IDS 구성및운영 2002. 11. 27 이강석 ksalice@kisa.or.kr 한국정보보호진흥원 / 평가 2 팀
목차 침입탐지시스템이해침입탐지시스템분류침입탐지시스템동향침입탐지시스템설치시문제점침입탐지시스템관리문제침입탐지시스템한계선택시고려사항결론 2
침입탐지시스템 (IDS) 의이해 침입 (Intrusion) 정의 IDS의정의 IDS의필요성 IDS의구조 3
침입 (Intrusion) 이란? 컴퓨터 / 네트워크자원의 비밀성 (confidentiality) 무결성 (integrity) 가용성 (availability) 을손상시키려는시도 비밀성 무결성 가용성 By NSA Glossary of Terms Used in Security and Intrusion Detection 4
침입 (Intrusion) 이란?( 계속 ) 일반적인정의 자산 각종서비스를제공하는서버개인용컴퓨터네트워크자원등 공격행위 사용무력화데이터파괴정보유출등 5
침입 (Intrusion) 이란?( 계속 ) 침입발생 외부자의악의적인공격 내부자의악의적인공격, 권한의오 남용 ( 실수포함 ) 예제 분산서비스거부공격 (DDoS) Buffer Overflow, 웜 (Worm) 내부자의자료유출 6
침입탐지 (Intrusion Detection) 란? 컴퓨터또는네트워크로들어오는침입을탐지하는기술 사용자행위, 보안로그, 또는감사데이터에근거 수동또는소프트웨어를통한침입시도나, 침입한행위에대한탐지 By NSA Glossary of Terms Used in Security and Intrusion Detection 7
IDS 의정의 외부침입자가시스템의자원을정당한권한없이불법적으로사용하는시도또는, 내부사용자가자신의권한을오용, 남용하는침입시도를탐지하고대응하는것을목적으로하는소프트웨어나하드웨어 침입탐지시스템 침입차단시스템 By NSA Glossary of Terms Used in Security and Intrusion Detection 8
IDS 의필요성 자산의 IT 의존도심화 정보자산에대한침입가능성및피해증가 침입차단시스템의한계극복을위한대처수단 상호보완시스템구축 개별적 / 대규모시스템보안관리의어려움 시스템 / 네트워크침입에대한즉각적인탐지및대처수단의필요성 9
S/W 복잡도에따른침입기술의발전 HIGH CROSS SITE SCRIPTING 침입자의지식 STEALTH /ADVANCED SCANNING TECHNIQUES 공격의정교함 DISABLING AUDITS BACK DOORS DENIAL OF SERVICE PACKET SPOOFING SWEEPERS SNIFFERS GUI WWW ATTACKS AUTOMATED PROBES/SCANS NETWORK MANAGEMENT DIAGNOSIS STAGED ATTACK DISTRIBUTED ATTACK TOOLS LOW HIJACKING SESSIONS BURGLARIES EXPLOITING KNOWN VULNERABILITIES PASSWORD CRACKING SELF-REPLICATING CODE PASSWORD GUESSING 1980 1985 1990 1995 2000 10
침입차단시스템의한계 1 관리자의실수로인한 Firewall 의관리상의문제점 2 내부자에의한위협이가장위험함 ( 전체침입의약 70%) 3 모든트래픽이 Firewall 을통과하지않음 ( 우회공격 ) 터미널서버 /Dial-up 서버 ( 모뎀 ) 4Firewall 자체에대한공격 Firewall 을공격하는 50 가지방법 (http://all.net/journal/50/firewall.html) 5 내부서버의취약성으로인한공격 Firewall 을설치했으니까.. 1 2 3 인터넷 4 5 11
내부자의네트워크불법사용증대 불만품은종업원미국내경쟁업체독립해커들외국기업 2001 년 2000 년 외국정부 0 20 40 60 출처 : InformationWeek 80 100 CSI/FBI Computer Crime and Security Survey(2001) 12
개별적 / 대규모보안관리방식의문제점 관리자의교육수준및기회부족 충분하지않은관리자교육기회및투자비용 관리자및관리시간부족 늘어나는호스트에비해관리자의수부족관리자업무과중 주기적인시스템패치문제새로운시스템취약성발견및취약점잔재 13
