Firewall & N-IDS

System

Security

Firewall & N-IDS

김창현

System Security 목차

Network 보안의 필요성

Firewall 과 N-IDS 의 이해

Firewall (IPTABLES)

N-IDS (Snort)

System Security Network 보안의 필요성

업무환경이 Internet, Intranet 으로의 이동– 대부분의 업무 시스템에 연결 가능

네트워크 대역폭 증가 – 데이터의 이동이 저장 매체에서 네트워크로 대체

Internet 등 네트워크서비스 증가


해킹 발생건수 및 추이

해킹 피해 발생 건수 (US, Cert/CC, 1988 년 ~2005 년 )


국내 피해

업종 내용온라인 쇼핑물 설 대목 거래 중단 업체당 2~5 억

항공 / 여행 스케줄 조회 불가 , 예약 취소

은행 / 증권 일일 300 만건 거래되는 인터넷 뱅킹 마비

PC 방 인터넷 불능으로 약 225 억원 피해

2003 년 1 월 25 일 슬래머 웸에 대한 피해

System Security Firewall 과 N-IDS 의 이해

비 인가된 인원 차단 => Firewall

System Security Firewall 과 N-IDS 의 이해 내부 감시 => N-IDS


InternetInternet

Firewall

N-IDS


Firewall

– 외부에서 내부 네트워크로 유입되는 패킷의 운명을 결정하는 보안솔류션

허락되어진 패킷은 내부 네트워크로 보냄허락되어지지 않은 패킷은 버림


Firewall 동작Firewall

ACCEPT Dest Port: 80Dest Port: 21

REJECTDest Port: ALL

Dest Port: 80Dest Port: 23

Checking…ACCEPT!!REJECT!!

System Security Firewall (IPTABLES)

IPTABLES


IPTABLES

– 리눅스 환경의 대표적인 방화벽 설정 툴

– Kernel ver.2.2 에서는 IPCHAIN 이었으나ver.2.4 에서 더 강력해진 IPTABLES 로 대체

– Packet Filtering 은 Kernel 의 Netfilter 기능을 이용하고 IPTABLES 은 Netfilter 의 정책을 세팅하는 툴

– Kernel Level 의 처리로 오버헤드가 작음


IPTABLES 구성

INPUT

FORWARD

OUTPUTLINUX

SYSTEM


INPUT Chain– 패킷이 시스템에 유입될 때 거치는 정책 체인

OUTPUT Chain– 패킷이 시스템으로부터 나갈때 거치는

정책체인

FORWARD Chain– 목적지가 현 시스템이 아닌 다른 시스템일때

거치는 정책체인


예제 : INPUT Drop: Dest Port 80

LINUXSYSTEMINPUT

FORWARD

OUTPUTP: 80P: 21


IPTABLES 의 사용예root@localhost# iptables -A INPUT –p TCP –d 192.168.1.3 –-dport 80 \

-j DROP

-A : 체인 지정-p : 프로토콜 지정-s : 소스 어드레스 지정-d : 목적 어드레스 지정--sport : 소스 포트 지정--dport : 목적 포트 지정-j : 부합되는 패킷에 취할 정책

ACCEPT, DROP, REJECT


자세한 설명– IPTABLES 원리 및 기본 설명

Http://www.lastking.net/2

– IPTABLES 에서 MASQ and FORWARD and MANGLE 설명

Http://www.lastking.net/3

– IPTABLES 로그 정책 설명 Http://www.lastking.net/4


실습 1

목적지 포트 80 으로 접근하는 전체 호스트에대하여 접근 차단

실습 2

목적지 포트 80 으로 접근하는 특정호스트 IP 에 대하여 접근 차단

root@localhost# iptables -A INPUT –p TCP –-dport 80 -j DROP

root@localhost# iptables -A INPUT –p TCP –s 192.168.1.3 –-dport 80 \ -j DROP

System Security N-IDS (Snort)

IDS(Intrusion Detection System)컴퓨터자원의 비정상적인 사용 , 오용 , 남용 등을실시간으로 탐지하는 시스템

IDS 의 종류– H IDS : Host 기반의 침입탐지 시스템– N IDS : Network 기반의 침입탐지 시스템


비정상적 탐지기법사용자의 패턴을 분석하여 비정상적 행위에 대해 탐지– 장점 : 알려지지 않은 방법의 침입탐지가능– 단점 : 정상과 비정상의 경계가 모호

오용탐지 기법알려진 침입탐지 기법을 기반– 장점 : 탐지율이 높음– 단점 : 알려지지 않은 기법에 대하여 탐지불능


소프트웨어 기반 N-IDS– 저비용으로 구축할 수 있음– 감시 룰 업데이트가 용이함– 대량의 트래픽에 대하여 많은 오버헤드가 발생– 대표적으로 Snort 가 이에 해당

하드웨어 기반 N-IDS– 소프트웨어 보다 비용이 많이 듬– 대량의 트래픽에 대하여 작은 오버헤드로 처리– 여러 벤더들이 장비와 함께 제품을 판매


Snort


Snort

– 리눅스 기반의 대표적인 네트워크 침입탐지 시스템

– 오픈소스프로젝트로 진행중이며 http://www.snort.org 에서 다운가능

– Telnet, Http, FTP, SMTP, POP, NFS 등 다양한 프로토콜의 감시룰 제공


Snort 의 구성

Matching Engine

RULE

HTTP FTP TELNET SMTP ETC…


A T T A C K

HTTP RULE STRING: ATTACK

로그 및 통지


Snort 의 제공 기능

– STRING MATCHING 뿐만 아니라 프로토콜 헤더의 플래그 및 옵셋 매칭기능 제공

– 최신 공격유형이 포함된 업데이트된 룰파일을 주기적으로 배포

– 포트스케닝 , 취약점 스케닝등의 스케닝 감지

– 분절된 패킷의 처리 기능

System Security

Thank you!

Firewall & N-IDS

Documents

Transcript of Firewall & N-IDS