Network - IDS, IPS, Snort, UTM

 방화벽으로 막을 수 있는 공격도 있지만 막을 수 없는 공격도 있어요. 보통의 방화벽은 IP 주소와 포트 번호만 보고 판단하기에 속여서 접근 가능하고 응용 프로그램 수준의 공격과 새로운 패턴의 공격에 대한 적응력이 낮고 실시간 대응을 할 수 없는 단점도 있어요.

하지만 지금부터 서술할 IDS나 IPS는 주소와 포트 번호뿐만 아니라 내부의 데이터까지 보기에 막을 수 있는 범위가 증가하죠. 요약하자면 IPS는 예방 및 사전 조치를 취하는 시스템이고 IDS는 탐지 및 사후 조치를 취하는 시스템이에요.

 

Intrusion Detection System - 침입 탐지 시스템

 허가받지 않은 접근이나 크래킹 시도를 하는 등의 악의적인 패킷을 실시간으로 감시하며 시스템 또는 네트워크 관리자에게 알려주고 대응을 하도록 해주는 시스템이에요. 그러나 심각하지 않다고 판단되면 해당 패킷을 로그 파일에 기록하죠. 그러니까 CCTV와 같은 역할을 하죠. 방화벽 만으로는 내부 사용자의 크래킹과 외부 크래킹에 완전히 대처할 수 없으니 크래커 침입 패턴에 대한 추적과 유해 정보 감시가 필요하죠.

IDS의 기본적인 기능

자동 분석에서 공격 징후(Attack signature)는 IDS가 소스 파일의 데이터에서 공격 패턴을 찾아야해요.

#오용 탐지

관리자가 사전(事前)에 공격 패턴을 시그니처 DB에 기록해두고 해당 패턴으로 접근할 경우 IDS가 공격으로 판단하는 것을 의미해요. 여기서 시그니처 DB에 없는 새로운 패턴의 신종 공격을 제로데이 공격이라고 해요. 아예 모르는 취약점(여기서는 패턴)이라 DB 등을 수정할 수 있는 데드라인이 0일 남아있다는 뜻으로 붙여진 이름이에요. 당연히 DB에 없기에 탐지할 수도 없겠죠?

#이상 탐지

 이에 대응하기 위해 인공지능 알고리즘을 이용한 이상 탐지(논문 완료되면 링크 걸기)이 있어요. 먼저 시그니처 DB에 해당 공격 패턴이 있는지 확인 후 없다면 통계학적으로 예측해 제로데이 공격을 그나마 탐지할 수 있어요. 하지만 정상과 비정상을 구분하기 위한 임계치를 설정하기 어렵고 아직 오탐(誤探, 합법적 사용자를 침입자로 판단)과 미탐(未探, 침입자를 합법적 사용자로 판단)이 많아 불안정해요.

하지만 취약점을 이용해 변형, 고도화된 악성코드, 웜, 바이러스가 확산되어 작금은 이런 오류에도 불구하고 IDS와 방화벽에 이상 탐지는 필수적이에요.

 

IDS가 패킷의 도착이나 로그인 시도 등 데이터를 수집해 소스 파일에 기록하며 공격 패턴과 비교해 이상 탐지로 해당 침입이 매우 위험하다고 판단되면 관리자에게 경고 알람을 하고 덜 위험하다고 판단되면 로그 파일에 기록해요. 그러니 알람의 정확성을 검증할 수 있는 방법이 강구되고 관리자는 계속 로그 파일을 분석해야해요.

 이런 IDS는 설치 위치에 따라 다른 데이터를 소스 파일에 기록하며 이를 네트워크 기반 IDS(NIDS)과 호스트 기반 IDS(HIDS)로 나눌 수 있어요.

1. HIDS

 OS를 모니터링해 컴퓨터 시스템의 내부를 감시, 분석하는데 중점을 두며 워크스테이션, 서버 컴퓨터에 설치될 수 있어요.

OS 내부의 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고 작업을 했는지에 대한 기록을 소스 파일에 남기고 추적하죠. 예를 들어, 여러 번 실패한 로그인, 새로운 계정 및 실행 프로그램 추가, 파일 변경, 레지스트리 키 추가, 시스템 로그와 감사(監査) 파일의 변경 및 삭제, 시스템 감사 정책 변경, 주요 시스템 파일에 접근하는 유저, 잘 사용하지 않는 파일에 접근하는 유저, OS 모니터 자체 변경 등의 데이터를 수집해요.

네트워크에 대한 침입 탐지는 불가능하며 공격 대상이 될 때만 침입을 탐지할 수 있어요. 트로이 목마, 논리 폭탄*, 백도어 등을 탐지할 수 있죠.