IDS 의효과 안전하고효율적인보안관리 자동화된실시간침입탐지및대응 외부및내부사용자에의한보안침해사고위협에대처 비전문가도효율적인운용가능 관리자부재시에도효과적인대응가능 침입에대한유용한정보제공 침해사고대응절차등 공격자에대한침입관련자료생성 Forensics( 증거를수집하는방법 ) 보안시스템초기투자비용감소전문보안인력확보의어려움극복기술변화에따른위험부담감소 14
일반적인구조 침입탐지 센서, 에이전트, 탐지엔진 보안관리 Management Station 관리콘솔, 매니저 Sensor Sensor Sensor 15
IDS 분류 데이터소스기준 네트워크기반 호스트기반 하이브리드 침입탐지방법기준 오용탐지 비정상행위탐지 대응행동기준 수동적대응 능동적대응 16
네트워크기반 IDS 데이터소스 네트워크패킷 NIC의 Promiscuous mode 이용패킷수집 보호대상호스트정상사용자 HUB 외부공격자 공격패턴 sss sss sss sss sss sss NIDS 내부공격자 17
네트워크기반 IDS( 계속 ) 장점 단점 제품 호스트기반 IDS 에서는탐지불가능한침입탐지가능 포트스캐닝, Land 공격전체네트워크에대한침입탐지가능기존네트워크환경의변경필요없음 탐지된침입의실제공격성공여부를알지못함고부하 (High-volume)/ 스위치 (Switch) 네트워크에적용문제다양한우회가능성존재 국내 Siren 3.0, NeoWatcher@ESM Package V3.0, Netspecter V1.2, TESS/TSN V2.0, Sniper v2.0 등국외 BlackIce(ISS), Cisco Secure IDS, IntruShield, Snort 등 18
네트워크기반 IDS( 계속 ) 침입탐지 NIC 의 Promiscuous mode 이용 10/10-16:55:11.899871 172.16.3.158:22321 -> 233.190.247.92:22321 UDP TTL:1 TOS:0x0 ID:41870 IpLen:20 DgmLen:30 Len: 10 ----------------------------------------------------- 10/10-16:55:11.926966 172.16.3.112:1035 -> 172.16.3.1:1900 UDP TTL:128 TOS:0x0 ID:51242 IpLen:20 DgmLen:160 Len: 140 패킷수집 패킷축약 (Filtering+ 변환 ) 시그너처 패킷비교 침입탐지 감사기록 / 대응 19
Statefull 패킷수집방법 세션이연결된패킷만수집 TCP 세션 : 3 Way Hand Shake False Positive 발생확률낮음메모리오버헤드 세션이종료될때까지세션저장 Stateless에비해많음 Stateless 보호네트워크의모든패킷수집 False Positive 발생확률이높음 IP Spoofing 메모리오버헤드 Statefull 에비해적음 8 8 1 20
네트워크기반 IDS( 계속 ) 침입탐지의효율성 환경적고려사항 고속환경에맞는 NIC 사용 네트워크트래픽의로드밸런싱 스위칭허브또는분산네트워크 침입탐지시스템자체성능향상 투자대비적절한시스템환경지원 메모리, CPU 성능 패킷수집및탐지방법, 모델개선 빠른패턴비교알고리즘사용 / 개발 Snort : 개선된 Boyer-Moore 알고리즘 네트워크에맞는시그너처튜닝 False Positive, 시그너처패치 21
호스트기반 IDS 데이터소스 OS 감사자료 (audit trail) 시스템사용자활동응용프로그램로그 정상사용자 HUB 보호대상호스트 HIDS 공격패턴 HIDS 공격패턴 HIDS 외부공격자 sss sss sss sss sss sss 공격패턴 관리시스템 내부공격자 22
호스트기반 IDS( 계속 ) 장점 단점 제품 네트워크기반 IDS 에서는탐지불가능한침입탐지가능 트로이목마, Race condition 등고부하 / 스위치네트워크에도적용가능 모든개별호스트에대한설치 / 관리가어려움 IDS가설치된플랫폼의성능저하 IDS가설치된플랫폼자체가침입에노출됨 국내 Siren 3.0, NeoGuard@ESM Package V3.0, SafezoneHost V1.0 국외 Appshield, auditguard, Centrax, Dragon Squire, NFR HID 등 23
