Microsoft PowerPoint - E1-2 나원택 최종.ppt

Size: px

Start display at page:

Download "Microsoft PowerPoint - E1-2 나원택 최종.ppt"

성윤 함
6 years ago
Views:

1 Intrusion Prevention System 2004 년 06 월 23 일 시큐아이닷컴 월드베스트팀장나원택

2 목차 Internet Worm 의위협 IPS 의필요성, 구조, 종류 IPS 도입시고려사항 기타유해트래픽차단기술

3 Internet Worm 의위협 유해트래픽의분류 Internet Worm이란? Worm의위험성 공격자들의 Worm 선호 Worm의확산 지금까지출현했던주요 Worm들

4 유해트래픽의분류 분류 공격유형 특징 피해범위 대응방안 Worm 1. 다수의사용자가사용하는운영체제나네트워크응용프로그램의취약점을이용 2. 스스로감염및전파를수행하는공격 1. 공격발원지나공격목적지를구분할수없음. 2. 특정프로그램의취약점을이용하므로통신 Port 가고정되어있음. 3. 하지만범용포트 (Ex:80/tcp) 를이용하는경우도많음 4. 소멸까지장시간소요 1. 피해지역 : 인터넷에연결되어있는모든곳 2. 파괴력 : 매우높음 1. 감염예방 2. Patch 관리 3. 유해 Signature Filtering DDOS 공격 1. 여러지역에있는취약한시스템을사전에해킹 2. 공격프로그램을심어놓고원격조정으로한번에특정서비스나네트워크를무력화 1. 여러지역에분포되어있는시스템으로부터공격 2. 공격발원지를알수없으나특정서버나네트워크를대상으로하므로목적지가고정되어있음. 1. 피해지역 : 공격목적지및경유지 2. 파괴력 : 높음 1. 방화벽차단기능활용 2. Traffic Shaping 3. Session Shaping 시스템해킹 1. 특정사용자가운영하는시스템에악의적인목적으로 2. 허용되지않는접속이나프로그램수행 1. 공격발원지나목적지의정보를쉽게알수있으나위조혹은중간경유지이용 2. Traffic 이상등의징후가없으므로감지가어려움 1. 피해지역 : 공격을받은특정시스템 2. 파괴력 : 매우높음 ( 막대한손해 ) 1. IDS 2. 서버보안제품 바이러스 1. 자체적인전파능력이없음 2. 특정파일에기생하여이동하는악성프로그램 1. 바이러스는네트워크를스스로이용하지않으므로네트워크에서탐지불가 1. 피해지역 : 감염파일을사용하는모든 PC 나시스템 2. 프로그래머의악의성에따라피해범위가가변적임 1. Virus Wall 2. 시스템및개인 PC 에 Virus 백신프로그램설치

5 Internet Worm 이란? 자기복제형네트워크프로그램 원격컴퓨터감염을목적으로취약점공격 감염된서버들이또다른서버를공격 네트워크를통하여자기복제 고급언어 (C++, Visual Basic 등 ) 3 가지공격단계 새로운공격목표탐색 목표발견시공격코드전파 피해시스템내공격코드실행 Network 최초공격후개입불필요 Autonomous Worms

6 Worm 의위험성 (1/3] 사람의수동대응시간보다빠르다 Code Red : 13시간만에전세계감염 Blaster, Welchia, SobigWorm : 4 ~ 5시간만에전세계감염 Slammer(Sapphire) 8.5초마다감염지역을 2배로확대 3분만에전세계 IP 대역 Scan 가능 10분만에전세계감염 기술발전에따라얼마든지더빠른 Worm 출현 Worm Payload 의위험성 Payload에 DDoS Attack, 이중공격 Internet Scale Espionage Data Corruption BIOS reflashing Graph from David Moore's analysis (caida.org)

