[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(20일차) - 수정 중

오늘 학습 주제

1. 보안 장비

 

 

 

보안 장비

---

- Hardening(하드닝) -

‘정보를 저장하고 있는 컴퓨터나 네트워크 등과 같은 환경을 굳건하게 한다’는 뜻

 

 ‘요새화’라 부르는 경우도 있음

- 외부에 공개하는 서비스의 국소화

- 작동하는 있는 것의 파악

- 불필요한 프로그램 실행 중지

- 취약성을 수정하는 패치의 신속한 적용

- 보안 소프트웨어나 기기의 도입

- ‘OS나 네트워크 기기 등의 다층방어＇

 

 

- 보안망 구성도 -

 

 

DMZ: 

 

Extranet으로 4개까지 구성 가능

 

 

분산 배치 가능

 

 

 

 

- 보안 장비 설치 모드 -

 

 

< InLine 모드 >

• 물리적 네트워크 경로 상에 보안장비를 설치

• 네트워크을 통과하는 모든 트래픽들이 보안장비를 거쳐 가도록 하는 모드

• 패킷 차단 목적의 장비에 적용 (예) Anti-DDoS, Firewall, IPS 등

• 장점 : 실시간 패킷을 탐지하고 차단

• 단점 : 장비에 장애가 발생 할 경우 전체 네트워크 장애로 확산 될 위험성

( 전체 네트워크 가용성에 영향을 줄 수 있음)

 

 

< Out of Path(Mirror) 모드 >

• 미러링 장비(예. TAP)를 통해 복제된 패킷을 받아서 탐지하는 모드

• 패킷 차단 기능이 없는 탐지 목적의 장비에 적용 - IDS, Anti-APT, Network Forensic 등

• 네트워크 경로를 벗어난 곳에 위치

• 장점 : 전체 네트워크 가용성에 영향을 주지 않으면서 패킷을 탐지할 수 있음

• 단점 : 복제(복사) 된 패킷을 탐지하기 때문에 실시간 패킷을 차단하기 어려움

 

 

- 방화벽-

• IP주소와 Port 번호를 기반으로 방화벽 rule set(필터링 정책)에 따라 패킷 필터링을 수행하는 보안 장비

- 접근 제어(Access Control)/ 패킷 필터링

- NAT(Network Address Translation)

- 액세스 기록 기능

- 사용자 인증(Authentication)

- 암호화 + 터널링

 

방화벽 관리자들은 접근 제어 Rule을 만든다

방화벽은 자신을 통과하는 모든 것에 접근 제어 가능

 

 

< 방화벽 한계 >

내부 네트워크에 존재하는 악의적인 공격을 막을 수 없음

• 방화벽을 경유하지 않는 공격을 막을 수 없음

 

• 방화벽에 방어 규칙에 포함되지 않는 공격을 막을 수 없음

 

• 데이터에 실려 있는 악성코드나 바이러스를 막을 수 없음

- 메일에 첨부된 악성 코드를 막을 수 없음

 

• DoS와 DDoS 공격을 막을 수 없다.

- 열린 포트를 통한 공격을 막을 수 없음

 

들어오는 공격의 약 절반정도는 방어 가능

 

 

- 침입 탐지 시스템 (Intrusion Detection System) -

• 공격을 탐지하고 관리자에게 공격 알림을 통해 공격에 대처할 수 있게 해 주는 보안 시스템

 

• 전달하는 패킷의 내용이나 로그를 분석하여 공격 여부를 탐지

- 악성코드 탐지 가능

 

• HIDS(Host-based IDS)와 NIDS(Network-based IDS)로 분류

 

관리자에게 알림

로그로 기록

차단 기능은 IDS 위치에 따라 달라진다

 

 

< HIDS(Host-based IDS) >

서버에 직접 설치됨에 따라 네트워크 환경과 무관

 

• 호스트의 자원 사용 실태, 로그 등을 분석하여 침입 여부 탐지

 

