Transcript 12._네트워크보안

12-4 바이러스, 인터넷 웜
12-5 방화벽
12-6 침입탐지 시스템
발표자 : 20042521 김진태
12-4. 바이러스, 인터넷 웜
•
바이러스(바이러스, 웜)
•
•
정의
컴퓨터에서 실행되는 프로그램의 일종으로 자기 복제를 하여 컴
퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 악성 프로
그램이다.
바이러스와 웜의 차이점
• 바이러스가 다른 실행 프로그램에 기생하여 실행하는
데 반해 웜은 독자적으로 실행
• 바이러스는 스스로 전달할 수 없지만 웜은 가능
• 일반적으로 웜은 네트워크를 손상시키고 대역폭을 잠
식하지만, 바이러스는 컴퓨터의 파일을 감염시키거나
손상
• 감염 대상을 가지고 있는가
12-4. 바이러스, 인터넷 웜
•
웜 바이러스
•
웜과 바이러스의 특징을 결합
•
프로그램에 기생하며 네트워크로도 감염
•
최근에 발견된 첫번째 아이폰 전용 바이러스 아이키
(Ikee)도 웜바이러스
•
트로이목마(非-바이러스 악성코드)
•
스스로 복제를 하지 못함
•
설치를 유도하여 정보 유출에 악용
정의
12-4. 바이러스, 인터넷 웜
•
바이러스의 종류
•
•
•
•
•
부트 바이러스
파일 바이러스
부트·파일 바이러스
매크로 바이러스
바이러스의 구분 기준
•
감염 형태, 감염 증세, 감염 파일의 종류
종류
12-4. 바이러스, 인터넷 웜
종류
부트바이러스
부트 바이러스는 디스크의 OS 기동 코드(부트프로그램)에 감염해서
이 디스크에서 시스템이 기동되어질 때 OS보다 먼저 실행한다.
12-4. 바이러스, 인터넷 웜
•
부트 바이러스
•
•
•
하드디스크 감염 바이러스
플로피 디스크 감염 바이러스
대표적인 부트 바이러스
•
미켈란젤로 바이러스
•
브레인 바이러스
•
LBC 돌 바이러스
•
Monkey
•
Anti-CMOS
종류
12-4. 바이러스, 인터넷 웜
종류
파일 바이러스
실행프로그램에 감염한 바이러스는 이 숙주 프
로그램이 실행되어지는 시기에 실행되어진다.
12-4. 바이러스, 인터넷 웜
•
종류
파일 바이러스
•
•
국내에서 발견된 바이러스의 80%
대표적인 파일 바이러스
•
Jerusalem
•
Sunday
•
Scorpion
•
Crow
•
FCL
•
CIH
•
•
•
타이완의 천잉하오가 제작(이 나쁜놈은 체포 됐음 1999년 4월 29일)
체르노빌 바이러스라고도 불리며 체르노빌 원자력 발전소 사고가 일
어난 4월 26일에 동작
운영체제의 시동 드라이브의 첫 1024킬로바이트를 0으로 채운 후 특
정 바이오스 공격
12-4. 바이러스, 인터넷 웜
•
부트·파일 바이러스
•
•
•
부트섹터와 파일에 모두 감염
크기가 크고 피해 정도도 크다
대표적인 부트·파일 바이러스
•
Invader
•
Euthanasia
•
Ebola
종류
12-4. 바이러스, 인터넷 웜
종류
매크로 바이러스
MS의 Word와 Excel의 문서파일에는 매크로라는 일종의
프로그램을 첨가하는 것이 가능하다.
12-4. 바이러스, 인터넷 웜
감염
감염 증상
•
컴퓨터 바이러스의 감염 여부는 시스템 및 프로그램의
속도 저하, 컴퓨터 바이러스 백신 실행이나 시스템 레지
스터 확인, 디스크나 파일의 파괴 증상, 각종 컴퓨터 바
이러스별로 나타나는 특이 증상 등을 기준으로 판단 가
능
일반적인 증상
•
•
•
•
•
•
•
•
비정상적인 프로그램 실행 에러가 발생할 경우
시스템의 사용 가능 메모리가 줄어들어 여분이 없을 경우
하드디스크에 정상적으로 존재하고 있던 파일 중에서, 본인이 삭
제한 일이 없는 실행 파일이나 데이터 파일 등이 삭제되거나 변
형되었을 경우
실행 및 부팅 속도가 눈에 띄게 떨어질 경우
시스템이 비정상적으로 다운될 경우
비정상적으로 저장매체가 인식되지 않을 경우
시스템에 비정상적인 그림, 메시지, 소리 등이 출력될 때
12-4. 바이러스, 인터넷 웜
•바이러스 방지와 사용자 지침
•시스템 디스켓의 경우에는 반드시 쓰기 방지용 탭을 붙여 놓는
다.