7 Worm 의위험성 (2/3] Slammer Worm 피해지역 Sat Jan 25 14:29: (KST) Sat Jan 25 15:00: (KST)

8 Worm 의위험성 (3/3] Slammer Worm ( ] MS SQL Server의취약점이용 취약점발견 7개월후출현한 Worm Blaster, Welchia, Sobig ( ~ 18] MS Windows 운영체제의 RPC DCOM 취약점 취약점발견 1개월후출현한 Worm 1주일사이 10개의변종으로발전 Scalper, Slapper (2002] Linux, FreeBSD Apache 서버의취약점 취약점발견 10일만에출현한 Worm 취약점공개이후 1일이내 Worm 출현가능

9 공격자들의 Worm 선호 (1/2) 효과적인공격수단 한번에모든취약한시스템들을공격할수있다. 기존공격에비해추적이매우어렵다. Worm 제작이간편 고급언어 (C++, Visual Basic) 전파코드가정형화되어있으며, 재사용이가능 Payload 내에전파기능과무관한다른공격코드내장가능 다양한공격대상 1 사용자가많은유명한네트워크프로그램및운영체제 Slammer Worm을기준으로취약시스템이 20,000대이상이면, 전세계장악이가능

10 공격자들의 Worm 선호 (2/2) 다양한공격대상 2 Windows 운영체제나기본프로그램의취약점 50,000,000 대이상 P2P 프로그램 (edonkey, WinMX, KaZaA, 소리바다등 ) 5,000,000 대이상 Web Server & Service Program 3,000,000 대이상 기타 Game Server 및응용프로그램 20,000 대이상 Home Machines Firewall Corporate Corporate Intranet Intranet The Internet The Internet Webservers Game Servers, Halflife: 20,000 Web Servers, IIS/Apache: 3,000,000 P2P, KaZaA: >5,000,000 File Sharing, CIFS: 50,000,000?

11 Worm 의확산 [1/6] Worm 의확산방법 Scanning : Random 한목표선택 가장일반적, 하지만속도가늦음 Meta-Server : 외부서버로부터공격 List 수집 빠른감염 특정 Application에한하여사용 사전수집기간이필요 Topological : 감염서버로부터공격목표들을수집 Speed Scanning Metaserver Topological 빠르지만, 특정 Application 에제한됨 Target Selection Network Stealth

12 Worm 의확산 [2/6] Scanning 확산의주요특징 무한반복형공격 Random Address를취함 해당서버가취약하면감염 구현이매우간단함 대부분의코드가정형화되어있음 확산속도 (K) Rate of Scanning Number of Vulnerable Machines Size of Address Space 초기감염후에는기하급수적으로확산 좀더시간이경과하면, 중복공격 ( 이미감염된곳에공격 ) 으로효율감소 K = Scan Rate * Vuln Machines Address Space Size

13 Worm 의확산 [3/6] Scanning 확산의종류 인근 Subnet Scanning 인근지역의취약서버를우선공격 Code Red, Nimda Address 할당이많이되어있는대역을우선공격 Scalper, Slapper 등 Connection By Connection 방식 TCP 접속으로, SYN Packet을임의의주소로보내고, 접속이이루어져야, 감염코드전송이작동 Code Red의경우약 ~6 Scans/second 피해지역이 2배가되는데 40분소요 Full Bandwidth Scanning 감염된호스트가사용할수있는모든대역폭을사용 100Mbps인경우 28,000 Scans/second UDP Slammer Worm, TCP는 SYN를 Full Bandwidth가처리하고, 접속은다른 Thread가처리하도록하면가능, 아직없음

14 Worm 의확산 [4/6] Meta Server 방식 제 3의서버로부터공격목록수집 Game 서버 : 게임상대자정보수집 검색엔진 : 웹서버들의정보수집 Windows Active Directory : Network Neighborhood 정보수집 각각의감염시스템이정보수집에동원 실제감염가능서버에대한정보수집 Scan에비해훨씬빠른공격 ( 모든서버공격시1분소요 ) 아직까지발견은되지않음 Percent Infected 100% 80% 60% 40% 20% Server Server Server Server Metaserver No Acceleration Metaserver Acceleration Server Server Server Server 0% Time (Hours)

