기사자격증(알기사, IDS/IPS)

IDS(침입탐지 시스템)

- N/W서 사용되는 자원의 무결성, 비밀성, 가용성을 저해하는 비정상적인 사용과 오용, 남용 등의 행위를 가능한 실시간으로 탐지하여 관리자에게 알림

- 내ㆍ외부망의 접속점에 위치해 방화벽의 부족한 부분을 보강해줌

- 전통적 IDS는 공격의 증거를 찾기위해 트래픽 분석의 역할을 수행했다면 현대의 IDS는 허니팟 개념으로 점차 확장 / 변화하고 있다.

- IDS의 장ㆍ단점

장점	단점
ㆍ해킹에 대해 방화벽보다 적극적 방어 가능 ㆍ내부 사용자의 오ㆍ남용 탐지 및 방어 가능 ㆍ해킹사고 발생시 어느정도 근원지 추적 가능	ㆍ대규모 N/W에서 사용 곤란 ㆍ관리 및 운영의 어려움 ㆍ새로운 침입기법에 대해 즉각적 대응 곤란 ㆍ보안사고의 근본적 해결책이 되지 못함

- IDS  구현하는 일반적인 방법 : 사후감사 추적에 의한 분석 → 실시간 패킷 분석기술 → 실시간 행위 감시 및 분석기술

- IDS의 실행단계

1. 데이터 수집 : 탐지대상으로부터 생성되는 데이터 수집

2. 데이터 가공 및 축약 : 수집된 데이터를 침입 판정이 가능하도록 의미있는 정보로 전환

3. 침입분석 및 탐지 단계 : 시스템의 비정상적인 사용을 탐지하는 비정상적 행위 탐지와 시스템의 취약점, 응용 프로그램의 버그를 탐지하는 오용 탐지로 나눌수 있음

4. 보고 및 대응 : 시스템을 침입했다고 판정된 경우 적절한 대응을 하거나 관리자에게 침입사실을 알림

- IDS의 종류

 

1. 탐지방법에 의한 분류

1. 규칙-기반 침입탐지(오용 침입탐지) - 공격행위를 기억

- 기존의 침입방법을 DB에 저장해 두었다가 행동 패턴이 기존의 침입 패턴과 일치하거나 유사한 경우 침입이라 판단

- 새로운 공격이나 침입방법 출현시 그에 맞는 공격패턴 생성하여 추가

- 오용 침입 탐지기법은 비정상행위탐지(통계적변형)보다 False-positive을 감소시킬 수 있다.

- 종류

1. 전문가 시스템 : 침입 또는 오용의 패턴을 실시간으로 입력되는 감사정보와 비교하여 침입 탐지

2. 상태전이 모델 : 공격 패턴에 따라 시스템의 상태변화를 미리 상태전이도로 표현, 시스템의 상태 변화를 계속 추적해 침입상태로 전이되는지 감시하는 방법

3. 패턴매칭 : 알려진 공격패턴을 시나리오 형태로 DB에 저장 후 발생 사건을 시나리오와 비교해 침입여부 판단

 

통계적 변형 탐지(비정상 침입탐지) - 사용자의 정상행위 기억

- 정상적 행위에 대한 정의들과 비교해 심각한 수준의 일탈행위를 식별하는 방식

- 오용탐지 기법보다 DB관리가 용이하고 제로데이 공격 탐지가 가능하며, 침입 이외 시스템 이상도 발견할 수 있음

- 하지만 실시간 탐지가 어렵고 탐지 정확성 높이기 위한 기준 설정이 어렵다

- 종류

1. 통계적 분석 : 사용자 행위에 대한 이전 정보를 기반으로 프로파일 생성하고 주기적으로 관리

2. 예측가능한 패턴 생성방법 : 정상적인 행위는 일정한 패턴이라고 가정하고 정상적 패턴을 벗어나는 행위를 비정상 행위로 판단

3. 신경망 모델 : 적응학습 기술을 사용하여 비정상적 행위를 탐지하는 방법

신경망 모델은 두 단계의 과정을 거쳐 침입 탐지 하는데 1단계는 사용자 행위 학습, 2단계는 입력된 사건을 학습된 행위와 비교해 비정상 행위 탐지 한다.

