ISMS-P 인증심사원 - 보안시스템 이론

3. 보안시스템

(2) 취약점 점검 도구

- SATAN/SARA - SARA는 SATAN이 업데이트가 되지 않는 상황에서 SATAN을 기반으로 개발된 취약점 분석도구로써 네트워크 기반의 컴퓨터, 서버, 라우터 IDS에 대해서 취약점 분석, 유닉스 플래폼에서 동작, HTML 형식의 보고서 기능이 있다.

- SAINT - 유닉스 플래폼에서 동작하는 네트워크 취약점 분석도구로써 HTML 형식의 보고서 기능이 있다. 원격으로 취약점 점검도구하는 기능

- COPS - 유닉스 플래폼에서 동작하며 시스템 내부에 존재하는 취약성을 점검하는 도구하는 도구로써 취약한 패스워드 체크, 시스템에서 취약점 점검하는 기능

- Nessus - 유닉스 플래폼에서 동작하는 네트워크 취약점 점검도구, 클라이언트-서버 구조로 클라이언트를 취약점 점검하는 기능

- nmap - 포트스캐닝 도구로써 TCP connect 방식뿐만 아니라 stealth 모드로 포트 스캐닝하는 기능 포함

 

보안 강화 도구 분류
구분	보안 강화 도구
시스템 접근 통제 및 로깅	TCP Wrapper, Swatch, Netlog 등
패스워드 파일의 보안	Crack, Shadow, Npasswd, Passwd+ 등
주요 보안 데몬	Logdaemon, xinetd, Portmap데몬(portmap) 등
시스템 보안점검 도구	COPS, Tripwire, NFSWATCH, Tiger, Drawbridge, Chkacct 등
네트워크 보안점검 도구	ISS, SATAN, NMAP 등

 

스캔 탐지도구

 

(1) 스캔 공격

o 취약점 점검도구 종류 - SATAN, SAINT, COPS, nessus, nmap 등

o 취약점을 찾기 위한 공격용 도구

- mscan : 메인 전체를 스캔하여 그 도메인 내에 있는 wingate, test-cgi, NFS exports, statd, named, ipopd, imapd 등 최근 많이 이용되는 주요 취약점을 한번에 스캔할 수 있는 해킹도구

- sscan : mscan을 업데이트하여 개발한 유닉스/윈도우 시스템에 대해서 네트워크를 통하여 취약점 점검을 수행할 수 있는 도구로써 공격용으로도 많이 활용되고 있다.

- 최신 취약점 점검도구 : nikto, x-scan, N-stealth 등

 

(2) 스캔 탐지 방법

o 실시간 스캔 탐지 도구의 활용

- 포트스캔 탐지

.portsentry : 실시간으로 포트 스캔을 탐지하고 대응하기 위한 프로그램으로 정상적인 스캔과 stealth 스캔을 탐지할 수 있으며, 스캔로그 남기기, 공격호스트를 /etc/hosts.deny 파일에 기록하여 자동 방어, 공격 호스트를 경유하여 오는 모든 트래픽을 자동 재구성하는 기능이 있다.

.scanlogd, scandetd 등

- 특정 스캐너 탐지도구

.SATAN, ISS 탐지도구 : Courtney, Gabriel, Natas 등

- 네트워크 패킷 모니터링 도구 및 침입탐지시스템 활용

.Ethereal, Snort 등

 

침입차단시스템(Firewall)

 

(1) 침입차단시스템(Firewall) 이해 - 외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중의 하나로써 외부의 불법 침입으로부터 내부의 정보자산을 보호하고 외부로부터 유해 정보 유입을 차단하기 위한 정책과 이를 지원하는 H/W 및 S/W를 말한다. 두 네트워크 간을 흐르는 패킷들을 미리 정해놓은 규칙에 따라 차단하거나 보내주는 간단한 패킷 필터를 해주는 라우터라 할 수 있다.

 

o 침입차단시스템(Firewall) 기능

①     접근제어: 정책에 의하여 허용/차단 결정하기 위한 검사

②     로깅 및 감사 추척

③     인증(Authentication): 네트워크 스니핑 등의 공격에 대응하는 방법의 인증

④     무결성(Integrity)