15 Worm 의확산 [5/6] Topological Information 새로운공격목표를감염시스템내에서찾음 감염시스템내의하드디스크, Cache로부터 URL 정보획득 메일주소록이용 Unix라면, /etc/hosts 파일등을이용 대부분 Mail Worm에서나타남 최근의 Mail Worm들은좀더지능적인방법을동원 최초의 Morris Worm에서사용 마이둠, 러브게이트, 넷스카이등

16 Worm 의확산 [6/6] 확산방법에따른트래픽이상징후 Scan 확산 TCP Scan의경우Reject Traffic이급증 방화벽, L4/L7 스위치장비에서세션테이블이급증 라우터 Cache Table이급증 네트워크장애발생 Meta Server 방식 Connection 요청이급증 특정서버로평소에사용하지않는 Query가발생 특정호스트에서 Outgoing Connection이증가 Topological 방식 특정호스트에서 Outgoing Connection이증가

17 지금까지출현했던주요 Worm 들 (1/4) Worm 년도 유형 피해 기타 Morris 1988 Topological 6000 최초의지능형 Worm 여러가지취약점공격이용전파 Code Red 2001 Scanning ~300,000 최초로빠른전파속도를갖음 Nimda 2001 Scanning Others ~200,000 Local subnet scanning. 여러가지기능을효과적으로조합 Scalper 2002 Scanning <10,000 취약점발견뒤 10 일만에출현 Slapper 2002 Scanning 13,000 Scalper Code 의변형 Sapphire (Slammer) 2003 Scanning >75,000 10분만에전세계전파가장빠른전파속도를자랑 Welchia 2003 Scanning >300,000 ICMP Traffic 의폭주를초래

18 지금까지출현했던주요 Worm 들 (2/4) Code Red, 2001 IIS Index 서비스 DLL의 Buffer Overflow Bug를이용 100개의 Thread로구성, 99개의 Thread는타웹서버감염용코드 마지막 100번째 Thread는다음과같은작업을수행 현재시스템이 Windows NT/2000 인지를검사 만약그렇다면홈페이지를변경 Welcome to Hacked By Chinese! 변경된홈페이지는 10시간후자동사라짐 각각의 Worm Thread는 C:\notworm 파일의존재여부검사 존재시 : 휴먼 부재시 : 다른시스템을계속감염 각각의 Worm Thread는현재시간을검사 만약현재시간이 20:00 UTC에서 23:59UTC이면, (100Kbyte를 80번포트로전송 ) 그렇지않으면, 새로운시스템을계속감염

19 지금까지출현했던주요 Worm 들 (3/4) Nimda, 메일을통해전파 자신을.EXE로 Encoding 한후, MIME은 audio/x-wave 타입으로전송 이메일을보기만하면, Explorer 버그로실행파일이자동실행 IIS 웹서버전파 root.exe 파일검색 유니코드 Encoding 및이중 Encoding을이용하여취약점공격 (GET /scripts/..%5c%../winnt/system32/cmd.exe?/c+dir) 취약한 IIS 서버가찾아졌으면, tftp 사용하여 Worm 전송 (C: 드라이버공유 ) 모든 Local HTML과 ASP 파일을변경 (readme.eml) 자신을 readme.eml이라는파일로복사 Download 시, 자동실행 Local 디렉토리와 Network 디렉토리에.eml과.nws라는이름으로자신복사 미리보기등에의해 Worm이실행되고, Network을통해전파됨. 또한 riched.dll로자신을복사 사용자가 MS Office 문서를열면, MS Office가 DLL을실행

