정보보안 네트워크 침입탐지 대응 (Snort, IPS, VPN, NAC 등)

 

 

 

* 침입 탐지 시스템

 

 

- Snort : 패킷을 스니핑하여 지정한 Rule과 동일한 패킷 탐지하는 침입탐지 시스템

 

 

- Snort 과정

 

 

패킷 -> 스니퍼 -> 전처리기 -> 탐색엔진 (Rule) -> 경고, 로깅 -> 로그파일

 

 

 

1> 스니퍼 (Sniffier) : 입력되는 패킷 수신

 

2> 전처리기 : 패킷의 특정 행위가 탐색된 경우 탐색엔진 전송

 

3> 탐색엔진 : 등록된 Rule 과 동일한지 패턴 검색

 

4> 경고, 로깅 : 탐지된 정보에 대해 로그파일 기록 또는 DB 저장

 

 

 

 

- 시그니처 = 룰 헤더(action, 프로토콜, 포트) + 룰 옵션 (탐지 조건)

 

 

 

1> 룰 헤더

 

 

alert udp any -> tcp any

 

 

- action 처리 : alert, log, pass, dynamic

 

- tcp, udp, ip, icmp 프로토콜 설정하여 탐지

 

- Direction : 화살표 방향으로 송신자 정보 -> 수신자 정보 패킷 전송되면 탐지 ("<>" 은 양방향 탐지)

 

 

 

2> 룰 옵션 : 세부적인 탐지 조건 명시

 

 

- content : 전송하는 문자열이 있는지 확인 (텍스트, 바이너리, 혼합)

 

 

- flags : tcp 프로토콜에서 flag를 지정하여 탐지

 

SYN : tcp 연결 시 동기화

 

ACK : 응답 확인

 

PSH : 수신자 송신 요구

 

URG : 긴급 포인터 

 

FIN : 정상 접속 종료

 

RST : 비정상 종료 (Reset)

 

 

- flow : tcp 연결 확인 세션 (established)

 

 

- ICMP 프로토콜 : network 오류 감시 보고

 

ICMP : 0 (ICMP Echo Reply)

 

ICMP : 8 (ICMP Echo Request)

 

 

- threshold : 동일한 패킷이 설정된 시간에 일정 수 발생하면 탐지 

 

threshold : type [limit, threshold, both], track[by_src, by_dst], count, seconds

 

 

 

 

* 침입 대응 시스템 (IPS)

 

 

- 침입 경고 이전에 공격 중단 목적

 

- 네트워크 단에서 실시간 대응하는 예방 통제 시스템

 

- 침입탐지, 탐지 모니터링, 자동대응

 

 

1> NIPS : 트래픽 통과 여부 결정

 

2> HIPS : 호스트 OS에서 공격 탐지, 프로세스 차단

 

 

 

 

- 허니팟

 

 

해커의 행동과 공격 기법 분석하는 시스템

 

UTM : 통합 보안 솔루션 - 방화벽, ids, ips 등 보안 솔루션을 하드웨어에 통합한 솔루션

 

설치 위치 : 방화벽 앞, 내부, DMZ 내부 (가장 적합)

 

 

 

- VPN (가상사설망)

 

 

공중망(인터넷) 을 통해 사설망 같은 컴퓨터 시스템

 

보안성 우수, 사용자 인증/접근 제한, 데이터 암호화 등

 

 

1> 윈도우 VPN 사용 시 VPN 서버 IP 주소 입력하여 연결한다.

 

2> 사용자 ID, PW 입력하여 VPN 연결 시도 (인증)

 

 

 

- SSL VPN

 

 

Web 브라우저만 있으면 접속 가능 (별도 S/W 설치 필요없음 X)

 

Web 브라우저와 Web server 간의 SSL 암호화 터널링 

 

세션 기반 프로토콜

 

단점은 SSL 암복호화 지연으로 자체적으로 부하 발생가능

 

 

 

- 기타 VPN

 

 

PPTP VPN : 포인트 투 포인트 연결, 패킷을 IP 패킷으로 변환하여 전송

 

L2TP VPN : L2F 프로토콜

 

 

 

- IPSEC VPN : 가상 전용 회선을 통해 패킷을 암호화하여 전송

 

터널모드 : 중계 장비에서 패킷 전체를 암호화

 

전송모드 : 패킷을 출발지 암호화하여 목적지 복호화 (End to End)

 

 

 

 

* NAC (Network Access Control)

 

 

미등록 단말기 식별 & 차단 역할

 

 

- 사전에 IP, MAC 주소를 등록하여 미등록된 기기가 네트워크로 접근하면 차단한다.

 

- 네트워크 무결성 지원 

 

 

1> 구성

 

 

- 정책관리서버 : 네트워크 정책 등록, Agent 정책 설정, 접근 로그 관리

 

- 차단서버 : 네트워크 연결 단말기 통제, 단말기 IP, MAC, OS 정보 수집 & 분류

 

- 에이전트 : 사용자 단말기 설치

 

- 콘솔 : Web에서 네트워크 보안정책 설정, 감사, 모니터링 수행

 

 

 

2> NAC 주요기능 

 

 

- IP 관리 : 특정 IP, MAC 주소에 대해 네트워크 차단 및 해제

 

- 네트워크 정보 수집

 

- 인증 서버 연동

 

- 네트워크 통해 필수 프로그램 강제 설치 기능

 

- DHCP : 동적 IP 할당 기능

 

 

 

* ESM : 통합 보안관제 시스템

 

 

- ESM 구조 : ESM Agent, ESM Manager, ESM Console

 

- SIEM : 빅데이터를 통해 대용량 로그 정보 및 데이터 분석