⑤     Traffic의 암호화

⑥     트래픽 로그

 

o 침입차단시스템(Firewall) 종류

구분	설명
패킷필터링(packet filtering)	- 패킷필터링은 방화벽의 가장 기본적인 형태의 기능을 수행하는 방식이다. 패킷필터링은 설정된 규칙에 의해 패킷의 통과여부를 결정하는 것으로 외부 침입에 대한 1차적 방어수단으로 활용된다. 패킷필터링 방식의 방화벽은 OSI 모델에서 네트워크층(IP 프로토콜)과 전송층(TCP 프로토콜)층에서 패킷의 출발지 및 목적지 IP 주소 정보, 각 서비스에 port 번호, TCP Sync 비트를 이용한 접속제어를 한다.
애플리케이션(Application)	- 애플리케이션 게이트웨이 방식은 사용자가 서비스를 요청하면 애플리케이션 게이트웨이를 통해 사용자의 요청을 원격시스템의 서비스에 요구하고 다시 요청된 파일 및 관련 정보를 애플리케이션 게이트웨이를 통해 사용자에게 전달하는 방식이다. 이때 접속관련 정보의 기록 및 활용이 애플리케이션 게이트웨이를 통해 이루어지게 된다. 애플리케이션 게이트웨이는 OSI 7계층 네트워크 모델의 애플리케이션 계층에 방화벽 기능이 들어있다. 이 게이트웨이는 각 서비스별로 Proxy Daemon이 있어 프락시 게이트웨이 또는 응용 게이트웨이라고도 한다. 애플리케이션 게이트웨이는 각 서비스별 프락시를 이용하여 패킷필터링 방식처럼 IP 주소 및 TCP port를 이용하여 네트워크 접근제어를 할 수 있으며 추가적으로 사용자 인증 및 파일전송 시 바이러스 검색기능과 같은 기타 부가적인 서비스를 지원한다.
서킷 게이트웨이(Circuit Gateway)	- 서킷 게이트웨이는 OSI 네트워크 모델에서 5계층에서 7계층 사이에 존재하며 애플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 애플리케이션도 이용할 수 있는 일반적인 프락시가 존재한다. 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 먼저 클라이언트측에 서킷 프락시를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하다. 따라서 수정된 클라이언트 프로그램이 설치되어있는 클라이언트만 circuit 형성이 가능하다.
하이브리드(Hybrid) 방식	- 여러 유형의 방화벽들을 경우에 따라 복합적으로 구성할 수 있는 방화벽이다. 이 방화벽은 서비스의 종류에 따라서 사용자의 편의성, 보안성 등을 고려하여 방화벽 기능을 선택적으로 부여할 수 있지만 서비스의 종류에 따라서 다양한 보안정책을 부여함으로써 구축 및 관리하는데 어려움이 따를 수 있다. CheckPoint의 Firewall-1이 전형적인 패킷필터링 방식의 방화벽에서 패킷필터링과 애플리케이션 게이트웨이를 혼합한 형태의 방화벽시스템으로 변화되었다.

 

o 침입차단시스템(Firewall) 구축 형태

구분	설명
Dual Homed Host	- Dual-Homed 게이트웨이는 두 개의 네트워크 인터페이스를 갖는 호스트이며 한 개는 외부, 한 개는 내부와 연결되어 있기 때문에 물리적으로 내부와 외부 네트워크를 연결하는 역할을 하며 이 두 인터페이스 사이에서 필터링을 한다.
screening router	- 패킷 필터링(스크리닝)라우터의 한 포트는 외부망에 연결되어 있고 다른 포트는 내부망에 연결되어 있고 베스쳔 호스트가 내부에 있는 형태의 방화벽을 뜻한다.
Screened Subnet	- Screened 호스트 방식의 보안상 문제점을 보완하기 위해서 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로부터 분리하기 위한 구조이다. 비무장 지대(DMZ)라고 불리는 경계 네트워크에는 서비스를 위해 외부에서 접속이 많은 시스템을 구성하고 보호할 정보가 많은 시스템은 내부 네트워크 안에 구성한다.

 

(2) 패킷필터링 기능

 

o 방화벽에서 패킷필터링을 위해서는 들어오는 패킷과 나가는 패킷 방향, 포트번호, ip주소, TCP 헤더의 플래그 등을 이용하여 패킷을 필터링할 수 있다. 데이터의 흐름 필터링 원리는 외부로부터 들어오는 패킷과 내부에서 나가는 패킷의 흐름을 분석하여 정책에 따라서 필터링하게 된다.

 

o 통과 허용/차단 원리는 방화벽을 통과하는 패킷의 IP 헤더 및 TCP 헤더를 열어서 정책을 검사하여 필터링하게 된다.

 

침입탐지시스템(IDS)

 

(1) 침입탐지시스템/IDS(Intrusion Detection System) 원리 - 침입탐지시스템은 대상 시스템(네트워크 세그먼트 탐지 영역)에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 불법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 보안시스템이다. 침입탐지시스템은 일반적인 보안시스템 구현 절차의 관점에서 침입차단시스템과 더불어 가장 우선적으로 구축되었으며, 침입탐지시스템의 구축 목적은 해킹 등의 불법 행위에 대한 실시간 탐지 및 차단과 침입차단시스템에서 허용한 패킷을 이용하는 해킹 공격의 방어 등의 목적으로 구축된다.