20 지금까지출현했던주요 Worm 들 (4/4) Slammer ( ) 단계 1 단계 Stack 에 Buffer Overflow 유발 기능 2 단계 함수얻기 준비단계 사용할 DLL 및 Win32 API 스트링값저장 Kernel32.dll, ws2-32.dll 의기본주소얻기 GetProcAddress() 엔트리포인트찾기 GetTickCount() 호출 1/1000 sec 3 단계 통신개시 설정단계 포트설정 Socket(AF-INET, SOCK_DGRAM, IPPROTO_UDP) Sendto() 호출준비 4 단계 전송단계 목적지 IP 생성 Sendto() 호출, Payload 길이는 376 Byte

21 IPS 의필요성, 종류, 주요기술 기존보안장비의문제점 IPS의종류 방화벽기반 IPS의구조 유해 Signature 검사 Protocol Anomaly 분석 Traffic 통계분석

22 기존보안장비문제점 (1/2) IDS의문제점 False Positive 정보의정확성보장이어려움 3개월간의총 2,100 만개의경보중, 실제공격과관련된건수는 1,422 건에불과 특정시그니쳐가기업에서사용하는특정키워드와동일한경우등이비일비재 특정 IDS 경보가오탐임을판단하기까지인력과시간이필요 IDS 경고발령에무감해져, 실제공격발생시능동적대응력이낮아짐 설치및구성시에의유연성이부족 항상회선을Mirroring 하여야함 복수회선의경우, 복수 Sensor 또는시스템이필요 복수회선에대한통합된모니터링이불가능한경우가발생 유해트래픽에대한능동적차단이불가능하다. 수동개입의필요성 침입에대한대응시점이늦어짐 고급보안기술자가필요

23 기존보안장비문제점 (2/2) 기존방화벽의문제점 탐색하는정보가제한 대부분 IP Address 및 TCP/UDP Port 번호까지만검색 즉, 각패킷의헤더에대해서만검사하고내용은확인하지않음 최근이를극복하는방화벽의등장 (Deep Packet Inspection) Signature DB, 또는취약점적극대응체계의부족 유해트래픽의속성이파악되고난후, 후속대응 특정취약점이발표되었을때, 이를능동적으로적용하는체계부재 대부분의방화벽업체는자체 CERT 팀을운영하고있지않음 동적차단메커니즘의부재 특정트래픽을차단하기위해서는, 거부정책 을명시적으로관리자가설정하여야함 동적거부정책 또는Black List의운영이필요함 하지만, 모든트래픽을감시하고, 제어하는기존방화벽의역할은 IPS 의기능과역할에부합됨 방화벽의혁신을통한유해트래픽의능동적차단이가능함

24 IPS 종류 (1/2) Layer 7 Switch 기반의 IPS L7 스위치는주보안장비를보조하는네트워크장비로서보조보안장비 각서버들에트래픽을부하분산하여배분하는네트워크장비로서스위칭이주된역할 IDP, Content Filtering 등은보조역할 스위칭성능과포트집적도가뛰어나다는장점 다른보안장비에비교한약점 L7 장비는네트워크스위치이므로, 어떠한보안성검증부분이약하고, 또보안성검증의필요가없는네트워크장비 K4, CC 등 유연성부족 : 다양한보안기능구현이어려움 IDS 기반의 IPS Network 수동검사 능동검사 IDS는트래픽을수동청취 ( 광탭등을이용한수동청취 ) 하여트래픽을분석 유해트래픽차단을위해서, In-Line 동작필요. 능동분석및능동차단 Vendor별로다양한침입탐지기법, 침입탐지 DB 등기축적된기술을그대로활용 또한트래픽에대한로그, 통계, 리포팅등에있어서도축적된기술을그대로활용 자체보안기능을갖추고있어, 보안성평가가가능 (K4, CC 등 ) 주요단점 제한적인 Networking 다양하고복잡한정책에근거하여트래픽을차단하고및조절하는능력이부족

