Transcript IDS
Intrusion Detection System 1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS 1 Intrusion Detection System 2 NIDS vs. HIDS Network IDS Host IDS 공격 시 특별한 패턴을 가지고 침입여부 판단 위의 두 방식은 각각 장단점을 가지고 있고 서로 상호 보완 적이다. 실제로 효과적인 침입탐지 시스템은 두 기술을 모두 적용한 것 2 Intrusion Detection System 2.1 NIDS 기술 체계 자료 수집원 : 네트워크 패킷 – 침입 판단 모듈 – – – – 실시간으로 네트워크를 지나가는 모든 traffic을 모니터하고 분석 (promiscuous mode에서 수행) Pattern / Byte code 매칭 방식 빈도 칯 threshold Correlation of lesser events 통계적 Anomaly Detection IDS의 반응 모듈 – – – – 침입판단 모듈에서 신호가 오면 다양한 옵션으로 대응 Alarm Close connection Logging(사후 분석과 증거 취합) 3 Intrusion Detection System 2.2 네트웍 침입탐지 시스템 (1) 침입탐지 시스템의 기능 침입탐지 침입차단 Network Host 위험경보 감사추적 4 Intrusion Detection System 2.2 네트웍 침입탐지 시스템 (2) 침입탐지 시스템의 구성도 5 Intrusion Detection System 2.3 NIDS 장점(1) 저렴한 투자 비용 – – HIDS이 놓치는 공격 탐지 – – Network traffic을 감시할 수 있는 전략적인 위치에만 설치(효과 적인 침입탐지 가능) 다양한 호스트를 관리하는 SW 필요 없음 HIDS는 모든 패킷의 헤더를 볼 수 없으므로 모든 종류의 공격을 탐지 할 수 없다(TearDrop, IP 기반의 DOS 공격) Payload를 검사 함으로써 특별한 공격에 사용되는 Command와 Syntax를 찾아냄 공격 흔적 제거의 난이 – – Network traffic을 이용하므로 공격자는 흔적을 제거할 수 없다. Capture된 데이터는 공격의 방법뿐 아니라 사후 조사에 사용될 많 은 정보를 포함하고 있다. 6 Intrusion Detection System 2.3 NIDS 장점(2) 실시간 탐지와 대응 – – 실패한 공격의 탐지 – TCP Dos 공격을 당하는 시스템이 감지되면 곧바로 TCP reset으 로 공격을 중지 HIDS는 공격을 인식 못하기 때문에 공격행위가 실행된 후에 조치 를 취한다. NIDS를 F/W의 앞단에 설치하면 F/W이 차단하는 공격도 탐지할 수 있다. OS Independence 7 Intrusion Detection System 2.4 HIDS 기술 체계 자료 수집원 : NT나 Unix의 Audit data System, event, security log System Event Security log 공격 신호 정상 패킷 비교 침입 Log entry Alarm / 대응 중요한 시스템 파일 및 실행파일을 점검하고 예기치 않은 변화의 적당 한 간격에서 체크섬을 통해 점검 기본적인 수준의 NIDS에서 HIDS의 환경으로 옮겨가는 추세 8 Intrusion Detection System 2.5 HIDS 장점(1) 정확한 탐지 – 시스템 이벤트 감시 – – 실제로 일어난 이벤트를 포함하는 로그를 사용하므로 보다 정확 사용자와 파일의 접근활동, 파일의 허용의 변화, 새로운 실행파일 을 설치하려는 시도 그리고 특정한 서비스의 접근을 감시 공격자가 어떤 명령을 실행시켰는지, 어떤 파일을 open시켰는지, 어떤 System call을 실행시켰는지, 어떤 위험한 명령어를 실행시 켰는지 정확히 관리자에게 통보할 수 있다. NIDS이 놓치는 공격 탐지 – – 중요한 서버의 터미널로부터의 공격 시스템 내부에서의 공격 9 Intrusion Detection System 2.5 HIDS 장점(2) 암호화/스위치 환경에서 적합 – – HIDS는 중요한 호스트에 직접 탑재되므로 스위치된 환경의 Network와 무관 NIDS는 암호화 통신을 하는 구간에서는 많은 제한을 받을 수 있다. 추가적인 하드웨어의 불필요 – 별도의 시스템이나 네트워크 장비가 추가 요구되지 않음 10 Intrusion Detection System 2.6 NIDS와 HIDS의 침입 대응방법 대부분의 NIDS와 HIDS는 위협과 공격에 대한 대응 옵션 을 공유 구 분 통보 NIDS HIDS Alarm to Consol Alarm to Consol E-Mail Notification E-Mail Notification View Active Session Log Summary (Reporting) Log Summary (Reporting) 저장 Log Raw Network Data 적극 대응 Kill Connection(TCP Reset) Kill Process Re-Configure Firewall Terminate User