 

(2) 침입탐지시스템 종류 및 특징

 

o 데이터 소스 기반 분류

①     네트워크 기반 IDS(Network-IDS) : 네트워크의 패킷 캡쳐링에 기반하여 네트워크를 지나다니는 패킷을 분석해서 침입을 탐지하고 네트워크 기반 IDS는 네트워크 단위에 하나만 설치하면 된다. 호스트 기반 IDS에 비하여 운영체제의 제약이 없고 네트워크 단위에서 독립적인 작동을 하기 때문에 구현과 구축 비용이 저렴하다.

②     호스트 기반 IDS(Host-IDS) : 시스템 내부에 설치되어 하나의 시스템 내부 사용자들의 활동을 감시하고 해킹 시도를 탐지해내는 시스템이다. 각종 로그파일 시스템콜 등을 감시한다. Host기반의 IDS는 시스템 감사를 위해서는 기술적인 어려움이 크고, 비용 또한 비싸다, 그리고 로그분석 수준을 넘어 시스템 콜 레벨 감사까지 지원해야 하기 때문에 여러 운영체제를 위한 제품을 개발하는 것 또한 시간적, 기술적으로 어렵다.

③     Hybrid IDS : 두 종류를 통합한 형태의 IDS

 

o 침입모델 기반 분류

①     오용탐지 : 알려진 공격법이나 보안정책을 위반하는 행위에 대한 패턴을 지식 데이터베이스로부터 찾아서 특정 공격들과 시스템 취약점에 기초한 계산된 지식을 적용하여 탐지해 내는 방법으로 지식 기반(Knowledge-Base)탐지라고도 한다. 자신이 가지고 있는 지식에 기반하여 취약점들에 대한 정보를 알아내고 해당 취약점을 이용하려는 시도를 찾기 때문에 비교적 탐지의 정확도가 높으나 알려진 공격에 대한 정보 수집이 어려우며 새로운 취약성에 대한 최신 정보를 유지하기가 어렵다.

②     비정상적인 행위탐지 : 시스템 사용자가 정상적이거나 예상된 행동으로부터 이탈하는지의 여부를 조사함으로써 탐지하는 방법을 말한다. 정상적인 혹은 유효한 행동 모델은 다양한 방법으로 수집된 참조 정보들로부터 생성되며 현재 활동과 행동 모델을 비교함으로써 탐지한다. 이탈이 발견되면 경보가 발생하며 모든 침입을 탐지할 수 있을 만큼 완벽하지만 높은 확률의 잘못된 경보(False alarm)로 정확성이 문제가 된다.

 

(3) 침입탐지시스템 작동 원리 이해 - 침입탐지 시스템은 데이터수집 단계, 데이터의 가공 및 축약 단계, 침입 분석 및 탐지 단계, 그리고 보고 및 대응 단계의 4 단계 구성 요소를 갖는다.

구분	설명
데이터 수집	- 데이터 수집(raw data collection) 단계는 침입탐지 시스템이 대상 시스템에서 제공하는 시스템 사용 내역, 컴퓨터 통신에 사용되는 패킷 등과 같은 탐지대상으로부터 생성되는 데이터를 수집하는 감사 데이터(audit data) 수집 단계이다.
데이터 가공 및 축약	- 데이터 가공 및 축약(data reduction and filtering) 단계는 수집된 감사데이터가 침입 판정이 가능할 수 있도록 의미 있는 정보로 전환한다.
분석 및 침입탐지	- 분석 및 침입탐지 단계에서는 이를 분석하여 침입 여부를 판정하는데, 이 단계는 침입탐지 시스템의 핵심 단계이며, 시스템의 비정상적인 사용에 대한 탐지를 목적으로 하는지, 시스템의 취약점이나 응용 프로그램의 버그를 이용한 침입에 대한 탐지를 목적으로 하는지에 따라 비정상적 행위 탐지 기술과 오용 탐지 기술로 나뉘어진다.
보고 및 대응	- 보고 및 대응(reporting and response) 단계에서는 침입탐지 시스템이 시스템의 침입 여부를 판정한 결과 침입으로 판단된 경우 이에 대한 적절한 대응을 자동으로 취하거나, 보안관리자에게 침입 사실을 보고하여 보안관리자에 의해 조치를 취하게 한다. 최근 들어서는 침입탐지 및 대응에 대한 요구가 증가되고 있으며, 특히, 침입을 추적하는 기능에 대한 연구가 시도되고 있다.

