Firewall & N-IDS
description
Transcript of Firewall & N-IDS
System
Security
Firewall & N-IDS
김창현
System Security 목차
Network 보안의 필요성
Firewall 과 N-IDS 의 이해
Firewall (IPTABLES)
N-IDS (Snort)
System Security Network 보안의 필요성
업무환경이 Internet, Intranet 으로의 이동– 대부분의 업무 시스템에 연결 가능
네트워크 대역폭 증가 – 데이터의 이동이 저장 매체에서 네트워크로 대체
Internet 등 네트워크서비스 증가
System Security Network 보안의 필요성
해킹 발생건수 및 추이
해킹 피해 발생 건수 (US, Cert/CC, 1988 년 ~2005 년 )
System Security Network 보안의 필요성
국내 피해
업종 내용온라인 쇼핑물 설 대목 거래 중단 업체당 2~5 억
항공 / 여행 스케줄 조회 불가 , 예약 취소
은행 / 증권 일일 300 만건 거래되는 인터넷 뱅킹 마비
PC 방 인터넷 불능으로 약 225 억원 피해
2003 년 1 월 25 일 슬래머 웸에 대한 피해
System Security Firewall 과 N-IDS 의 이해
비 인가된 인원 차단 => Firewall
System Security Firewall 과 N-IDS 의 이해 내부 감시 => N-IDS
System Security Firewall 과 N-IDS 의 이해
InternetInternet
Firewall
N-IDS
System Security Firewall 과 N-IDS 의 이해
Firewall
– 외부에서 내부 네트워크로 유입되는 패킷의 운명을 결정하는 보안솔류션
허락되어진 패킷은 내부 네트워크로 보냄허락되어지지 않은 패킷은 버림
System Security Firewall 과 N-IDS 의 이해
Firewall 동작Firewall
ACCEPT Dest Port: 80Dest Port: 21
REJECTDest Port: ALL
Dest Port: 80Dest Port: 23
Checking…ACCEPT!!REJECT!!
System Security Firewall (IPTABLES)
IPTABLES
System Security Firewall (IPTABLES)
IPTABLES
– 리눅스 환경의 대표적인 방화벽 설정 툴
– Kernel ver.2.2 에서는 IPCHAIN 이었으나ver.2.4 에서 더 강력해진 IPTABLES 로 대체
– Packet Filtering 은 Kernel 의 Netfilter 기능을 이용하고 IPTABLES 은 Netfilter 의 정책을 세팅하는 툴
– Kernel Level 의 처리로 오버헤드가 작음
System Security Firewall (IPTABLES)
IPTABLES 구성
INPUT
FORWARD
OUTPUTLINUX
SYSTEM
System Security Firewall (IPTABLES)
INPUT Chain– 패킷이 시스템에 유입될 때 거치는 정책 체인
OUTPUT Chain– 패킷이 시스템으로부터 나갈때 거치는
정책체인
FORWARD Chain– 목적지가 현 시스템이 아닌 다른 시스템일때
거치는 정책체인
System Security Firewall (IPTABLES)
예제 : INPUT Drop: Dest Port 80
LINUXSYSTEMINPUT
FORWARD
OUTPUTP: 80P: 21
System Security Firewall (IPTABLES)
IPTABLES 의 사용예root@localhost# iptables -A INPUT –p TCP –d 192.168.1.3 –-dport 80 \
-j DROP
-A : 체인 지정-p : 프로토콜 지정-s : 소스 어드레스 지정-d : 목적 어드레스 지정--sport : 소스 포트 지정--dport : 목적 포트 지정-j : 부합되는 패킷에 취할 정책
ACCEPT, DROP, REJECT
System Security Firewall (IPTABLES)
자세한 설명– IPTABLES 원리 및 기본 설명
Http://www.lastking.net/2
– IPTABLES 에서 MASQ and FORWARD and MANGLE 설명
Http://www.lastking.net/3
– IPTABLES 로그 정책 설명 Http://www.lastking.net/4
System Security Firewall (IPTABLES)
실습 1
목적지 포트 80 으로 접근하는 전체 호스트에대하여 접근 차단
실습 2
목적지 포트 80 으로 접근하는 특정호스트 IP 에 대하여 접근 차단
root@localhost# iptables -A INPUT –p TCP –-dport 80 -j DROP
root@localhost# iptables -A INPUT –p TCP –s 192.168.1.3 –-dport 80 \ -j DROP
System Security N-IDS (Snort)
IDS(Intrusion Detection System)컴퓨터자원의 비정상적인 사용 , 오용 , 남용 등을실시간으로 탐지하는 시스템
IDS 의 종류– H IDS : Host 기반의 침입탐지 시스템– N IDS : Network 기반의 침입탐지 시스템
System Security N-IDS (Snort)
비정상적 탐지기법사용자의 패턴을 분석하여 비정상적 행위에 대해 탐지– 장점 : 알려지지 않은 방법의 침입탐지가능– 단점 : 정상과 비정상의 경계가 모호
오용탐지 기법알려진 침입탐지 기법을 기반– 장점 : 탐지율이 높음– 단점 : 알려지지 않은 기법에 대하여 탐지불능
System Security N-IDS (Snort)
소프트웨어 기반 N-IDS– 저비용으로 구축할 수 있음– 감시 룰 업데이트가 용이함– 대량의 트래픽에 대하여 많은 오버헤드가 발생– 대표적으로 Snort 가 이에 해당
하드웨어 기반 N-IDS– 소프트웨어 보다 비용이 많이 듬– 대량의 트래픽에 대하여 작은 오버헤드로 처리– 여러 벤더들이 장비와 함께 제품을 판매
System Security N-IDS (Snort)
Snort
System Security N-IDS (Snort)
Snort
– 리눅스 기반의 대표적인 네트워크 침입탐지 시스템
– 오픈소스프로젝트로 진행중이며 http://www.snort.org 에서 다운가능
– Telnet, Http, FTP, SMTP, POP, NFS 등 다양한 프로토콜의 감시룰 제공
System Security N-IDS (Snort)
Snort 의 구성
Matching Engine
RULE
HTTP FTP TELNET SMTP ETC…
System Security N-IDS (Snort)
A T T A C K
HTTP RULE STRING: ATTACK
로그 및 통지
System Security N-IDS (Snort)
Snort 의 제공 기능
– STRING MATCHING 뿐만 아니라 프로토콜 헤더의 플래그 및 옵셋 매칭기능 제공
– 최신 공격유형이 포함된 업데이트된 룰파일을 주기적으로 배포
– 포트스케닝 , 취약점 스케닝등의 스케닝 감지
– 분절된 패킷의 처리 기능
System Security
Thank you!