호스트기반 IDS( 계속 ) 침입탐지 Solaris BSM(Basic Security Module) 시스템에서발생하는모든사건감사 Windows 계열 감사이벤트로그 System Call BSM module audit_event 사건수집 데이터포멧구성 시그너처패킷비교침입탐지 감사기록 / 대응 24
호스트기반 IDS( 계속 ) 침입탐지의효율성 시스템감사로 processing 오버헤드 Solaris 인경우, 5-10% 의오버헤드발생 적절한시스템감사정책수립 부적절한감사정책 감사로그증가 비교대상증가 침입탐지시스템자체성능향상 투자대비적절한시스템환경개선 (Upgrade) 메모리, CPU 성능 빠른패턴비교알고리즘사용 / 개발 호스트시스템에맞는시그너처튜닝 False Positive, 시그너처패치 탐지성능저하 25
하이브리드기반 IDS 데이터소스 장점 단점 제품 네트워크패킷, 시스템 / 응용프로그램감사로그 No Promiscuous mode Network Node IDS + HIDS 네트워크기반 IDS 와호스트기반 IDS 의장점수용 모든네트워크에설치어려움 IDS가설치된플랫폼의성능저하 국내 Siren 3.0 국외 NFR HID, Prelude, RealSecure Server Sensor, Stormwatch 26
탐지방법에의한분류 오용탐지 (misuse) 침입시그너쳐 (signature) 이용 특정침입을나타내는특징새로운침입유형탐지불가능 지속적인침입규칙업데이트필요 비정상행위탐지 (anomaly) 통계적기반등정상 (normal) 에서벗어남 (abnormal) 을탐지탐지방법에대한연구가진행중 27
대응방법에의한분류 수동적대응행동 (passive response) IDS는관리자에게는침입정보만제공실제대응행동은제공된정보를기초로관리자가수행종류 : 알림및경보등예 : E-mail, SMS 능동적대응행동 (active response) 실제대응행동을 IDS가자동적으로수행종류 : 환경변경, 침입자에대한역공격등예 : F/W 연동, 세션차단 (TCP) 28
IDS 동향 정보보호제품의변화 IDS 시장동향 IDS 세계시장점유율표준화동향 29
정보호호제품의변화 제 1 세대 : 침입방지 제 2 세대 : 프로그램 Trust Computing Base Access Control &Physical Security Multiple Levels of Security Cryptography Certificate Firewall IDS Biometric VPN PKI 제 2 세대 + : 통합시스템 Firewall + IDS + Biometric + VPN + PKI +. 제 3 세대 :? 30
IDS 시장동향 급팽창하는시장 Cisco, ISS, NAI, Axent, NetworkICE 시장예상 ( 자료 : IDC 2000) 2003년까지매년 39% 의고속성장예상 2003년 : 9억 7천 8백만달러 31
( 단위 : 백만달러 ) IDS 시장동향 ( 계속 ) 1200 1000 매출액 892 1085 800 600 400 200 0 ( 단위 : 억원 ) 1600 1400 733 601 489 388 303 2001 2002 2003 2004 2005 2006 2007 1512 매출액 1260 세계시장 1200 1050 1000 800 600 400 386 546 705 810 국내시장 200 0 2001 2002 2003 2004 2005 2006 2007 < 자료 >: ETRI 정보화기술연구소, 2002 정보보호산업실태조사한국정보보호산업협회, 2002.8 32
IDS 세계시장점유율 IDS 시장동향 ( 계속 ) 10% 4% 12% 28% Cysco Systems Internet Security Systems Axent Technologies Intrusion.com 19% 27% Network ICE Others Greg Shipley,"Watching the Watchers: Intrusion Detection ", November 13 2000 33