 

(4) 침입탐지시스템 구성과 활용 이해

 

o Host 기반 IDS : 단일 호스트로부터 수집된 감사 자료를 침입 판정에 사용하며, 하나의 호스트만을 탐지 영역으로 하기 때문에 호스트에 설치

o Network 기반 IDS : 네트워크의 패킷 자료를 침입 판정에 사용하며 네트워크 영역 전체를 탐지 영역으로 하기 때문에 스위치 등 네트워크 장비에 연결하여 설치

 

(5) 침입탐지시스템 침입 판정 원리 이해

 

o 침입탐지에는 두 개의 상보적인 흐름이 있는데, 첫째는 공격에 관한 축적된 지식을 사용하여 어떤 공격을 사용하고 있다는 증거를 찾는 방식이며, 두 번째는 감시중인 시스템의 정상행위에 관한 참조모델을 생성한 후 정상행위에서 벗어나는 경우를 찾는 방식이다.

- 지식기반 침입탐지(오용탐지) 방법은 알려진 침입행위를 이용하여 침입을 탐지하고, 정해진 모델과 일치하는 경우를 침입으로 간주한다. 이러한 방법에는 전문가시스템(Expert System), 시그너처 분석(Signature Analysis), 페트리넷(Petri-net), 상태전이분석(State Transition Analysis), 신경망(Neural Network), 유전 알고리즘(genetic algorithm) 등이 있다.

- 행위기반 침입탐지(비정상행위 탐지) 방법은 사용자의 패턴을 분석한 후, 입력 패턴과 비교하여 침입을 탐지하는데, 이러한 방법에는 통계적(Statistical) 방법, 전문가시스템(Expert System), 신경망(Neural Network), 컴퓨터 면역학(Computer Immunology), 데이터마이닝(Data Mining), HMM(Hidden Markov Model), 기계학습(machine learning) 방법 등이 있다.

- 침입탐지를 위한 분석을 수행하는 방식에 따라 정적 및 동적 침입탐지로 나눌 수 있다. 동적 침입탐지시스템은 시스템에 영향을 미치는 이벤트가 발생하는 즉시 획득함으로써 실시간 분석을 수행하며, 정적 침입탐지시스템은 시스템의 스냅샷을 잡아서 분석한 후 취약한 소프트웨어나 구성오류 등을 찾는다.

 

(6) False Positive/False Negative 판정 이해

 

o False Positive : 실제로 잘못된 정보를 옳다고 판단하는 오류

o False Negative : 실제로 옳은 정보를 틀린 정보로 인식하는 오류

 

침입방지시스템

 

o IPS(intrusion prevention system) : 침입방지 시스템

- IPS는 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다.

- IPS 역시, 침입 탐지 시스템인 IDS와 마찬가지로 네트워크 트래픽을 감시한다. 공격자가 일단 액세스 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있기 때문에, IPS 역시 네트워크 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지고 있어야 한다.

- 이를 위하여, IPS는 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다.

- 효과적인 침입 방지 시스템이 되려면 개별 패킷은 물론 트래픽 패턴을 감시하고 대응하는 등 보다 복잡한 감시와 분석을 수행할 수 있어야 한다. 탐지 기법으로는 주소 대조, HTTP 스트링과 서브스트링 대조, 일반 패턴 대조, TCP 접속 분석, 변칙적인 패킷 탐지, 비정상적인 트래픽 탐지 및 TCP/UDP 포트 대조 등이 있다.

- 광범위하게 말하자면, 방화벽이나 앤티바이러스 소프트웨어, 그리고 네트워크 등의 접근 권한을 획득하려는 공격자들을 지키기 위해 사용되는 것이라면 어떠한 제품이나 수단이라도 IPS라 지칭할 수 있다.

 

ESM

 

o ESM: 침입차단시스템(firewall), 침입탐지시스템(IDS), 가상사설망(VPN) 등 서로 다른 보안제품에서 발생하는 정보를 한곳에서 손쉽게 관리하여, 불법적인 행위에 대해서 대응할 수 있도록 하는 보안 관리시스템이다.

 

o ESM 구성요소

①     Agent Part: 보안 장비에 탑재. 수집된 데이터를 Manager서버에 전달하고 통제를 받음.

②     Manager Part: Agent Part에서 받은 이벤트를 룰에 의해 분석, 저장. Console Part에 그 내용을 인공 지능적으로 통보

③     Console Part: Manager Part에서 받은 데이터의 시각적 전달, 상황 판단 기능. Manager Server에게 룰을 설정하도록 지휘/통제