25 IPS 종류 (2/2) 방화벽기반의 IPS 방화벽과유해트래픽의차단 주된기능은 " 관리자의정책 " 에의해트래픽을통과하거나차단, 또는조절 (Shaping) 하는역할 정책은트래픽의발신자, 목적지, 서비스종류, 또는트래픽의내용의조합으로구성되며, 유해트래픽차단 은그러한정책들중의하나이며, 훨씬융통성있는정책조합이가능 즉, 차단대상과서비스, 그리고적용이이루어지는시간등에대한 Control이가능 방화벽기반유해트래픽차단의주요특징 방화벽은보안장비로서스스로를보호할수있는여러가지장치들을갖추고있어, 보안성을검증할수있음 다양한형태의네트워크에설치 (Routing, Bridge, VLAN 환경, Active-Active HA 등 ) 네트워크장애에대처하는기술을오랫동안축적해왔음 NPU, 고성능 CPU 기반장비또는Acceleration Card의개발로다양한 Giga급의고성능 Platform 채택이가능 보안정책및보안기능을유연하게적용. 각사이트에최적화된활용 네트워크및시스템에대한통합적인보안정책수립과해당정책의관철

26 방화벽기반 IPS 의구조 방화벽기반 IPS 방화벽을통해 L4이하의보안정책관철 Invalid TCP/UDP 검출 정책기반의세밀한 Control L4 이하의모든트래픽정보를획득 IPS로서수행해야할3 가지주요유해트래픽차단기술 유해 Signature 검사 Protocol Anomaly 분석 Traffic Anomaly 분석 Packet Packet Packet Packet Firewall Kernel Packet IPS Module DDoS 방어 유해 Signature 검사 Protocol Anomaly Traffic Anomaly Logging 실시간 Monitoring 중앙관리 Packet Packet Packet

27 유해 Signature 검사 (1/2) 이미알려진유해트래픽들은모두 Signature 를가지고있다. 취약점 서비스 Signature ftp serv-u directory traversal 21(TCP).%20. ftp site cpwd overflow attempt 21(TCP) SITE CPWD test ftp exploit stat * dos attempt 21(TCP) STAT *?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA worm fizzer smtp propagation 1-Fizzer 25(TCP) AHMAZQByAHYAYwAuAGUAeABl worm fizzer smtp propagation 2-Fizzer 25(TCP) AGwAcwBlAHIAdgBjAC4AZQB4 worm fizzer smtp propagation 3-Fizzer 25(TCP) AbABzAGUAcgB2AGMALgBlAHg trin00 daemon to master 31335(UDP) *HELLO* 현재알려져있는 2 천여가지개수의 Signature 들에대해, 유입되는모든패킷들에대한검색후차단 Protocol NULL 1 NULL 검사할것이없음검사할것이없음 23 NULL 검사할것이없음 25 Offset, signature 1 Offset, signature 2 Offset, signature (or 128) NULL Port 번호 List signature 4 signature 5

28 유해 Signature 검사 (2/2) 정확한검사및오탐의최소화 각방화벽정책으로 Signature 검사할트래픽을세밀히정의하여불필요한검사최소화 Signature 검사시, Signature 출현단계, 위치를적시 빠른성능의 Signature Filtering이필요 고속패턴매치 Algorithm 적용 Hardware Content Inspection Chip 활용 꼭필요한패킷들에대해서만검사수행 GET /default.ida?xxxxxxxxxxxxxxx Vulnerable Web Server Contents Filtering Port 80 opened X But, blocked 최신 Signature DB Update 주기적인 Signature DB Update (Pull) 긴급 Signature Push

29 Protocol Anomaly 분석 (1/2) HTTP Protocol Anomaly 분석 각 Protocol 별트래픽에대한정상 / 비정상유무판단 HTTP Version 검사 HTTP Method 정합성검사 HTTP Agent(Browser) 검사 비정상 HTTP 트래픽에대한차단 각 Protocol 헛점을이용한다양한해킹에대한포괄적차단 80번을이용한 Back Door 차단 80번을이용한트로이목마차단 기타비정상 HTTP 트래픽의차단으로내부웹서버에대한보안 Web Server 로가장한 Remote Hacker 정상적인 HTTP Session 을가장한 Remote Control Infected Host X HTTP Version? HTTP Agent? HTTP Method? Etc