*논리 폭탄이란? 특정 날짜나 시간 등 조건이 맞춰졌을 때 악의적인 기능이 실행되도록 만든, 소프트웨어에 일부로 삽입된 코드의 일부분

2. NIDS

 네트워크를 통해 전송되는 패킷 정보를 수집하여 분석해 소스 파일에 기록하고 침입을 탐지해요.

하지만 암호화된 패킷은 분석할 수 없어 효율성이 떨어지고 공격당한 시스템의 피해도 알 수 없어요. 또 호스트 상에서 수행되는 세부 행위에 대해 탐지할 수도 없어요.

IP 주소를 갖고 있지 않아 직접적인 해커 공격은 당하지 않고 설치 위치에 따라 감시할 네트워크의 범위도 조절 가능해요.

①, ②에 설치하면 방화벽의 필터링으로 막을 수 있는 패킷도 검사하게 되므로 과도한 트래픽을 발생시킬 수 있어요.

②, ③에 설치하면 IDS가 직접 패킷을 수집하는게 아니라 특정 포트의 패킷을 복사하는 TAP이라는 하드웨어 장비를 통해 복사된 패킷을 탐지하므로 추가적인 비용이 들 수도 있어요.

 

Intrusion Preventing System - 침입 방지 시스템

 IDS가 능동적인 기능을 탑재하면 IPS가 되어요. 이상 탐지뿐만 아니라 자동으로 조치를 취함으로 비정상적인 트래픽을 중단시키는 시스템이에요. 수동적인 방어 개념인 방화벽과 IDS와 달리 경고 알람이 전에 공격을 중단시키기 위한 침입 유도 기능과 대처 기능이 합쳐진 개념이에요.

 시스템이 피해를 입기 전에 대응이 가능하고 제로데이 공격도 예상 및 차단이 가능해요. IDS와 마찬가지로 NIPS와 HIPS로 나뉠 수 있으며 일반적으로 방화벽과 연동해 공격을 탐지할 수 있기에 방화벽 내부에 NIDS로 설치해요.

	방화벽	IDS	IPS
목적	접근 통제, 인가	침입 여부 감지	침입 사전 방지
특징	수동적 차단, 내부망 보호	로그, 시그니처 기반 패턴 매칭	정책, 규칙, DB 기반 비정상적 행위 탐지
패킷 차단	O	X	O
패킷 내용 분석	X	O	O
오용 탐지	X	O	O
오용 차단	X	X	O
이상 탐지	X	O	O
이상 차단	X	X	O
동작 계층	전송 계층 - 4계층 네트워크 계층 - 3계층	응용 계층 - 7계층 표현 계층 - 6계층 세션 계층 - 5계층 전송 계층 - 4계층 네트워크 계층 - 3계층	응용 계층 - 7계층 표현 계층 - 6계층 세션 계층 - 5계층 전송 계층 - 4계층 네트워크 계층 - 3계층
장점	엄격한 접근 통제, 인가된 트래픽 허용	실시간 탐지, 사후 분석 대응	실시간 대응, 세션 기반 탐지 가능
단점	내부자 공격 취약, 네트워크 병목 유발 가능	변형/신형 패턴 탐지 難	오탐 가능, 고가(高価)

SNORT

 무료 오픈 소스 네트워크 IDS이자 IPS이며 실시간으로 트래픽 분석 및 패킷을 기록해요. IDS, IPS의 시초라고 할 정도로 시중의 모든 IDS, IPS는 Snort를 기반으로 하거나 따라 만든 것이라고 할 수 있어요.

기본적인 기능은 공용 TCP/IP 스택 핑거프린팅, 공용 게이트웨이 인터페이스, BOF, 서버 메시지 블록 조사, 스텔스 포트 스캔 등이 있어요.

Packet Sniffer Mode

 와이어샤크처럼 수집한 패킷을 콘솔창에 모두 출력해요. 이때 OS의 libpcap의 도움을 받는데 데이터 보존 및 구분이 힘드니 소규모 네트워크에서만 사용하는게 좋아요.

Packet Logger Mode

 수집한 패킷을 HDD 등 저장장치에 기록해요, 트래픽 디버깅에 유용하게 사용할 수 있죠.

Network IDS/IPS Mode

 수집한 패킷을 관리자가 설정한 규칙에 위배되는지 분석하여 결과에 따라 무시하거나 로그에 남기거나 알람을 발생시키거나 차단하는 등의 처리를 해요.

 

Unified Threat Management - 통합 위협 관리

 하나의 장비에 AntiVirus, 방화벽, VPN, IDS, IPS, QoS 등 여러 기능을 통합한, 실시간 긴급 대응 체계가 가능한 네트워크 통합 보안 시스템이에요. 각종 보안 기능을 통합해 설치 및 관리해서 비용을 절감할 수 있어요. 웹의 경우 주로 IPS의 설명에서 예상할 수 있듯이 방화벽과 IPS을 통합한 UTM 제품의 수요가 많아요.