 기술 체계 자료 수집원 : NT나 Unix의 Audit data Intrusion Detection System 2.4 HIDS 기술 체계 자료 수집원 : NT나 Unix의 Audit data System, event, security log 중요한 시스템 파일 및 실행파일을 점검하고 예기치 않은 변화의 적당한 간격에서 체크섬을 통해 점검 기본적인 수준의 NIDS에서 HIDS의 환경으로 옮겨가는 추세 System Event Security log 공격 신호 Log entry 비교 = != 정상 패킷 침입 Alarm / 대응

2.5 HIDS 장점(1) 정확한 탐지 시스템 이벤트 감시 NIDS이 놓치는 공격 탐지 Intrusion Detection System 2.5 HIDS 장점(1) 정확한 탐지 실제로 일어난 이벤트를 포함하는 로그를 사용하므로 보다 정확 시스템 이벤트 감시 사용자와 파일의 접근활동, 파일의 허용의 변화, 새로운 실행파일을 설치하려는 시도 그리고 특정한 서비스의 접근을 감시 공격자가 어떤 명령을 실행시켰는지, 어떤 파일을 open시켰는지, 어떤 System call을 실행시켰는지, 어떤 위험한 명령어를 실행시켰는지 정확히 관리자에게 통보할 수 있다. NIDS이 놓치는 공격 탐지 중요한 서버의 터미널로부터의 공격 시스템 내부에서의 공격

2.5 HIDS 장점(2) 암호화/스위치 환경에서 적합 추가적인 하드웨어의 불필요 Intrusion Detection System 2.5 HIDS 장점(2) 암호화/스위치 환경에서 적합 HIDS는 중요한 호스트에 직접 탑재되므로 스위치된 환경의 Network와 무관 NIDS는 암호화 통신을 하는 구간에서는 많은 제한을 받을 수 있다. 추가적인 하드웨어의 불필요 별도의 시스템이나 네트워크 장비가 추가 요구되지 않음

2.6 NIDS와 HIDS의 침입 대응방법 대부분의 NIDS와 HIDS는 위협과 공격에 대한 대응 옵션을 공유 Intrusion Detection System 2.6 NIDS와 HIDS의 침입 대응방법 대부분의 NIDS와 HIDS는 위협과 공격에 대한 대응 옵션을 공유 Alarm to Consol E-Mail Notification View Active Session Log Summary (Reporting) Log Raw Network Data Kill Connection(TCP Reset) Re-Configure Firewall User Defined Action 구 분 통보 저장 적극 대응 NIDS HIDS Kill Process Terminate User Account

2.7 NIDS와 HIDS의 필요성 NIDS와 HIDS 솔루션은 서로를 보충하는 독특한 장점을 가진다 Intrusion Detection System 2.7 NIDS와 HIDS의 필요성 NIDS와 HIDS 솔루션은 서로를 보충하는 독특한 장점을 가진다 적절한 보안 레벨을 유지하기 위하여서는 침입탐지 두 가지 모두 필요

2.8 The Advantages of IDSs Cost reduction Increased Detection Capability 인간보다 많은 탐지능력과 보다 현명한 판단을 내릴 수 있다 Log Audit에 의존하지 않기 때문에 Hacker가 log audit를 disable해도 탐지 가능 Deterrent values IDS를 도입함으로써 해킹 억제력을 가진다. Reporting Forensics 컴퓨터 범죄에 대한 증거로 활용 Failure detection and Recovery 실패를 감지하고 복구가 가능하다.