•새로운 디스켓이나 프로그램은 반드시 바이러스의 감염 여부를
검사한 후 사용하는 습관을 들인다.
•하드 디스크가 있는 경우에는 될 수 있는 한 하드디스크로 부팅
을 하며 특별히 플로피 디스크로 부팅을 해야만 하는 경우에는
반드시 안전한 디스켓(바이러스 검사를 마친 디스켓)을 사용하
도록 한다.
•중요한 데이터는 반드시 백업해 둔다. 또한 전체 데이터에 대한
정기적인 백업을 해 둔다.
•여러 사람이 공유하는 컴퓨터를 사용하는 경우에는 바이러스를
검사한 후에 사용하는 최신 버전의 바이러스 백신 프로그램을
설치한다.
•네트워크(인터넷 등)로 다른 컴퓨터와의 연결을 통한 프로그램
의 전송을 받을 경우 바이러스 검사를 하여 사용하도록 한다.
예방
12-4. 바이러스, 인터넷 웜
•그냥 알약, v3
예방
12-5. 방화벽
•
정의
방화벽이란?
•
•
•
신뢰하는 비공개 인트라넷과 인터넷 사이를 분리시키
는 것이 목적
소프트웨어와 하드웨어를 총체적으로 구현한 설계 및
그러한 제품
내부 네트워크를 방어하는 보안 경계선
12-5. 방화벽
•
방화벽 구성 요소
•
•
•
스크린 라우터
베스천 호스트
프록시 서버
구성 요소
12-5. 방화벽
•
구성 요소
스크린 라우터
•
•
•
•
패킷의 헤더 내용을 보고 필터링(스크린)
•
출발지 주소 및 목적지 주소에 의한 스크린
•
포트번호, 프로토콜별 스크린
어느 정도 수준의 보안 접근제어가 가능
하지만 라우터에서 구현된 펌웨어수준으로는 제한점이 많고 복
잡한 정책 구현이 어려움
일반적으로 스크린 라우터에 베스천 호스트를 함께 운영
12-5. 방화벽
•
구성 요소
베스천 호스트
•
•
•
외부의 공격에 노출되어 방어를 담당하는 별도의 시
스템
네트워크 보안 상 가장 중요한 위치를 차지
방화벽 시스템의 중요기능으로서 접근제어 및 응용
시스템 게이트웨이로서 프록시 서버의 설치, 로그,
인증, 로그, 감사, 추적 등을 담당
12-5. 방화벽
•
구성 요소
프록시 서버
•
•
•
•
방화벽이 설치되어 있는 호스트에서 동작하는 서버
방화벽 내에 있는 사용자들에게 방화벽 밖에 있는 서
버로의 자유로운 서비스 요구와 응답을 받기 위한 수
단
Traffic 제어
•
내부의 모든 사용자는 프록시 서버에게만 서비스
를 요구하고 응답받을 수 있다.
Cashing 기능
12-5. 방화벽
•
기능
방화벽의 기능
•
특정 서비스의 선택적 수용
•
특정 노드에 대한 선택적 보호
•
집중적 보안
•
프라이버시 강화
•
프록시 서비스의 지원
•
•
애플리케이션 게이트웨이 방식 방화벽에서만 가능
특정 서비스의 경우 프락시 서비스 모듈을 통해 추가 사용
자 인증 기능을 수행 가능
12-5. 방화벽
•
방화벽 적용 방식
•
•
•
네트워크 수준의 방화벽
애플리케이션 수준의 방화벽
혼합형 방화벽
적용방식
12-5. 방화벽
•
적용방식
네트워크 수준의 방화벽(Packet Filetering Firewall)
•
•
•
스크린 라우터만을 가지고 있는 가장 단순한 형태
장점
•
싸다.
단점
•
로그인 방식 불가능
•
IP Spoofing 공격에 취악
12-5. 방화벽
•
적용방식
애플리케이션 수준의 방화벽(Application Gateway FireWall)
•
•
•
proxy 서버 기능을 제공
사용자별, IP주소별 제한, 통제가 가능
가장 안전한 방화벽의 유형
12-5. 방화벽
•
적용방식
혼합형 방화벽(Hybrid FireWall)
•
•
네트워크 수준의 방화벽과 애플리케이션 수준의 방화
벽의 장점만을 취해 개선한 방화벽
상호보완하여 보안 수준을 더 향상시킬 수 있다.