30 Protocol Anomaly 분석 (2/2) FTP, Mail, DNS Anomaly 분석 FTP 트래픽에대한정상 / 비정상유무판단 PORT 명령정합성검사 FTP PASV 공격차단 비정상 FTP 트래픽에대한차단 Mail 트래픽에대한정상 / 비정상유무판단 POP3, SMTP에대하여검사 RFC 규약에따른명령어교환여부 SMTP 서버를이용한포괄적인해킹차단 DNS 대한정상 / 비정상유무판단 DNS Cache Poisoning 공격차단 질의와대답에대한정합성검토 ABCDE.COM 의주서버로가장한해커 (1) ABCDE.COM 가짜질의 (2) ABCDE.COM Recursive 질의 (3) 유명사이트에대한엉뚱한답변 X DNS Server

31 Traffic 통계분석 (1/2) 비정상트래픽폭주감지및차단 각서비스별로트래픽감시 각서비스별로트래픽을감시 각서비스별트래픽 Baseline 자동설정 트래픽이Baseline 대비폭주지속시탐지및자동방어를수행 WORM이유발하는트래픽폭주방어에유용 트래픽폭주감지차단 Unknown Port 트래픽감시 서비스별트래픽을감시중, 특정 Unknown Port ( >= 1024 ) 에해당하는트래픽이전체트래픽의상당부분을차지하는지여부를탐지 해당트래픽폭주발생시자동방어작동 Infected Host

32 Traffic 통계분석 (2/2) 고려사항 각서비스별, 발신지 IP 주소별, 목적지 IP 주소별 Baseline을테이블형태로운영 서비스는 65535개로 Baseline Table 관리가어느정도가능하지만, IP 주소는거의불가능 연구대상 트래픽폭주판단 : Baseline의몇배에이르는트래픽이일정시간동안지속된다. 문제점 : 신규서비스의오픈, 데이터의백업, 온라인 Batch Job 등에대한오판 대응책 : 이러한서비스들에대한사전등록 관리자시행착오의자동화필요

33 IPS 도입시고려사항 성능평가 탐지의정확성, 오탐여부 네트워크설치유연성 특징적기능평가

성능평가 성능평가항목 Overall Throughput Basic Throughput ( 기본트래픽 Forwarding 능력 ) 정상트래픽을Simulation하여, 총처리할수있는대역폭 초당처리할수있는신규세션 총처리할수있는동시세션수 초당처리할수있는패킷수및패킷당 Latency Delay Network Computing 사에서 2003 년 9

34 성능평가 성능평가항목 Overall Throughput Basic Throughput ( 기본트래픽 Forwarding 능력 ) 정상트래픽을Simulation하여, 총처리할수있는대역폭 초당처리할수있는신규세션 총처리할수있는동시세션수 초당처리할수있는패킷수및패킷당 Latency Delay Network Computing 사에서 2003 년 9 월수행한테스트구성도 성능측정방법 Basic Throughput 테스트 (SmartBits이용) 로는한계가있음 정상웹트래픽을 Simulation Client Simulation : Spirent사 WebAvalanche Server Simulation : Spirent사 WebReflector 세션수등은 SmartBits를이용하여 Websuite 등으로테스트 Latency Delay 는 SmartBits로측정이가능하나, WebAvalanche를이용하여, Background Traffic이 250Mbps, 500Mbps, 1Gbps 존재하는동안의 Latency를측정