• 무결성 체크 기능이 주요 기능

- 무결성 점검에 의해 침입여부 식별

- 최초 설치 시 초기 데이타베이스에 중요 파일들에 대한 해시값 저장

- 주기적으로 중요 파일의 해시값 변조 유무를 검사/탐지/분석하여 결과 보고

 

• 오픈 소스 IDS : Tripwire(트립와이어)

 

 

< NIDS(Network-based IDS) >

• 네트워크 상에서 일어나는 침입 시도를 탐지

 

• 네트워크 세그먼트 당 하나의 장비만 설치하면 되므로 설치 용이

 

• 패킷 수집을 위해 mirroring 기능 이용

- Mirroring : 패킷을 복사한 다음 복사한 패킷을 NIDS 장비로 전달

- 스위치의 미러링 포트를 이용하거나 TAP 장비를 통해 패킷 복사

 

• 수집된 패킷은 분석을 위해 필터링과 축약과정(reduction)이 필요

- 필터링은 불요한 정보를 제거하는 과정으로 지정된 수준의 데이터만 수집

- 축약은 통계적/수학적 기법을 적용하여 반복되는 데이터를 줄이는 과정

 

 

• 오픈 소스 NIDS : Snort

 

 

< False Negative & False Positive >

 

《 미탐지(False Negative) 》

- 공격을 탐지하지 못하는 경우

- 시그니처 기반의 탐지 시스템의 경우 미탐지가 높음

 

《 오탐지(False Positive) 》

- 공격이 아닌 것을 공격으로 탐지하는 경우

- 행동 기반의 탐지 시스템의 경우 오탐지가 높음

 

 

< IDS 탐지 방법 >

	오용탐지(Misuse Detection)	이상탐지(Anomaly Detection)
특징	• 시그니처 기반의 탐지 • 알려진 공격법이나 보안 정책에 위반하는 행동에   대한 패턴 탐지 • 공격 분석 결과를 바탕으로 패턴 설정 • 패턴(시그니처)과 비교하여 일치하는 경우   불법 침입으로 간주	• 행동 기반의 탐지 • 정상범위(normal)을 벗어나는 데이터를 탐지하는 방법 • 정량적인 분석, 통계적 분석을 사용 • 형태 관찰, 프로파일 생성, 프로파일 기반으로   이상여부를 확인 • I/O 사용량, 로그인 횟수, 패킷양 등
장점	• 오탐률(false positive)이 낮음 • 트로이 목마, 백도어 공격 탐지 가능	• 미탐률(false negative)이 낮음 • 인공지능 알고리즘 사용으로 스스로 판단하여 수작업의    패턴 업데이트 불필요 • 알려지지 않는 새로운 공격 탐지 가능
단점	• 미탐률(false negative)이 높음 • 새로운 공격 탐지를 위해 지속적인 공격 패턴 갱신 필요 • 패턴에 없는 새로운 공격에 대해서는 탐지 불가능	• 오탐률(false positive)이 높음 • 정상과 비정상 구분을 위한 임계치 설정이 어려움

 

 

< 침입 탐지 시스템 한계 >

• 오탐지(false positive)와 미탐지(false negative) 문제 발생

- 공격에 대한 패턴을 모르다면 분석과 탐지가 어려움

 

• 실시간 공격을 막을 수 없음

 

• 단편화(fragmentation), 난독화, 암호화와 같은 기술은 감지하지 어려움

 

방화벽 장점- 차단 / 단점 - 악성코드를 막을 수 없음

 

 

- 침입 방지 시스템 (Intrusion Prevention System) -

 

IDS와 방화벽의 장점을 합쳐 만든 시스템

 

• 침입탐지시스템의 detection 기능과 방화벽의 차단(blocking) 기능 결합

 

• 이상 행위 탐지(anomaly detection)를 통해 알려지지 않은 공격 패턴에 대응

 

• 공격에 대한 사전 방지를 조치하는 것으로 in-line 방식으로 설치 및 운영

 

• 실시간 침입차단, 인터넷 웜, 악성 코드 및 해킹에 기인한 유해 트래픽 차단

 