 

분류형태	특징	장점	단점
지식기반 / 오용 침입탐지	ㆍ특정 공격에 관한 분석결과를 바탕으로 패턴을 설정	ㆍ오탐률이 낮음 ㆍ트로이목마 백도어 탐지 가능	ㆍ새로운 공격탐지를 위해 지속적 공격패턴 갱신 필요 ㆍ패턴에 없는 새로운 공격은 탐지 불가 ㆍ대량의 자료 분석에는 부적합
행위기반 / 비정상행위 탐지 기법	ㆍ사용자 행위 분석해 정상적 행동과 비교해 이상행동 발견시 불법으로 탐지 ㆍ정량적 분석, 통계적 분석 이용	ㆍ인공지능 알고리즘 사용으로 수작업의 패턴 업데이트 불필요 ㆍ알려지지 않는 공격(제로데이 공격) 탐지 가능	ㆍ오탐률이 높음 ㆍ정상과 비정상의 구분을 위한 임계치 설정이 어려움

 

2. 대응방법에 따른 분류 : 1. 능동적 대응 2. 수동적 대응

1. 능동적 대응

1. 침입에 대해 가장 빨리 실행할 수 있는 행동으로 침입에 의한 손실을 줄일 수 있게 함

2. 하지만 오경보를 많이 발생시켜 시스템의 가용성을 저하시킬 수 있음

→ 많이 사용되지는 않음

2. 수동적 대응

1. 대량의 정보를 수집하는 형태를 취하거나 권한을 가진 사용자에게 엄격한 조치를 취할수 있도록 통보하는 형태

2. 침입을 피하거나, 상세한 분석, 조치에 도움이 되도록 SNMP 트랩 등을 이용해 침입과 관련된 정보를 보안 관리자에게 보고하는 방식등이 있음

 

3. 데이터 수집원에 의한 분류 : 1. NIDS 2. H-IDS

1. NIDS

- 네트워크를 통해 전송되는 패킷의 정보를 수집 분석하여 침입을 탐지

- 감지기를 이용(감지기는 무차별모드에 설치되어 있어 패킷을 스니핑 함)

- 장점

1. 초기 구축 비용이 저렴

2. 운영체제에 독립적이므로 구현 및 관리가 쉬움

3. 캡쳐된 트래픽에 대해 침입자가 흔적을 제거하기 어려움

- 단점

1. 암호화된 패킷은 분석이 불가능

2. 스위칭 환경에서는 H-IDS보다 비용이 더 많이 든다.

3. 기가비트 환경에서는 오히려 패킷손실이 더많아 탐지율이 떨어짐

4. 호스트 상에서 수행되는 세부행위에 대해서는 탐지가 불가

 

2. H-IDS

- 호스트 시스템으로부터 생성되고 수집된 감사자료로 시스템 침입여부 판단

- N-IDS에서 탐지 못하는 정보까지 탐지가 가능하다.

- N-IDS, 방화벽과 달리 외부 침입자와 내부침입자 모두 발견이 가능

- H-IDS 장점

1. 정확한 탐지가 가능하며 다양한 대응책 수행 가능

2. 암호화 및 스위칭이 환경에 적합

- H-IDS 단점

1. 다양한 OS를 지원해야함

2. 추가적 부하가 있다.

3. 구현이 용이하지 않음

분류형태	특징	장점	단점
H-IDS	ㆍ서버에 직접 설치하므로 N/W 환경과 무관함	ㆍ기록되는 다양한 로그자료를 통해 정확한 침입탐지 가능 ㆍ호스트에 대한 명백한 침투 탐지 가능 ㆍ내부자에 의한 공격도 탐지 가능	ㆍ로그자료의 변조 및 DOS공격에 의한 IDS 무력화 ㆍ호스트 성능에 의존적 ㆍ리소스 사용으로 인한 서버부하 발생
NIDS	ㆍN/W 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이	ㆍ서버의 성능저하가 없음 ㆍN/W에서 발생하는 여러 유형 탐지 가능 ㆍ해커에게 IDS 존재사실을 숨길 수 있음	ㆍ암호화 패킷 전송시 침입 탐지 불가능 ㆍ트래픽이 많으면 성능문제가 생김 ㆍ오탐률이 높음

 

4. 탐지시점에 따른 분류 : 사후분석 시스템, 실시간 탐지 시스템

1. 사후분석 시스템

- 고전적인 형태의 IDS

- 수집된 데이터를 정해진 시간에만 분석하여 침입여부 판단

- 즉시 대응하지 못하는 한계가 있음

 

2. 실시간 탐지 시스템

- 실시간 정보수집과 동시에 감사 데이터 발생과 침입 탐지가 이루어지고 대응책을 바로 실행

 

IDS의 위치

- IDS는 목적에 따라 여러 곳에 설치가 가능하다

※ 방화벽은 외부와 내부 경계선에 존재해야함

- H-IDS는 유지, 관리 비용이 많이 들기 때문에 웹 서비스같이 사업을 유지하기 위한 중요 서비스에만 설치

 

