27. IDS/IPS

IDS(침입탐지시스템)

    자원의 무결성, 비밀성, 가용성을 저해하는 행위를 가능한 한 실시간으로 탐지하여 관리자에게 경고 메시지를 보내주고 대응하는 시스템

    내부 사용자의 오, 남용 탐지 및 방어 가능

    실행단계

        데이터 수집 단계, 데이터 가공 및 축약 단계, 침입분석 및 탐지 단계, 보고 및 대응 단계

    종류

        탐지 방법

            규칙기반 침입탐지(지식기반 / 오용 침입탐지)

                시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위 패턴 등의 특징을 비교하여 탐지하는 방법

                기존의 침입방법을 데이터베이스에 저장

                새로운 공격이나 침입 방법이 출현하였을 경우에는 그에 맞는 공격 패턴을 생성하여 추가

                기존의 공격 패턴을 정확하게 유지하고 있다면 비정상 행위 탐지 방법보다 False-Positive 확률을 감소시킬 수 있다.

                트로이목마 백도어 공격 탐지가능

                종류

                    전문가 시스템, 상태전이 모델, 패턴 매칭

            통계적 변형 탐지(행위기반 / 비정상 침입탐지)

                정상적인 행위에 대한 정의들과 비교하여 심각한 수준의 일탈 행위를 식별하는 과정

                제로데이어택도 탐지가 가능함

                실시간 탐지가 어렵고 탐지 정확성을 높이기 위한 기준 조정이 어렵다.

                오탐률이 높음

                종류

                    통계적 분석방법, 예측 가능한 패턴 생성 방법, 신경망 모델

        대응 방법

            아직까지 대부분의 침입탐지시스템이 수동적 대응방법을 선택

            수동적 대응방법

                대량의 정보를 수집하는 형태를 취하거나 필요한 경우에 권한을 가진 사용자들에게 보다 엄격한 조치를 취할 수 있도록 통보하는 형태를 취함

            능동적 대응방법

                침입에 대해 가장 빨리 실행할 수 있는 행동으로 침입에 의한 손실을 줄일 수 있게 함

                오경보를 발생시킬 수 있다.

        데이터 수집원

            네트워크 기반 IDS

                시스템 감사 자료가 아닌 네트워크를 통해 전송되는 패킷 정보를 수집, 분석하여 침입을 탐지하는 시스템

                감지기를 이용하며, 무차별 모드(promiscuous mode)에서 동작하는 NIC에 설치되어 있다.

                구축 비용이 저렴, 구현 및 관리가 쉽다.

                암호화된 패킷을 분석할 수가 없고, 스위칭 환경에서는 HIDS보다 구축비용이 많이 든다.

            호스트 기반 IDS

                NIDS가 탐지할 수 없는 침입을 탐지하며, 시스템 이번트 감시를 통한 정확한 침입 탐지가 가능

                추가적인 하드웨어가 필요하지 않다.

                다양한 OS를 지원해야 한다.

                트로이목마, 백도어, 내부자에 의한 공격탐지 / 차단 가능

        탐지시점

            사후분석 시스템

                고전적인 형태의 IDS

                수집된 감사 데이터를 정해진 시간에만 분석하여 침입 여부를 판정하는 시스템

                침입이 발생하더라도 즉시 대응하지 못하는 한계가 있다.

            실시간 탐지 시스템

                실시간 정보수집과 동시에 감사 데이터 발생과 침입 탐지가 이루어지고 이에 대응하는 대비책을 실행시킨다.

    IDS의 위치

        목적에 따라 여러 곳에 설치할 수 있다.(네트워크 어느 부분에나 설치 가능)

        설치우선순위

                방화벽 뒤, DMZ, 내부 네트워크, 라우터 뒤, 패킷이 라우터로 들어오기 전

    IDS의 응용

        긍정오류와 부정오류

            침입자의 행동을 넓게 잡다 보면 긍정오류를 유발한다.

            침입자의 행동을 좁게 잡으면 부정오류를 유발하게 된다

        허니팟

            실제 자료를 가진 호스트인 것처럼 인터넷상에 존재하면서 해커, 악의적인 내부자 등을 속여 그들로부터 침해당함으로써 그들의 행동, 공격기법, 목적 등을 분석하는 데 사용된다.

            DMZ에 설치

            중요한 시스템으로부터 다른 곳으로 끌어내도록 설계한 유도시스템

            제로 데이에 발생하는 공격을 사전에 탐지할 수 있는 예방통제 기술이다.

            법적기준이 미비하고 공격자를 더 화나게 한다.

        스노트

            일종의 침입탐지시스템으로 다양한 공격과 스캔을 탐지할 수 있다.

            snort 룰 / 시그니처는 크게 헤더와 바디로 구성되어 있다

            헤더 부분은 처리방식, 프로토콜, IP 주소, 포트번호 등 처리할 패킷을 판단하는 기준을 명시

            바디 부분은 alert message나 패킷 데이터를 조사하기 위한 내용을 기술

 

IPS(침입방지시스템)

    능동형 보안 솔루션

    예방적이고 사전에 조치를 취하는 기술

    보안기술에 기반을 둔 IPS는 취약점을 능동적으로 사전에 보완하고 한층 높은 보안을 제공

    알려지지 않은 공격까지도 방어할 수 있는 실시간 침입방지시스템으로, OS차원에서 실시간 방어와 탐지 기능을 제공