• 능동형 보안 솔루션

- IDS : 탐지 후 사후에 조치를 취하는 기술

- IPS : 예방적이고 사전에 조치를 취하는 기술

 

 

< 침입 차단 시스템 필터들 >

 

필터	기능
1	방화벽필터 - 액세스 제어 및 패킷 필터링 기능 (IP, 포트 등 패킷 필드별로 막을 패킷 정의)
2	트래픽 모니터링 및 QoS 필터 - 프로토콜별, 서비스별, IP 영역별 QoS 기능 제공
3	프로토콜 무결성 확인 필터 - FTP, DNS, 메일, 웹 등 TCP/IP 프로토콜 동작 표준에 위반하는 패킷 조사
4	Signature 이상 감시 필터 - 악성 코드, 취약성, 웜에 대한 탐지 및 차단
5	DoS/DDoS 스캔 필터
6	L7 필터 - TCP /IP 단편화, 웹 우회 공격 등 L7 프로토콜 디코딩을 통한 필터
7	데이터 콘텐츠 내용을 기준으로 필터링 여부 결정

 

 

 

 

NAT(Network Address Translation)

---

- SoHo(Small office/home office)에서의 NAT -

 

• 공유기 기능

- 라우팅

- DHCP

- NAT

 

 

- 사설/공인 IP Address  -

• 사설 IP 주소 - 인터넷과 연동되지 않은 사적인 독립 네트워크(Private IP Network)에서 사용되는 사적인 주소 - 인터넷 상에서 사용할 수 없음을 의미 - Class 별 사설 IP 주소 대역(IETF RFC 1918) ➀ A Class : 10.x.x.x ➁ B Class : 172.16.x.x ~ 172.31.x.x ➂ C Class : 192.168.x.x • 공인 IP주소 - 사설 IP주소를 제외한 주소

 

 

- NAT 기능 -

 

• 네트워크 주소 변환 (Network Address Translation)

• 송신지 또는 수신지 IP address를 다른 주소로 변환

• Source NAT(SNAT)와 Destination NAT(DNAT)

 

 

- Source NAT -

- Destination NAT -

 

 

 

- 기업망에서의 NAT -

교재 58 60

 

 

 

 

NIDS

---

- Security Onion -

• 더그 벅스(Doug Burks)가 개발한 장비

• 리눅스 기반 네트워크 보안 모니터링(NSM)과 침입탐지시스템(IDS) 역할 수행

• 침입탐지 테스트를 위한 교육용 또는 소규모 네트워크 감시로 적합

NSM	• IDS 기능을 수행할 뿐만 아니라 효율적으로 감시하고 분석하는 역할 수행 • 수집도구, 분석도구, 침입 탐지 시스템이 함께 동작
IDS	• 기존 방화벽으로 탐지할 수 없는 공격을 탐지하기 위한 것 • 정보(로그, 패킷)를 수집하고 분석하여 침입 여부를 결정 • 악의적인 패턴이나 위협 행위가 탐지된 경우 이벤트를 출력하여 위협을 알림 • 감시 대상  - HIDS : 시스템 내부의 애플리케이션 로그, 파일 시스템 수정 사항, 사용자 활동 등을               감시하고 악의적인 행위를 탐지  - NIDS : 외부에서 유입되는 패킷을 수집하고 분석하여 악성패킷을 탐지

 

 

- Security Onion Structure -

snort는 시그니처 기반 엔진 Brrrrrro는 이상 징우 기반 엔진

 

 

 

 

- Sguil(스구일) -

• 네트워크 보안 모니터링(NSM) 빛 분석 도구 • NSM 장비가 수집한 세션 데이터와 패킷 데이터 또는 탐지한 경고 데이터에 접근과 출 력을 제공하는 직관적인 GUI • 침입 발생 시 경고를 출력하고 이벤트 확인과 검색, 패킷 분석 기회를 제공 • 스쿼트는 스구일의 데이타베이스에 저장된 데이터를 시각적으로 표현 • 스구일에서 확인 가능한 데이터 종류 5가지

 

 

- Snort(스노트)  -

 

 

 

 

- Suricata(수리카타)   -