NIDS의 위치

 

(1) 패킷이 라우터로 들어오기전

- N/W에 실행되는 모든 공격을 탐지 가능

- 모든 공격을 탐지 하는 만큼 많은 패킷을 수신하기 때문에 N/W의 치명적 공격에 대처하기 어려움

(2) 라우터 뒤

- 라우터의 패킷 필터링을 거친 후에 들어온 패킷 검사

- (1)번보다는 적은 공격 탐지

(3) 방화벽 뒤

- 방화벽 뒤에서 탐지되는 공격은 네트워크에 직접 영향을 주므로 탐지되는 공격에 대한 정책과 방화벽과의 연동성이 가장 중요한 부분

- 내부에서의 공격도 어느정도 탐지가 가능하여 내부의 공격자 또한 어느정도 탐지 가능

- 만약 NIDS를 한 대만 설치해야할 경우 (3)번위치에 설치를 해야함

(4) 내부 네트워크

- 방화벽은 외부에서 들어오는 패킷을 탐지하기는 하지만 내부에 대해서는 무방비 상태

- 내부 N/W의 해킹을 감시하고자 할 때 설치

(5) DMZ

- DMZ는 외부인터넷에 서비스를 제공하는 서버가 위치하는 N/W이다.

- 그러므로 DMZ는 외부, 내부의 공격으로부터 안전해야한다.

- DMZ 서버에 IDS를 설치하는 것은 매우 능력이 뛰어난 외부 공격자와 내부 공격자에 의한 데이터 손실이나 서비스 중지를 막는다.

 

IDS 응용

긍정오류(false positive)와 부정오류(false negative)

 

- 침입자의 행동을 넓게 잡다보면 침입자도 잡지만 선량한 사용자마저 침입자로 판단하는 긍정오류(false positive)가 일어난다.

- 침입자의 행동을 늦게 잡다보면 침입자를 합법적인 사용자를 판단하게 되는 부정오류(false negative)를 유발

 

허니팟

- 자료를 가진 호스트인 것처럼하고 일부로 취약점을 만들어 해커를 유인하는 시스템

※ 유인 vs 함정

구분	유인	함정
대상	시스템에 허가되지 않은 접근 시도자	침입 의도가 없는 사용자
목적	침입의 흔적을 남기기 위한 목적	범죄를 유발하기 위한 목적
합법여부	합법, 윤리적	불법, 비윤리적
특징	증거를 잡아내기 위해 범인으로 하여금 범죄현장에 충분히 오랫동안 있게함	범죄 의사가 없는 사람에게 범죄를 일으키도록 유도

- 허니팟을 이용해 해커들의 행동이나 공격기법, 해킹목적을 분석할 수 있다.

- IDS나 방화벽처럼 특정 보안문제를 해결하거나 다른 보안 시스템을 대처해주지는 않는다.

- 잠재적 공격자에 대한 조기 경보 제공, 보안 전략의 결점 파악 등 전반적인 보안 메커니즘 향상시키는 기능 수행

- 다른 보안 시스템처럼 성능이 시스템에 영향을 받지 않음

- Zero day공격을 사전에 탐지할 수 있는 예방통제 기술

- 허니팟의 설계한 목적

1. 중요 시스템에 접근하는 공격자를 다른 방향으로 돌림

2. 공격자의 동작에 관한 정보 수집

3. 관리자가 반응할 수 있도록 공격자로 하여금 허니팟에 오랫동안 머무르게 유도

- 허니팟의 단점

1. 자신에게 오는 패킷만 수집하므로 N/W 전반에 대한 침입정보 탐지는 불가능

2. 공격자가 허니팟의 존재를 알아채린 경우 허니팟을 우회하거나 마비시키는 공격을 가할 수 있음

※ FDS(이상 금융거래 탐지시스템)

- 전자 금융거래에 사용되는 정보들을 종합적으로 분석하여 의심거래 탐지, 이상금융거래를 차단하는 시스템을 의미

 

스노트(Snort)

- 일종의 침입탐지시스템

- 실시간 트래픽 분석, 프로토콜 분석, 내용검색 / 매칭, 침입탐지 Rule에 의거해 오버플로우, 포트스캔, CGI공격, OS 확인시도 등의 다양한 공격과 스캔 탐지

- 침입탐지 Rule은 보안 커뮤니티에서 지속적 업데이트 및 사용자가 직접 Rule을 추가 작성이 가능해 최신공격에 빨리 대처할 수 있다.

