Firewall & N-IDS 김창현.

Presentation on theme: "Firewall & N-IDS 김창현."— Presentation transcript:

1 Firewall & N-IDS 김창현

2 목차 Network 보안의 필요성 Firewall 과 N-IDS의 이해 Firewall (IPTABLES)
N-IDS (Snort)

3 Network 보안의 필요성 업무환경이 Internet, Intranet으로의 이동 네트워크 대역폭 증가
대부분의 업무 시스템에 연결 가능 네트워크 대역폭 증가 데이터의 이동이 저장 매체에서 네트워크로 대체 Internet등 네트워크서비스 증가

4 Network 보안의 필요성 해킹 발생건수 및 추이 해킹 피해 발생 건수(US, Cert/CC, 1988년~2005년)

5 Network 보안의 필요성 국내 피해 업종 내용 온라인 쇼핑물 설 대목 거래 중단 업체당 2~5억 항공/ 여행
스케줄 조회 불가, 예약 취소 은행/ 증권 일일 300만건 거래되는 인터넷 뱅킹 마비 PC방 인터넷 불능으로 약 225억원 피해 2003년 1월 25일 슬래머 웸에 대한 피해

6 Firewall 과 N-IDS의 이해 비 인가된 인원 차단 => Firewall

7 Firewall 과 N-IDS의 이해 내부 감시 => N-IDS

8 Firewall 과 N-IDS의 이해 N-IDS Firewall Internet

9 Firewall 과 N-IDS의 이해 Firewall 외부에서 내부 네트워크로 유입되는 패킷의 운명을 결정하는 보안솔류션
허락되어진 패킷은 내부 네트워크로 보냄 허락되어지지 않은 패킷은 버림

10 Firewall 과 N-IDS의 이해 Firewall 동작 REJECT!! Checking… ACCEPT!! Firewall
Dest Port: 80 Dest Port: 23 ACCEPT Dest Port: 80 Dest Port: 21 REJECT Dest Port: ALL

11 Firewall (IPTABLES) IPTABLES

12 Firewall (IPTABLES) IPTABLES 리눅스 환경의 대표적인 방화벽 설정 툴
Kernel ver.2.2에서는 IPCHAIN이었으나 ver.2.4에서 더 강력해진 IPTABLES로 대체 Packet Filtering은 Kernel의 Netfilter기능을 이용하고 IPTABLES은 Netfilter의 정책을 세팅하는 툴 Kernel Level의 처리로 오버헤드가 작음

13 Firewall (IPTABLES) IPTABLES 구성 LINUX SYSTEM INPUT OUTPUT FORWARD

14 Firewall (IPTABLES) INPUT Chain OUTPUT Chain FORWARD Chain
패킷이 시스템에 유입될 때 거치는 정책 체인 OUTPUT Chain 패킷이 시스템으로부터 나갈때 거치는 정책체인 FORWARD Chain 목적지가 현 시스템이 아닌 다른 시스템일때 거치는 정책체인

15 Firewall (IPTABLES) 예제: INPUT Drop: Dest Port 80 LINUX SYSTEM INPUT
OUTPUT P: 21 P: 80 FORWARD

16 Firewall (IPTABLES) IPTABLES의 사용예 -A : 체인 지정 -p : 프로토콜 지정
iptables -A INPUT –p TCP –d –-dport 80 \ -j DROP -A : 체인 지정 -p : 프로토콜 지정 -s : 소스 어드레스 지정 -d : 목적 어드레스 지정 --sport : 소스 포트 지정 --dport : 목적 포트 지정 -j : 부합되는 패킷에 취할 정책 ACCEPT, DROP, REJECT

17 Firewall (IPTABLES) 자세한 설명 Http://www.lastking.net/2
IPTABLES 에서 MASQ and FORWARD and MANGLE 설명 IPTABLES 로그 정책 설명

18 Firewall (IPTABLES) 실습1 실습2 목적지 포트 80으로 접근하는 전체 호스트에 대하여 접근 차단
iptables -A INPUT –p TCP –-dport j DROP iptables -A INPUT –p TCP –s –-dport 80 \ -j DROP

19 N-IDS (Snort) IDS(Intrusion Detection System) IDS의 종류
컴퓨터자원의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템 IDS의 종류 H IDS : Host기반의 침입탐지 시스템 N IDS : Network기반의 침입탐지 시스템

20 N-IDS (Snort) 비정상적 탐지기법 사용자의 패턴을 분석하여 비정상적 행위에 대해 탐지
장점: 알려지지 않은 방법의 침입탐지가능 단점: 정상과 비정상의 경계가 모호 오용탐지 기법 알려진 침입탐지 기법을 기반 장점: 탐지율이 높음 단점: 알려지지 않은 기법에 대하여 탐지불능

21 N-IDS (Snort) 소프트웨어 기반 N-IDS 하드웨어 기반 N-IDS 저비용으로 구축할 수 있음
감시 룰 업데이트가 용이함 대량의 트래픽에 대하여 많은 오버헤드가 발생 대표적으로 Snort가 이에 해당 하드웨어 기반 N-IDS 소프트웨어 보다 비용이 많이 듬 대량의 트래픽에 대하여 작은 오버헤드로 처리 여러 벤더들이 장비와 함께 제품을 판매

22 N-IDS (Snort) Snort

23 N-IDS (Snort) Snort 리눅스 기반의 대표적인 네트워크 침입탐지 시스템
오픈소스프로젝트로 진행중이며 에서 다운가능 Telnet, Http, FTP, SMTP, POP, NFS등 다양한 프로토콜의 감시룰 제공

24 N-IDS (Snort) Snort의 구성 RULE HTTP FTP TELNET SMTP ETC… Matching Engine

25 N-IDS (Snort) HTTP RULE STRING: ATTACK 로그 및 통지 A T C K

26 N-IDS (Snort) Snort의 제공 기능
STRING MATCHING뿐만 아니라 프로토콜 헤더의 플래그 및 옵셋 매칭기능 제공 최신 공격유형이 포함된 업데이트된 룰파일을 주기적으로 배포 포트스케닝, 취약점 스케닝등의 스케닝 감지 분절된 패킷의 처리 기능

27 Thank you!