1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS

Presentation on theme: "1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS"— Presentation transcript:

1 1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
Intrusion Detection System 1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS

2 2 NIDS vs. HIDS Network IDS Host IDS
Intrusion Detection System 2 NIDS vs. HIDS Network IDS Host IDS 위의 두 방식은 각각 장단점을 가지고 있고 서로 상호 보완적이다. 실제로 효과적인 침입탐지 시스템은 두 기술을 모두 적용한 것 공격 시 특별한 패턴을 가지고 침입여부 판단

3 2.1 NIDS 기술 체계 자료 수집원 : 네트워크 패킷 침입 판단 모듈 IDS의 반응 모듈
Intrusion Detection System 2.1 NIDS 기술 체계 자료 수집원 : 네트워크 패킷 실시간으로 네트워크를 지나가는 모든 traffic을 모니터하고 분석(promiscuous mode에서 수행) 침입 판단 모듈 Pattern / Byte code 매칭 방식 빈도 칯 threshold Correlation of lesser events 통계적 Anomaly Detection IDS의 반응 모듈 침입판단 모듈에서 신호가 오면 다양한 옵션으로 대응 Alarm Close connection Logging(사후 분석과 증거 취합)

4 2.2 네트웍 침입탐지 시스템 (1) 침입탐지 시스템의 기능 Network Host
Intrusion Detection System 2.2 네트웍 침입탐지 시스템 (1) 침입탐지 시스템의 기능 침입탐지 침입차단 Network Host 위험경보 감사추적

5 Intrusion Detection System
2.2 네트웍 침입탐지 시스템 (2) 침입탐지 시스템의 구성도

6 2.3 NIDS 장점(1) 저렴한 투자 비용 HIDS이 놓치는 공격 탐지 공격 흔적 제거의 난이
Intrusion Detection System 2.3 NIDS 장점(1) 저렴한 투자 비용 Network traffic을 감시할 수 있는 전략적인 위치에만 설치(효과적인 침입탐지 가능) 다양한 호스트를 관리하는 SW 필요 없음 HIDS이 놓치는 공격 탐지 HIDS는 모든 패킷의 헤더를 볼 수 없으므로 모든 종류의 공격을 탐지 할 수 없다(TearDrop, IP 기반의 DOS 공격) Payload를 검사 함으로써 특별한 공격에 사용되는 Command와 Syntax를 찾아냄 공격 흔적 제거의 난이 Network traffic을 이용하므로 공격자는 흔적을 제거할 수 없다. Capture된 데이터는 공격의 방법뿐 아니라 사후 조사에 사용될 많은 정보를 포함하고 있다.

7 2.3 NIDS 장점(2) 실시간 탐지와 대응 실패한 공격의 탐지 OS Independence
Intrusion Detection System 2.3 NIDS 장점(2) 실시간 탐지와 대응 TCP Dos 공격을 당하는 시스템이 감지되면 곧바로 TCP reset으로 공격을 중지 HIDS는 공격을 인식 못하기 때문에 공격행위가 실행된 후에 조치를 취한다. 실패한 공격의 탐지 NIDS를 F/W의 앞단에 설치하면 F/W이 차단하는 공격도 탐지할 수 있다. OS Independence

8 2.4 HIDS 기술 체계 자료 수집원 : NT나 Unix의 Audit data
Intrusion Detection System 2.4 HIDS 기술 체계 자료 수집원 : NT나 Unix의 Audit data System, event, security log 중요한 시스템 파일 및 실행파일을 점검하고 예기치 않은 변화의 적당한 간격에서 체크섬을 통해 점검 기본적인 수준의 NIDS에서 HIDS의 환경으로 옮겨가는 추세 System Event Security log 공격 신호 Log entry 비교 = != 정상 패킷 침입 Alarm / 대응

9 2.5 HIDS 장점(1) 정확한 탐지 시스템 이벤트 감시 NIDS이 놓치는 공격 탐지
Intrusion Detection System 2.5 HIDS 장점(1) 정확한 탐지 실제로 일어난 이벤트를 포함하는 로그를 사용하므로 보다 정확 시스템 이벤트 감시 사용자와 파일의 접근활동, 파일의 허용의 변화, 새로운 실행파일을 설치하려는 시도 그리고 특정한 서비스의 접근을 감시 공격자가 어떤 명령을 실행시켰는지, 어떤 파일을 open시켰는지, 어떤 System call을 실행시켰는지, 어떤 위험한 명령어를 실행시켰는지 정확히 관리자에게 통보할 수 있다. NIDS이 놓치는 공격 탐지 중요한 서버의 터미널로부터의 공격 시스템 내부에서의 공격

10 2.5 HIDS 장점(2) 암호화/스위치 환경에서 적합 추가적인 하드웨어의 불필요
Intrusion Detection System 2.5 HIDS 장점(2) 암호화/스위치 환경에서 적합 HIDS는 중요한 호스트에 직접 탑재되므로 스위치된 환경의 Network와 무관 NIDS는 암호화 통신을 하는 구간에서는 많은 제한을 받을 수 있다. 추가적인 하드웨어의 불필요 별도의 시스템이나 네트워크 장비가 추가 요구되지 않음

11 2.6 NIDS와 HIDS의 침입 대응방법 대부분의 NIDS와 HIDS는 위협과 공격에 대한 대응 옵션을 공유
Intrusion Detection System 2.6 NIDS와 HIDS의 침입 대응방법 대부분의 NIDS와 HIDS는 위협과 공격에 대한 대응 옵션을 공유 Alarm to Consol Notification View Active Session Log Summary (Reporting) Log Raw Network Data Kill Connection(TCP Reset) Re-Configure Firewall User Defined Action 구 분 통보 저장 적극 대응 NIDS HIDS Kill Process Terminate User Account

