1. 정보보안개론

* 침입 차단 시스템 : 방화벽(Firewall)

* 침입 탐지 시스템 : IDS

* 침입 예방 시스템 : IPS

* IDS+IPS = ESM(Enterprise Security Management)

1. 방화벽

1.1정의

외부에서 내부로의 진입을 필터링(통제), 정상은 통과시키고, 비정상은 거부한다.

1.2 기능

*접근통제

*인증

*암호화

*로깅

1.3 구성장치

Screend(Screening) Router

Proxy Server

Bastion Host

2. IDS

2.1 침입 탐지 시스템

이미 인증된 사용자나 이를 가장한 침입자에 의한 공격에는 취약한 F/W의 취약점을 보완하기 위한 시스템

	IDS	F/W
주 목적	탐지	예방
물리적 위치	내부 불법 탐지	외부 출입자에 대한 방어
설계 정책	금지만 금지	허용외 금지
장애시 네트워크	네트워크가 오픈됨	네트워크가 사용불가됨
네트워크 부하	부하	SPOF, 병목현상이 일어남

2.2 흐름도

1. 수상한 패킷 접근(Suspicious Packet)

2. 중요한 서버에 접근 탐지(Suspicious Packet Passed)

3. 로깅(Log Packet)

4. 관리자에게 알림(Alarm)

2.3 IDS에 의해 탐지되는 요소

1. 스캐닝 : Port Scanning

2. Dos Attack : Ping of Death, Syn Flooding, SMURF

3. 침투 공격 : Buffer Overflow Attack

2.4 IDS의 주요 기능

1. 시스템, 네트워크 모니터링

2. 발생한 이벤트를 관리자에게 알람

3. 발생한 이벤트를 분석, 저장, 통계 작성 후 보고

4. 발생한 이벤트가 정의된 규칙에 위배되면 공격에 대응하고 추적

★2.5 탐지 절차

1. 자료 수집

2. 임계치 설정(Clipping Level)의 위배된 자료 필터링(위배자료를 걸러내고) 및 축약(모음)

3. 분석 및 탐지

4. 보고 및 대응

2.6 IDS의 종류

1) 자료수집 위치에 따른 분류

HIDS(Host-Based)	- 호스트 자원 사용 실태를 분석하여 침입 탐지  - 감사증적 + 시스템 로그를 이용하여 분석  - 트로이 목마, 백도어, 내부자들에 의한 공격 탐지 가능  - 단점 :            해커에 의한 로그파일 변조 가능성이 있음
NIDS(Network-Based)	- 네트워크 상의 모든 트래픽에 대한 패킷을 분석하여 탐지  - 도스공격, 포트 스캐닝, 취약점 스캐닝 탐지 등 네트워크 공격 탐지 가능  - IP 주소가 없어 공격시 거의 완벽히 방어하고 설치 존재도 숨길 수 있음  - 단점 :           False(+)가 높다.

2) ★침입 탐지 방식에 따른 분류

a. 오용탐지(Missure Detection) = Signature(서명) Base = Knowledge(지식) Base

   - 이미 발견되고 정립된 공격패턴을 미리 입력해두고, 해당 패턴 탐지시 알람

   - 탐지 오류율↓, 비교적 효율적이나 새 공격을 탐지하지는 못한다.

   - 전문자 시스템의 지식DB를 이용한 IDS도 이에 기반한다.

단점 : Zeroday Attack 에는 비효율적 -> 시그니쳐의 업데이트가 필요하다.

b. 이상탐지(Anomaly Detection) = Behavior(행동) = Statistical Detection

- 정상적, 평균적 상태를 기준으로, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은, 또는 높은 일이 발생할 경우 탐지를 알려준다.

- 행위관찰 -> 프로파일 생성 -> 주기적 프로파일 Anomality 측정
- 인공지능 IDS와 면역 시스템 IDS에 사용한다.

- Zeroday Attack을 탐지할 수있다.

단점 : 임계치 설정이 어려우며 False(+)가 높다.

2.7 보고와 대응

1) IDS의 능동기능

공격자 확인 연결에 연결 끊음

공격자 IP주소나 사이트를 확인하고, 라우터나 방화벽을 통해 차단

공격 포트를 확인하여 라우터나 방화벽을 통해 포트 차단

네트워크 구조 자체를 일시적으로 바꿈

참고) IDS는 기본적으로 침입을 알려주는 시스템으로 자체적 능동기능은 미약하여 이러한 IDS 기능을 많이 포함한것이 IPS이다.

2.8 하니팟(Honeypot)

* 침입자를 속여 해킹 정보를 얻기 위한 별도의 가짜 서버

* 침입자의 Attack 기술을 사전탐지할 수 있는 기회가 제공된다.

* 예방통제(Preventive Control)의 효과가 있다.

* Zeroday Attack에 대한 예방을 할 수 있다.

고려사항

목적 : 경각심, 정보취득, 연구

단점 : 법적 기준이 미미, 공격자를 화나게 할 수 있음

하니팟은 유혹(Entrap)보단 유인(Entice)의 의미가 크다.

만약 Zeroday Attack이 들어온다면 관련있는 모든 단체에게 그 정보를 통지한다.

3.침투 테스트

3.1보안 테스트의 종류

Network Scanning	NMAP
Vulnerability Scanning	NESSUS,SATAN
Password Cracking	L0pht Crack
Log Analysis	Log Review
Integrity Checkers	Tripwire
Virus Detection	Vaccine
War Dialing	비 인가 모뎀 찾기
War Driving	무선 IP 찾기
Penetration Test	침투 테스트

3.2 침투 테스트

1) 목적 : 취약점 발견

2) 성공요소 : 경영진의 승인, 잘 계획된 침투 시나리오, 잘 정리된 시간표(업무시간 외 언제 공격할지)

3) 실행주기 : 1년에 1번씩

4) 계획단계

1.Planning : Rule, 경영진의 승인, 테스트 목적 수립

2.Discovery : 보안 테스트 툴을 이용한 분석

3.Attack : 취약점을 통한 공격

4.Reporting : 보고서 제작 후 제출

5) ★테스트 방법

White Box Test	모든 소스코드를 가지고 테스트(Full Knowledge Test)
Black Box Test	실행파일만 가지고 테스트(Zero Knowledge Test)
Gray Box Test	White Box + Black Box
Open Box Test	범용 OS에 대한 코드 TEST
네거티브 (-) Test	취약점이 전혀 없음을 전제하로 취약점 찾기
포즈티브 (+) Test	취약점이 존재함을 전제로하여 정상작동을 테스트

6)

Tiger Team : 소수정예, 신속테스트

Blue Team : IT 담당, 보안 부서에서 테스트

Red Team : IT 담당자 모르게 경영진에서 의뢰

4. 은닉 채널

비밀 정보가 탐지되지 않게 사용되지 않는 경로를 통하여 전달하는 방법

4.1 종류

1) Convert Storage Channel

[그림]

한 프로세스가 스토리지에 데이터를 기록한 후 다른 프로세스가 읽을 수 있게 하는 것

오렌지북 : B2

2) Convert Timing Channel

한 프로세스가 자원 용도를 조정함으로써 정보를 다른 프로세스로 정보 중계

예) 시스템 페이징 속도, Ackcmd

매우 정교하며 탐지가 어려움

오렌지북 : B3, A1

4.2 방어법

1. 로그분석

2. HIDS로 탐지

3. 통신 대역폭의 엄격한 제한

4. 시스템 자원 분석 - > 가장 우수한 방어 방법