•
혼합형 방화벽 아키텍쳐
•
Stateful Inspection
•
제품
•
CheckPoint사의 FireWall-1
12-5. 방화벽
•
적용방식
Stateful Inspection(dynamic packet filtering)
• static packet filtering
• 패킷의 헤더만을 검사
• dynamic packet filtering
• 패킷의 내용까지 검사
•
•
monitors the state of the connection and
compiles the information in a state table.
Because of this,
filtering decisions are based not only on administrator-defined
rules (as in static packet filtering)
but also on context that has been established
by prior packets that have passed through the firewall.
12-6. 침입탐지 시스템
•
개념
침입의 정의
•
•
인증되지 않은 컴퓨터 시스템의 사용 또는 오용
침입탐지 시스템(IDS:Intrusion Detection System)
•
실시간으로 네트워크를 감시하여 권한이 없는 사용
자로부터의 접속, 정보의 조작, 오용, 남용 등 네트워
크 상에서 시도되는 불법적인 침입 행위를 막지 못했
을 때 조치를 취하기 위해 사용되는 시스템
12-6. 침입탐지 시스템
•
기능과 특징
침입 탐지 시스템의 기능과 특징
•
•
•
•
•
•
•
Stealth 모드 지원
Session drop 기능
Process 종료
백도어 탐지
각종 공격 탐지
•
공격을 시도할 때 특정한 코드 값을 보내게 되는
데 이를 알아내어 탐지
방화벽 연동
•
탐지한 공격 패턴을 방화벽에 전달함으로써 유사
공격을 원천적으로 막을 수 있다.
Alert 기능
12-6. 침입탐지 시스템
•
•
기능과 특징
탐지영역에 따른 IDS 분류
•
H-IDS(host based IDS)
•
감시 대상이 되는 host에 탑재
•
N-IDS(Network based IDS)
•
지나가는 트래픽을 볼 수 있는 감시 대상이 되는
네트워크단에 설치
대부분의 IDS는 N-IDS가 대부분
12-6. 침입탐지 시스템
•
침입탐지 기법
침입탐지 기법
•
비정상 행위 탐지(Anomaly Detection)
- 시스템 가동 전에 정상적인 수치를 기록하여 기준선을 초
과하는 비정상 행위를 탐지
•
통계적 접근
•
•
통계적으로 처리된 과거의 경험자료를 기준으로 특별
한 행위 또는 유사한 사건으로 이탈을 탐지
예측 가능 패턴 생성
•
•
이벤트 간의 상호관계와 순서를 설명하고 각각의 이벤
트에 시간을 부여하여 기존에 설정된 침입 시나리오와
비교하여 침입을 탐지하는 방법
신경망
•
현재까지의 사용자의 행동과 명령을 학습하여 다음 행
동과 명령을 예측하여 침입을 탐지
12-6. 침입탐지 시스템
•
침입탐지 기법
침입탐지 기법
•
오용 탐지(Misuse Detection, signature Base, Knowledge Base)
- 과거의 침입 행들로부터 얻어진 공격 패턴으로 공격을 탐지
•
전문가 시스템(Expert System)
•
•
이미 발견되어 정립된 공격패턴을 입력해놓고 여기에 해당하
는 패턴을 탐지하여 정해진 액션으로 대응
키 모니터링(Keystroke Monitoring)
•
•
사용자의 key-stroke를 모니터링하여 공격패턴을 나타내는
key-stroke패턴을 탐지
상태 전이 분석(State Transition Analysis)
•
•
공격패턴을 상태전이의 순서로 표현
침입 과정을 규칙 기반으로 탐지
12-6. 침입탐지 시스템
•
침입탐지 기법
패턴 매칭(Pattern Matching)
•
•
이미 알려진 공격 유형들을 패턴으로 가지고 현재 행위
와 일치하는 패턴을 탐지
조건부 확률 이용
•
•
특정 이벤트가 침입일 확률을 조건부 확률을 이용해서
계산 하는 방법
모델에 근거한 방법
•
공격패턴을 DB화하고 특정 공격패턴에 대해DB를 참조
하여 침입 여부를 탐지
12-6. 침입탐지 시스템
•
대응 방식
•
•
능동적인 대응(Active IDS)
•
연결, 세션 또는 프로세스 종료
•
네트워크 재구성
•
속임수
수동적인 대응(Passive IDS)
•
피하기(Shunning)
•
기록(Logging)
•
통보(notification)
대응 방식
12-6. 침입탐지 시스템
•
IPS
IPS(Intrusion Prevention System)
•
•
•
IDS에 능동적인 대응 기능을 넣은 프로그램
IPS출시 후 IDS의 입지가 좁아지고 있다.
하지만 아직 IPS의 표준이 정해지지 않아 기준이 모호
해 당분간 IDS와 공존할 것으로 보임