표준화동향 취약성목록에대한표준화 CVE(Common Vulnerabilities and Exposures) http://www.cve.mitre.org/ CERTCC(Computer Emergency Response Team Coordination Center) http://www.cert.org/ BUGTRAG(Securityfocus) http://www.securityfocus.com/ IDWG(Intrusion Detection Working Group) IETF에서 IDS 관련표준화작업 http://www.ietf.org/ 34
DVE-enabled Process Attack Vulnerability DB IDS IDS Signatures DB Vulnerability Scanner System Databases Servers Application Servers Web Servers Vulnerability Web Site Vulnerability Cross-Link Software Application Vender Software Patches& Update 35
IDS 설치시문제점 개인정보 (privacy) 침해가능성고부하 (high-volume) 네트워크문제스위치 (switch) 네트워크문제과다한대응행동설정문제암호화패킷분석문제 36
개인정보침해가능성 개인정보침해가능성 침입탐지를위해사용자활동모니터 대처방법 외부공격자 / 내부사용자에한모니터링 Web 접속, E-mail 송신 / 발송, telnet, ftp 작업등 변호사와상의 ( 미국 ) 개인정보침해가능성이있는정보보호제품 Firewall 설치와관련된법적문제 http://www.all.net/books/audit/firewall/manal/index.html 일반적인방법 사용자들에게모니터링함을사전에공지하고허락받음 IDS 기능악용금물 37
고부하네트워크에서문제 고부하네트워크환경에서의 Packet drop 현상대처방법 탐지대상네트워크분리탐지대상에따른침입분리패턴수집및침입분석방법개선 IDS 시스템성능향상 네트워크부하탐지율 (%) ~ 2 Mb/s ~ 5 Mb/s ~ 13 Mb/s ~ 25 Mb/s ~ 49 Mb/s 66 67 75 33 10 ( 자료 : 1998 년 Compaq 사의 ISS RealSecure 제품테스트결과 ) 38
스위치네트워크환경문제 스위칭네트워크 Promiscuous mode 로동작불가 대처방법 NIDS 는전체네트워크를감시못함 Span/Monitor 포트사용 Tap 장비사용 HIDS, Hybrid IDS 사용 switch??? Internet Switching Tap Dumy Hub Tapping Firewall Tap NIDS Monitored Sensor ( 자료 : http://www.sans.org/newlook/resources/idfaq/switched.htm) 39
암호화패킷분석문제 암호화패킷분석불가 VPN 설치로인한암호화된패킷 암호화통신에따른암호화된패킷 PGP, SSH 대처방법 호스트기반 IDS 이용 VPN 내부에 IDS 설치 40
과다한대응행동설정문제 대응기능 Firewall 연동, TCP 세션종료, SMS, E-mail 과다한대응행동설정의문제점 저장공간손실 E-mail 서버, 핸드폰문자수신한계 네트워크트래픽증가 E-mail 서버부하증가 가용성문제 공격자의출발지주소를위장, 정상적인사용자의접근차단 접근통제기능의경우매우위험함 Firewall 연동, TCP 세션종료 41
과다한대응행동설정문제 ( 계속 ) 대처방법 적절한대응행동설정일정기간만접근통제실시차단되어서는안되는 IP 지정 예 : 비즈니스파트너네트워크 42
IDS 관리문제 하드웨어유지관리 False positive 문제 즉각적인응답 OS 업데이트 IDS 업데이트와시그너처업데이트 중앙집중적인경고관리 시그너처생성및업데이트 즉각적인프로그램변경 / 패치 사용자관리 43
IDS 한계 완벽한솔루션이아님 제품을설치해도여전히침입발생가능성있음 조직내의근본적인문제점해결불가능 보안전략, 보안정책의부재등 다른보안메커니즘의기능을대체할수없음 Firewall, VPN, PKI, I&A, Anti-Virus 등 관리자의개입없이는효과적인운용불가 침입탐지결과대응및분석등 오판율 (False Positive) 관리자에게추가적인시간과자원소비유발 IDS 직접공격 IDS 우회공격 44