2.10 The Disadvantages of IDSs Immaturity - 아직은 오탐지 발견율이 높음 False Positive(Type I error) Error가 아닌 것을 error로 인식 Performance Decrements(네트워크의 속도감소) Initial cost Vulnerability to attack IDS 그 자체에도 해커들의 공격에 취약하다. Applicability Vulnerability to tempering Changing technology

3.1 Honey Pot Honey Pot 이란 최신 기법의 침입탐지 기법 Intrusion Detection Systems 3.1 Honey Pot Honey Pot 이란 최신 기법의 침입탐지 기법 강력하지 않은 운영체제를 갖거나, 취약점이 많아서 소스에 쉽게 접근할 수 있는 것처럼 보이는 “유인” 시스템 유인 시스템은 기업의 제품 서버 시스템과 유사하게 설치되고, 수많은 가짜 파일, 디렉토리, 진짜처럼 보일 수 있는 다른 정보를 저장 침입자가 진짜 자산을 공격하기 전에 허니팟이 침입자를 함정에 빠뜨리거나 취약점에 접근할 수 있는 환경을 제공 하는 것 유인장치는 침입자를 잡기 위한 것이 아니라 그들의 움직임을 감시하고 배우기 위한 것 위의 모든 작업을 침입자가 눈치 채지 않도록 해야 한다.

3.2 Honey Pot은 어떻게 작동하는가? 내부 네트워크가 침입자에 노출되지 않기 위해 보통 DMZ 어딘가에 놓여진다 Intrusion Detection Systems 3.2 Honey Pot은 어떻게 작동하는가? 내부 네트워크가 침입자에 노출되지 않기 위해 보통 DMZ 어딘가에 놓여진다 허니팟은 침입자의 활동을 감시 로그 파일을 저장 과정의 시작 컴파일 파일첨가, 삭제, 변화 Key stroke 위의 자료를 수집 함으로서 허니팟은 기업의 전반적인 보안 시스템을 개선 허니팟은 회사가 수집된 정보로부터 배운 것으로 공격에 준비하고 대응하도록 돕는 역할을 한다.

7. Application Layer TELNET, FTP, SMTP, SNMP, NNTP, DNS 등등 4. Transport Layer 1. Physical Layer 2. Data Link Layer 3. Network Layer 6. Presentation Layer 5. Session Layer TELNET, FTP, SMTP, SNMP, NNTP, DNS 등등 TCP Ethernet, FDDI, X.25 ISDN 등등 IP (ICMP,ARP,RARP) UDP Open System Interconnection reference Model

■ Application Layer - 특정 프로그램에 의해 정의되어 진다. (파일 전송, 데이타 베이스 질의 등등) ■ Presentation Layer - 서로 다른 시스템에서 데이터가 교환되어지도록 어떻게 코드화 할 것인가를 결정 ■ Session Layer - 트랜스포트 개체간의 연결에 있어서 메시지의 교환을 제어하는 역할 ( ■ Transport Layer - 통신에 참가하는 개체간의 메시지 전달에 책임을 진다. ■ Network Layer - 패킷을 교환 노드에 전송하는 방법등을 통하여 두 스테이션간의 가상 경로를 설립 ■ Link Layer - 신뢰할 수 있는 정보의 전송을 보장하고 전송매체에 연결된 스테이션들에 주소를 지정 ■ Physical Layer - 전송매체를 통하여 서로 다른 물리적 장치간의 데이터 비트의 교환을 제어

■ 1960년대 후반 - 미 국방성(DOD, The Department of Defense)에 의해 통신에 관한 연구 개시 ■ 1969년 - ARPANET 탄생 (4개의 노드를 접속) ■ 1972년 - ARPANET 성공 (30개 이상의 노드를 접속) ■ 1975년 - TCP/IP 탄생 ■ 1982년 - TCP/IP 규격 결정, UNIX BSD에 TCP/IP 내장 ■ 1983년 - ARPANET이 ARPANET과 MILNET으로 분리 ■ 1990년 - ARPANET의 역할이 NSFNET으로 이행 ■ 1991년경 - 상용 네트워크 서비스가 급성장하기 시작 ■ 1992년 - INS (Internet Society) 설립 ■ 1995년 - 백본으로서의 NSFNET의 역할 종료