35 탐지의정확성, 오탐여부 측정항목 탐지율 (Signature 포함및 DDoS 공격 ) 샘플공격에대한탐지율 = ( 탐지건수 / 공격건수 ) * 100 오탐저항율 False Positive에대한저항능력 오인가능한 Sample Traffic에대한구분여부 오인저항율 = ( 1 ( 오탐건수 / 샘플 Traffic 건수 ) ) * 100 회피공격저항성 Sample Evasion Attack에대한탐지능력 회피공격저항성 = ( 탐지건수 / 공격건수 ) * 100 측정방법 SANS TOP 20 취약점중심으로측정 ( 각취약점에대해관련한 Script를구하여야함 오탐저항성측정 : 다음의특징을가진 정상 트래픽을가지고있어야함 ( 약10개정도 ) Suspicious Signature Content Neutered Exploits Completely Ineffective 회피공격저항성측정 fragroute Tool을이용하여, Signature를가지고있는패킷을여러조각내어전송 Whisker Web server vulnerability scanner Tool을이용하여, URL 판단혼란을야기

36 네트워크연결의유연성 다양한네트워크환경지원 Routing Protocol 지원여부 Routing/Bridge(Transparent) Mode 구성지원여부 VLAN 802.1q Trunk 지원 : 각인터페이스에대한 Sub Interface 구성여부 Multiple Interface 지원으로 Mesh구조설치여부 Internet 설정변경 기존 Routing Mode Bridge Mode 802.3ad Multi-Channel Gigabit Interface 지원 Fail Over Device 지원여부 인터넷 802.3ad 2Gbps Interface 802.1Q 802.3ad 2Gbps Interface VLAN A VLAN B VLAN C

37 특징적기능평가 기능평가를위한 Survey 지원하는 Signature 개수및Update 방안 Signature Source 는? ( 자체 DB, External DB, SNORT DB ) 긴급 Signature 배포를위한비상대기 CERT 존재여부 Protocol Anomaly 지원하는 Application 들의개수는몇개이고종류는무엇인가? 각트래픽별Signature 검색에대한세부적인 Control들이가능한가? HTTP 관련유해웹사이트차단기능이있는가? 복수의장비에대한통합모니터링, 로그, 통계, 리포팅시스템을제공하는가? ESM 연동성은? 각침해 Event들에대한 Co-relation 표시및분석기능이있는가? 의심스러운 Packet들에대한 Dump 기능이있는가? 각공격에대한상세한한국어설명이갖추어져있는가? 복수회선 / 장비설치시비대칭경로를선택하는트래픽에대한대응과탐지가가능한가? 최대입력가능한방화벽정책수는? 교육체계및제공할수있는기술문서 (White Paper) 정도 Customization이가능한가? 고유한특징은어떠한것들이있는가? 주요구축사례?

38 기타유해트래픽차단기술 스캔시도탐지및차단기술 세션제한기술 Keyword Filtering 기술 DDoS 방어기술 기타패킷필터링 Anti Virus 기술

SCAN 시도탐지및차단기술 WORM 트래픽의전형적인패턴은다음과같음 동일한발신지IP 주소에서초당수만개의서로다른목적지 IP 주소로, 동일한서비스번호로전송 이러한패턴은전형적인SCAN 트래픽패턴 ( 즉, 어떤서비스를 OPEN하고있는호스트를찾는행위 ) 10.1.1.1:1434 Infected Host 1.2.

39 SCAN 시도탐지및차단기술 WORM 트래픽의전형적인패턴은다음과같음 동일한발신지IP 주소에서초당수만개의서로다른목적지 IP 주소로, 동일한서비스번호로전송 이러한패턴은전형적인SCAN 트래픽패턴 ( 즉, 어떤서비스를 OPEN하고있는호스트를찾는행위 ) :1434 Infected Host : : :1434 Pattern Analysis 방화벽에서 "SCAN 공격자탐지및방어 " 기능을활성화하면다음과같이동작 단, 10개의초기발생패킷의패턴을통해감지하고, SCAN 패턴의트래픽을발생시키는발신지IP 주소를커널상의블랙리스트에설정된차단시간과함께전달 커널상의블랙리스트는패킷인입시최초로비교되는리스트로서, 해당되는패킷은방화벽에진입하지못하고설정된차단시간동안삭제