12 2.7 NIDS와 HIDS의 필요성 NIDS와 HIDS 솔루션은 서로를 보충하는 독특한 장점을 가진다
Intrusion Detection System 2.7 NIDS와 HIDS의 필요성 NIDS와 HIDS 솔루션은 서로를 보충하는 독특한 장점을 가진다 적절한 보안 레벨을 유지하기 위하여서는 침입탐지 두 가지 모두 필요

13 2.8 The Advantages of IDSs Cost reduction
Increased Detection Capability 인간보다 많은 탐지능력과 보다 현명한 판단을 내릴 수 있다 Log Audit에 의존하지 않기 때문에 Hacker가 log audit를 disable해도 탐지 가능 Deterrent values IDS를 도입함으로써 해킹 억제력을 가진다. Reporting Forensics 컴퓨터 범죄에 대한 증거로 활용 Failure detection and Recovery 실패를 감지하고 복구가 가능하다.

14 2.10 The Disadvantages of IDSs
Immaturity - 아직은 오탐지 발견율이 높음 False Positive(Type I error) Error가 아닌 것을 error로 인식 Performance Decrements(네트워크의 속도감소) Initial cost Vulnerability to attack IDS 그 자체에도 해커들의 공격에 취약하다. Applicability Vulnerability to tempering Changing technology

15 3.1 Honey Pot Honey Pot 이란 최신 기법의 침입탐지 기법
Intrusion Detection Systems 3.1 Honey Pot Honey Pot 이란 최신 기법의 침입탐지 기법 강력하지 않은 운영체제를 갖거나, 취약점이 많아서 소스에 쉽게 접근할 수 있는 것처럼 보이는 “유인” 시스템 유인 시스템은 기업의 제품 서버 시스템과 유사하게 설치되고, 수많은 가짜 파일, 디렉토리, 진짜처럼 보일 수 있는 다른 정보를 저장 침입자가 진짜 자산을 공격하기 전에 허니팟이 침입자를 함정에 빠뜨리거나 취약점에 접근할 수 있는 환경을 제공 하는 것 유인장치는 침입자를 잡기 위한 것이 아니라 그들의 움직임을 감시하고 배우기 위한 것 위의 모든 작업을 침입자가 눈치 채지 않도록 해야 한다.

16 3.2 Honey Pot은 어떻게 작동하는가? 내부 네트워크가 침입자에 노출되지 않기 위해 보통 DMZ 어딘가에 놓여진다
Intrusion Detection Systems 3.2 Honey Pot은 어떻게 작동하는가? 내부 네트워크가 침입자에 노출되지 않기 위해 보통 DMZ 어딘가에 놓여진다 허니팟은 침입자의 활동을 감시 로그 파일을 저장 과정의 시작 컴파일 파일첨가, 삭제, 변화 Key stroke 위의 자료를 수집 함으로서 허니팟은 기업의 전반적인 보안 시스템을 개선 허니팟은 회사가 수집된 정보로부터 배운 것으로 공격에 준비하고 대응하도록 돕는 역할을 한다.

17

18

19 7. Application Layer TELNET, FTP, SMTP, SNMP, NNTP, DNS 등등
4. Transport Layer 1. Physical Layer 2. Data Link Layer 3. Network Layer 6. Presentation Layer 5. Session Layer TELNET, FTP, SMTP, SNMP, NNTP, DNS 등등 TCP Ethernet, FDDI, X.25 ISDN 등등 IP (ICMP,ARP,RARP) UDP Open System Interconnection reference Model

20 ■ Application Layer - 특정 프로그램에 의해 정의되어 진다. (파일 전송, 데이타 베이스 질의 등등) ■ Presentation Layer - 서로 다른 시스템에서 데이터가 교환되어지도록 어떻게 코드화 할 것인가를 결정 ■ Session Layer - 트랜스포트 개체간의 연결에 있어서 메시지의 교환을 제어하는 역할 ( ■ Transport Layer - 통신에 참가하는 개체간의 메시지 전달에 책임을 진다. ■ Network Layer - 패킷을 교환 노드에 전송하는 방법등을 통하여 두 스테이션간의 가상 경로를 설립 ■ Link Layer - 신뢰할 수 있는 정보의 전송을 보장하고 전송매체에 연결된 스테이션들에 주소를 지정 ■ Physical Layer - 전송매체를 통하여 서로 다른 물리적 장치간의 데이터 비트의 교환을 제어

21 ■ 1960년대 후반 - 미 국방성(DOD, The Department of Defense)에 의해 통신에 관한 연구 개시
■ 1969년 ARPANET 탄생 (4개의 노드를 접속) ■ 1972년 ARPANET 성공 (30개 이상의 노드를 접속) ■ 1975년 TCP/IP 탄생 ■ 1982년 TCP/IP 규격 결정, UNIX BSD에 TCP/IP 내장 ■ 1983년 ARPANET이 ARPANET과 MILNET으로 분리 ■ 1990년 ARPANET의 역할이 NSFNET으로 이행 ■ 1991년경 상용 네트워크 서비스가 급성장하기 시작 ■ 1992년 INS (Internet Society) 설립 ■ 1995년 백본으로서의 NSFNET의 역할 종료