Intrusion Detection System(침입탐지시스템)
Download
Report
Transcript Intrusion Detection System(침입탐지시스템)
Intrusion Detection
System(침입탐지시스템)
Wireless/Mobile Network Lab
박준석
1. IDS란 ?
2. 왜 IDS가 필요한가?
1.1 IDS 구분
2.1 침입탐지 시스템의 분류
2.2 침입탐지 시스템의 기술적 구성요소
3. IDS의 장점
4. SNORT의 이해
4.1
4.2
4.3
4.4
4.5
4.6
4.7
Snort 주요한 세가지 기능
Snort의 특징
Snort의 디자인
탐지 엔진(Detection Engine)
Snort의 단점
분석
실행 화면
1. IDS란 ?
IDS는 단순한 접근 제어 기능을 넘어서 침입의 패턴
데이터베이스와 Expert System을 사용해 네트워크나
시스템의 사용을 실시간 모니터링하고 침입을 탐지하
는 보안 시스템이다.
IDS는 허가되지 않은 사용자로부터 접속, 정보의 조작, 오용, 남용 등 컴퓨터 시스템 또는 네트워크 상에
서 시도됐거나 진행 중인 불법적인 예방에 실패한 경
우 취할 수 있는 방법으로 의심스러운 행위를 감시하
여 가능한 침입자를 조기에 발견하고 실시간 처리를
목적으로 하는 시스템이다.
1.1 IDS 구분
IDS는 모니터링의 대상에 따라 네트워크 기반
IDS와 호스트 기반 IDS로 나눌 수 있다.
호스트 기반 IDS는 시스템 내부에 설치되어
하나의 시스템 내부 사용자들의 활동을 감시
하고 해킹 시도를 탐지해내는 시스템이다.
네트워크 기반 IDS는 네트워크의 패킷 캡처링
에 기반하여 네트워크를 지나다니는 패킷을
분석해서 침입을 탐지해낸다.
2. 왜 IDS가 필요한가?
침입탐지 시스템(IDS) 이 칩입차단 시스
템(Fire Wall 방화벽)에 이은 차세대 보
안 솔루션으로 부각되는 주된 이유는 침
입차단 시스템이 효과적인 차단에 실패
하였을 경우, 이에 따른 피해를 최소화
하고 네트워크 관리자 부재시에도 해킹
에 적절히 대응할 수 있는 보안 솔루션
에 대한 요구가 증가하고 있기 때문이다.
2.1 침입탐지 시스템의 분류
데이터 소스를 기반으로 하는 분류 방법
- 단일호스트 기반
- 네트워크 기반 : 네트워크 패킷 데이터를 모
아 침입을 탐지하는데 이용하는 방법
침입모델을 기반으로 하는 분류 방법
- 비정상적인 행위 탐지(Anomaly Detection)
- 오용탐지 방법(Misuse Detection)
2.2 침입탐지 시스템의 기술적
구성요소
정보수집단계: 시스템의 모든 정보를 수집
하여 다음 단계인 정보 가공 및 축약단계로
넘기는 기능을 수행한다.(침입정보만을 수
집하는 것은 아님, 모든 정보를 수집함)
정보가공 및 축약단계: 침입탐지에 필요한
의미있는 정보만을 축약하는 단계
분석 및 침입탐지단계: 침입여부를 판정하
는 단계로 침입탐지시스템의 핵심
보고 및 조치단계: 침입으로 판단되어지면
관리자에게 보고하고 관리자는 조치를 취하
는 단계
3. IDS의 장점
해킹방법을 기반으로 해커의 침입을 탐지하므로 신기술의 적
용이 빠르다.
외부로부터의 공격뿐만 아니라 내부자의 의한 해킹도 차단할
수 있다. 이에 따라 기존 방화벽이 지원하지 못하는 ID 도용을
통한 내부공격자의 해킹도 차단한다.
접속하는 IP에 상관없이 침입을 차단한다.
기존의 방화벽은 인증된 IP로의 공격은 막지 못하므로 해커들
이 인증된 IP로 공격성공하면 방화벽이 무용지물이 되었으나
IDS는 IP에 상관없이 모든 패킷에 대해 검사를 수행하므로 더
욱 안전하다.
시스템 침입에 즉시 대응한다.
해킹사실이 발견되었을 때 해킹에 관한 정보를 휴대전화, 무
선호출기, 전자우편 등으로 즉시 전송, 네트워크 관리자 부재
시에도 시스템 보안을 유지할 수 있다.
4. SNORT의 이해
SNORT는 IP network 상에서 실시간 traffic
분석과 packet logging을 뛰어나게 수행하는
작고 가벼운 네트워크 침입 탐지 시스템이다.
snort는 프로토콜 분석과 packet의 내용 조
사, 패턴매칭이 가능하며, 버퍼 오버플로우나
스텔스 포트스캔,CGI 공격,SMB 탐지,OS
fingerprinting 시도 등 다양한 공격과 탐지를
발견하는데 사용할 수 있다.
traffic을 잡아내기 위해 유용한 modular
plug-in 구조를 가진 탐지 엔진과 같은 매우
유연한 rule language를 사용한다.
4.1 Snort 주요한 세가지 기능
snort는 tcpdump와 같은 packet
sniffer로 바로 사용할 수 있다.
네트워크 traffic debugging에 유용한
packet logger 기능이 있다.
4.2 Snort의 특징
소스 크기가 작다 (110k이하)
여러 시스템에 포팅되어 있
다.(Linux,Solaris,*BSD,IRIX,HPUX,Windows)
새로운 해킹 기법에 따른 룰의 적용이 빠르다.
snort는 오픈 소스 IDS 중에서 가장 널리 사용.
GPL/Open Source 소프트웨어이다.
4.3 Snort의 디자인
패킷 스니핑(packet sniffing)을 이용한 IDS
시스템
패킷 캡쳐를 위해서 libpcap을 사용하였습니
다.
룰 기반(rule based)으로 탐지 엔진
Detection Engine)을 갖추고 있다.
일반 로그,tcpdump 포맷 로그, 실시간 경고,
파일일, 윈도우즈 팝업등의 여러가지 포맷을
통해서 사용자에게 결과를 보여 준다.
4.4 탐지 엔진(Detection
Engine)
룰(rule)들은 시그너쳐(signature)를 형
성한다.
스텔스 스캔(stealth scan)이나 OS 지문
검사(fingerprinting), 잘못된 ICMP 코드
사용등의 네트워크의 이상 징후를 발견
할 수 있다.
4.5 Snort의 단점
TCP 스트림 재조합(reassembly)을 지원하지
않습니다. 따라서 모든 시그너쳐 분석은 패킷
단위로 행해 진다. whisker 등의 툴들은 이러
한 분석법을 우회할 수 있는 메카니즘을 갖고
있다.
IP 조각 패킷(fragmented packet)에 대해서
재조합을 할 수 없다. 대신 minfrag라는 룰 옵
션을 사용하여 패킷 조각의 최소 크기를 지정
할 수 있다.
로그 기능이 약하다.
4.6 분석(cont.)
4.7 실행 화면