40 세션제한기술 WORM 피해의주된특징 세션폭주에따른장애 동일발신지주소에서많은세션이생성 세션제한기능으로효과적대처가가능 방화벽의세션제한기능 정책과무관하게전체적으로각발신자주소당정해진 Threshold 이상의신규세션은차단 또는, 유연성을위해각정책별총세션수를지정하여, 발신지주소와무관하게, Threshold 이상의신규세션들을차단 정책별로각발신지주소별 Threshold 설정역시가능 Infected Host Session Limitation XX

Keyword Filtering 기술 긴급하게수동으로 Signature 탐지및차단을이용 특정 String을이용하여, Contents Filtering Slammer WORM의경우 : 0x 42 B0 C9 DC 01 01 01 01 로시작 1.

41 Keyword Filtering 기술 긴급하게수동으로 Signature 탐지및차단을이용 특정 String을이용하여, Contents Filtering Slammer WORM의경우 : 0x 42 B0 C9 DC 로시작 1.25 대란시폭주했던 DNS Inverse Query에대한선택적차단역시가능 in-addr 문자열필터링 Telnet, NNTP 등에서특정명령어차단가능 Vulnerable MS*SQL Server UDP x42B0C9DC Keyword Filtering Port 1434 opened X But, blocked 방화벽의정책별키워드 Filtering 기능 각정책별로설정가능하여, 유연한적용이가능 임의의 ASCII 단어및문자열 임의크기의 0x 로시작하는 HEXA 값

42 DDoS 방어기술 패턴분석을통한각종 DDoS 방어기능 SYN Flooding 공격탐지및차단 Ping Flooding 공격탐지및차단 UDP Flooding 공격탐지및차단 DNS 질의공격탐지및차단 잘못된 Fragmented Packet을이용한공격차단 Ping of Death 공격차단 Target X Blacklist X X XX Smurf 공격차단 Black-List 의활용 모든패킷들이방화벽진입즉시블랙리스트와 비교됨 블랙리스트에의한차단은방화벽에거의부하를주지않음 위 DDoS 방어기능에의해검출된패킷은블랙리스트에일정시간 ( 기본값 60초 ) 과함께등 listed Packet Trash Blacklist Verification Dynamic Rule Classification Kernel NAT Copy or Redirection Logging 록되어, 해당패킷들은주어진시간동안 차단

43 기타패킷필터링 의심스러운모든패킷의차단 내부망 IP 주소를가지고외부에서들어오는패킷 들의차단 RFC 1918 등록된비공인 IP 주소를발신지로한 패킷들의차단 존재할수없는발신지IP 주소의패킷들을차단 , LAND 공격성패킷들의차단 Source Port와 Destination Port가같은 TCP 패킷들의차단 Target X X X XX ICMP Destination Unreachable 패킷차단 Source Route Option IP 패킷차단

44 Anti Virus 기술 Virus 엔진과의연동 어떤세션의 Payload를하나의파일로만들어서 (Assemble), Virus 엔진에전송 Virus 엔진은검사하여결과를 Return 해당파일을해당세션에전달 (Dissemble) SMTP,POP3, FTP, HTTP, MSN_FILE 등 브리지모드에서도지원이가능해야함 사용자에게 Transparent 해야함 IPS vs Anti-Virus 구분 성능 대상서비스 바이러스 치료여부 탐지바이러스종류 IPS ~1Gbps 모든 IP 서비스 차단만수행 패턴비교로식별가능한바이러스 Anti-Virus ~100Mbps HTTP, SMTP, POP3, FTP 치료까지가능 8만여종의은페형, 압축바이러스포함

45 References html

46 Q&A 감사합니다.

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5