IDS 직접공격 공격방법 저장공간및메모리소진 DOS, DDOS, IP Fragmentation 동일한 IDS 를구입하여 kill 할수있는방법찾기 대처방법 저장공간관리 백업, 충분한저장공간확보 메모리관리 분산네트워크환경구성탐지센서분리 과도한트래픽제어안전한프로그램관리 45
IDS 우회공격 우회공격방법 IDS에는탐지되지않으면서실제로공격에는성공하는방법 (false negative) 공격방법 패턴변조 대부분의 NIDS들이 pattern matching 에의존 주소위장 (IP Spoofing) IP Fragmentation Slow scans 공동으로여러 IP 주소를이용해 slow scan 대처방법 패턴조합 (Reassemble) 기능 Statefull 패턴수집 주기적인 Scan 탐지 46
IDS 우회공격 ( 계속 ) 다양한우회방법존재 Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection http://www.robertgraham.com/mirror/ptacek-newsham- Evasion-98.html 50 Ways to Defeat Your Intrusion Detection System http://www.all.net/journal/netsec/9712.html 실제발생가능한다양한아이디어제시공격도구 Fragrouter, Whisker, SideStep, IDSWakup, ISIC, AMDMutate, Stick 등 47
IDS 우회공격 ( 계속 ) IDS 우회공격도구 - Fragrouter http://www.anzen.com/research/nidsbench/ 단편화 (fragmentation) 기법이용 22 가지우회방법제공 /etc/passwd 시그너처 DB Get /etc /passwd 정상 Get /etc/passwd /passwd Get /etc Fragrouter /etc/passwd 48
IDS 선택시고려사항 폭넓은고객지원이가능한가? 목적과환경에적합한가? 다양한침입탐지가가능한가? 오탐률이낮은가? 침입탐지룰의업데이트가신속한가? 환경에맞는유연한설정이가능한가? 다양한침입대응기능을제공하는가? 침입재현기능이제공되는가? 타시스템과유기적인연동이가능한가? 자기보호기능을가지고있는가? 전문가가권하는 IDS( 침입탐지시스템 ) 선택 10 게명, 전자신문 2002. 5. 28 일자 49
결론 침입탐지시스템 조직의보안확립에기여 보안을위한완벽한해결방법은아님 탐지오류최소화를위한지속적인연구필요지속적인제품관리 보안위반사건목록업데이트 지속적인관리및운용이매우중요침입발생시체계적인보안대응정책수립이요구됨충분한관리자교육 침입정보분석및대처능력배양 50
참고자료 NSA Glossary of Terms Used in Security and Intrusion Detection http://www.networkintrusion.co.uk http://www.networkcomputing.com http://www.exodus.net NIST- Special publication on IDS SANS 연구소 IDS FAQ http://www.sans.org/newlook/resources/idfaq/id_faq.htm Robert Graham Network IDS FAQ http://www.robertgraham.com/pubs/network-intrusion-detection.html SecurityFocus IDS http://www.securityfocus.com/frames/index.html?focus=ids 51
52
보안투자로인한가치산정 (R-E) + T = ALE T = 침입탐지도구가격 E = $ 도구를이용해서얻은이익 R = 침입피해복구비용 ( 매년 ) ALE = 소비예상액 (Annual Loss Expectancy) R - (ALE) = ROSI 보안투자공제에따른대가 (return) 침입으로인한피해액 매년소비예상액 CIO Magazine (February 15, 2002) HuaQiang Wei, Researcher - University of Idaho 53