- Snort의 주요 기능

1. 패킷 스니퍼

2. 패킷 로거 : 모니터링한 패킷을 저장, 로그에 남기는 기능

3. N/W IDS, IPS : N/W 트래픽을 분석하여 공격 탐지 / 차단하는 기능

- Snort의 룰 형식

1. Snort는 헤더부분과 바디부분으로 구성

2. 헤더부분은 처리방식, 프로토콜, IP주소, 포트번호 등 처리할 패킷을 판단하는 기준을 명시

3. 바디부분은 경고메시지, 패킷 데이터를 조사하기 위한 내용을 명시

4. 룰 옵션은 지정하지 않아도 올바른 시그니처로 동작한다.

5. 룰 헤더양식

action

protocol

출발지 IP

출발지 port

direction

목적지 IP

목적지 port

1. action : 룰 매칭 시 처리방법

action	의미
alert	alert를 발생시키고 로그를 남긴다
log	패킷을 로그에 남긴다
pass	패킷을 무시한다
active	alert 발생, dynamic rule 활성화
dynamic	active rule에 의해 활성화되고 log, rule과 동일하게 동작
drop	패킷 차단 후 로그에 남긴다
reject	패킷을 차단하고 로그에 남긴 후 TCP일 경우 TCP Reset 전송, UDP일 경우 ICMP port unreachable 전송
sdrop	패킷을 차단하지만 로그는 남기지 않음

 

2. protocol : TCP, UDP, ICMP, IP 중 선택

3. IP Address : 출발지, 목적지 주소 표현, 복수개 표현(, 사용), 부정연산자(!), 모든주소(any) 사용 가능

4. Port : 출발지와, 목적지 포트 번호(:숫자 = 숫자 포트 이하, 숫자: 숫자 포트 이상)

5. Direction : 방향, -> : 단방향, 왼쪽에서 오른쪽으로(<-포트는 없음), <> : 출발지와 목적지를 오가는 모든 패킷)

 

주요 룰 바디 설정

옵션	의미
msg	alert 로그 출력시 이벤트 명으로 사용
content	패킷의 payload 내부 검색하는 문자열
offset	content로 지정한 문자열의 검색 시작 오프셋
depth	offset로부터 검사할 바이트 수 지정, 빠른 검색을 위해서는 사용을 권장
sid	룰 식별자
flow	established : 통신이 established 된 패킷만, stateless : 상태 상관없이, 비정상 무작위 공격 대비
rev	rule 버전번호로 수정 횟수 표기

 

침입방지 시스템(IPS)

- 다양한 보안기술을 가지고 침입이 일어나기 전에 실시간으로 침입을 막음

- 다양한 공격으로부터 트래픽을 차단하기 위한 능동형 보안 솔루션

- 취약점을 능동적으로 사전에 보완하고 비정상적 트래픽이나 알려지지 않은 공격까지 차단해 한층 높은 보안을 제공

IPS외 기존 보안제품의 한계

구분	내용
방화벽	ㆍ대규모 N/W서 사용 곤란 ㆍ신뢰 / 비신뢰 구간 명확히 분리하는 환경에서만 사용 가능 ㆍ인가된 사용자의 악의적 행동 차단이 어려움(내부 사용자의 공격에 취약)
IDS	ㆍ탐지 이후 방화벽에 연동에 의한 차단 외에 적절한 차단방법 x
바이러스 월	ㆍ취약점을 통해 전파 되는 공격에 대응 불능
L7 스위치	ㆍ최종적 session 기반 탐지 / 차단, 세밀한 차단정책 사용 불가

- IPS는 알려지지 않은 공격까지도 방어가 가능한 실시간 침입방지시스템으로 OS 차원에서 실시간 방어 / 탐지 기능 제공

- IPS, 방화벽, IDS 비교

구분	방화벽	IDS	IPS
목적	접근통제 및 인가	침입여부 감지	침입 이전의 방지
특징	ㆍ수동적 차단 ㆍ내부망 보호	ㆍ로그, signature 기반의 패턴 매칭	ㆍ정책, 규칙기반 비정상 행위 탐지
패킷 차단	O	X	X
패킷 내용분석	X	O	O
오용탐지	X	O	O
오용차단	X	X	O
이상탐지	X	O	O
이상차단	X	X	O
장점	ㆍ엄격한 접근통제 ㆍ인가된 트래픽만 허용	ㆍ실시간 탐지 ㆍ사후분석 대응기술	ㆍ실시간 즉가대응 ㆍ세션기반 탐지 가능
단점	ㆍ내부공격에 취약 ㆍN/W 병목현상	ㆍ변형 패턴에 대해서는 탐지 어려움	ㆍ오탐현상 발생 가능 ㆍ장비가 비쌈