Account User Defined Action User Defined Action 11 Intrusion Detection System 2.7 NIDS와 HIDS의 필요성 NIDS와 HIDS 솔루션은 서로를 보충하는 독특한 장점을 가진다 적절한 보안 레벨을 유지하기 위하여서는 침입탐지 두 가지 모두 필요 12 IDS 판단기준 2.8 The Advantages of IDSs Cost reduction Increased Detection Capability – – Deterrent values – IDS를 도입함으로써 해킹 억제력을 가진다. Reporting Forensics – 인간보다 많은 탐지능력과 보다 현명한 판단을 내릴 수 있다 Log Audit에 의존하지 않기 때문에 Hacker가 log audit를 disable해도 탐지 가능 컴퓨터 범죄에 대한 증거로 활용 Failure detection and Recovery – 실패를 감지하고 복구가 가능하다. 13 IDS 판단기준 2.10 The Disadvantages of IDSs Immaturity - 아직은 오탐지 발견율이 높음 False Positive(Type I error) – Performance Decrements(네트워크의 속도감소) Initial cost Vulnerability to attack – Error가 아닌 것을 error로 인식 IDS 그 자체에도 해커들의 공격에 취약하다. Applicability Vulnerability to tempering Changing technology 14 Intrusion Detection Systems 3.1 Honey Pot Honey Pot 이란 – – – – – – 최신 기법의 침입탐지 기법 강력하지 않은 운영체제를 갖거나, 취약점이 많아서 소스에 쉽게 접근할 수 있는 것처럼 보이는 “유인” 시스템 유인 시스템은 기업의 제품 서버 시스템과 유사하게 설치되고, 수 많은 가짜 파일, 디렉토리, 진짜처럼 보일 수 있는 다른 정보를 저 장 침입자가 진짜 자산을 공격하기 전에 허니팟이 침입자를 함정에 빠 뜨리거나 취약점에 접근할 수 있는 환경을 제공 하는 것 유인장치는 침입자를 잡기 위한 것이 아니라 그들의 움직임을 감시 하고 배우기 위한 것 위의 모든 작업을 침입자가 눈치 채지 않도록 해야 한다. 15 Intrusion Detection Systems 3.2 Honey Pot은 어떻게 작동하는가? 내부 네트워크가 침입자에 노출되지 않기 위해 보통 DMZ 어딘가에 놓 여진다 – – – – – – 허니팟은 침입자의 활동을 감시 로그 파일을 저장 과정의 시작 컴파일 파일첨가, 삭제, 변화 Key stroke 위의 자료를 수집 함으로서 허니팟은 기업의 전반적인 보안 시스템을 개선 허니팟은 회사가 수집된 정보로부터 배운 것으로 공격에 준비하고 대응 하도록 돕는 역할을 한다. 16 17 18 7. Application Layer TELNET, FTP, SMTP, SNMP, NNTP, DNS 등등 6. Presentation Layer 5. Session Layer 4. Transport Layer TCP 3. Network Layer UDP IP (ICMP,ARP,RARP) 2. Data Link Layer Ethernet, FDDI, X.25 ISDN 등등 1. Physical Layer Open System Interconnection reference Model 19 ■ Application Layer - 특정 프로그램에 의해 정의되어 진다. (파일 전송, 데이타 베이스 질의 등등) ■ Presentation Layer - 서로 다른 시스템에서 데이터가 교환되어지도록 어떻게 코드화 할 것인가를 결정 ■ Session Layer - 트랜스포트 개체간의 연결에 있어서 메시지의 교환을 제어하는 역할 ( ■ Transport Layer - 통신에 참가하는 개체간의 메시지 전달에 책임을 진다. ■ Network Layer - 패킷을 교환 노드에 전송하는 방법등을 통하여 두 스테이션간의 가상 경로를 설립 ■ Link Layer - 신뢰할 수 있는 정보의 전송을 보장하고 전송매체에 연결된 스테이션들에 주소를 지정 ■ Physical Layer - 전송매체를 통하여 서로 다른 물리적 장치간의 데이터 비트의 교환을 제어 20 ■ 1960년대 후반 - 미 국방성(DOD, The Department of Defense)에 의해 통신에 관한 연구 개시 ■ 1969년 - ARPANET 탄생 (4개의 노드를 접속) ■ 1972년 - ARPANET 성공 (30개 이상의 노드를 접속) ■ 1975년 - TCP/IP 탄생 ■ 1982년 - TCP/IP 규격 결정, UNIX BSD에 TCP/IP 내장 ■ 1983년 - ARPANET이 ARPANET과 MILNET으로 분리 ■ 1990년 - ARPANET의 역할이 NSFNET으로 이행 ■ 1991년경 - 상용 네트워크 서비스가 급성장하기 시작 ■ 1992년 - INS (Internet Society) 설립 ■ 1995년 - 백본으로서의 NSFNET의 역할 종료 21