Download
1 / 27
270 likes | 546 Views
Firewall & N-IDS. 김창현. 목차. Network 보안의 필요성 Firewall 과 N-IDS 의 이해 Firewall (IPTABLES) N-IDS (Snort). Network 보안의 필요성. 업무환경이 Internet, Intranet 으로의 이동 대부분의 업무 시스템에 연결 가능 네트워크 대역폭 증가 데이터의 이동이 저장 매체에서 네트워크로 대체 Internet 등 네트워크서비스 증가. Network 보안의 필요성. 해킹 발생건수 및 추이.
E N D
Firewall & N-IDS 김창현
목차 • Network 보안의 필요성 • Firewall 과 N-IDS의 이해 • Firewall (IPTABLES) • N-IDS (Snort)
Network 보안의 필요성 • 업무환경이 Internet, Intranet으로의 이동 • 대부분의 업무 시스템에 연결 가능 • 네트워크 대역폭 증가 • 데이터의 이동이 저장 매체에서 네트워크로 대체 • Internet등 네트워크서비스 증가
Network 보안의 필요성 • 해킹 발생건수 및 추이 해킹 피해 발생 건수(US, Cert/CC, 1988년~2005년)
Network 보안의 필요성 • 국내 피해 2003년 1월 25일 슬래머 웸에 대한 피해
Firewall 과 N-IDS의 이해 • 비 인가된 인원 차단 => Firewall
Firewall 과 N-IDS의 이해 • 내부 감시 => N-IDS
Firewall 과 N-IDS의 이해 N-IDS Firewall Internet
Firewall 과 N-IDS의 이해 • Firewall • 외부에서 내부 네트워크로 유입되는 패킷의 운명을 결정하는 보안솔류션 • 허락되어진 패킷은 내부 네트워크로 보냄 • 허락되어지지 않은 패킷은 버림
Firewall 과 N-IDS의 이해 Checking… ACCEPT!! REJECT!! • Firewall 동작 Firewall Dest Port: 80 Dest Port: 23 ACCEPT Dest Port: 80 Dest Port: 21 REJECT Dest Port: ALL
Firewall (IPTABLES) IPTABLES
Firewall (IPTABLES) • IPTABLES • 리눅스 환경의 대표적인 방화벽 설정 툴 • Kernel ver.2.2에서는 IPCHAIN이었으나ver.2.4에서 더 강력해진 IPTABLES로 대체 • Packet Filtering은 Kernel의 Netfilter기능을 이용하고 IPTABLES은 Netfilter의 정책을 세팅하는 툴 • Kernel Level의 처리로 오버헤드가 작음
Firewall (IPTABLES) • IPTABLES 구성 LINUX SYSTEM INPUT OUTPUT FORWARD
Firewall (IPTABLES) • INPUT Chain • 패킷이 시스템에 유입될 때 거치는 정책 체인 • OUTPUT Chain • 패킷이 시스템으로부터 나갈때 거치는 정책체인 • FORWARD Chain • 목적지가 현 시스템이 아닌 다른 시스템일때 거치는 정책체인
Firewall (IPTABLES) • 예제: INPUT Drop: Dest Port 80 LINUX SYSTEM INPUT OUTPUT P: 21 P: 80 FORWARD
Firewall (IPTABLES) • IPTABLES의 사용예 root@localhost# iptables -A INPUT –p TCP –d 192.168.1.3 –-dport 80 \ -j DROP -A : 체인 지정 -p : 프로토콜 지정 -s : 소스 어드레스 지정 -d : 목적 어드레스 지정 --sport : 소스 포트 지정 --dport : 목적 포트 지정 -j : 부합되는 패킷에 취할 정책 ACCEPT, DROP, REJECT
Firewall (IPTABLES) • 자세한 설명 • IPTABLES 원리 및 기본 설명 Http://www.lastking.net/2 • IPTABLES 에서 MASQ and FORWARD and MANGLE 설명 Http://www.lastking.net/3 • IPTABLES 로그 정책 설명 Http://www.lastking.net/4
Firewall (IPTABLES) • 실습1 목적지 포트 80으로 접근하는 전체 호스트에 대하여 접근 차단 • 실습2 목적지 포트 80으로 접근하는 특정호스트 IP에 대하여 접근 차단 root@localhost# iptables -A INPUT –p TCP –-dport 80 -j DROP root@localhost# iptables -A INPUT –p TCP –s 192.168.1.3 –-dport 80 \ -j DROP
N-IDS (Snort) • IDS(Intrusion Detection System) 컴퓨터자원의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템 • IDS의 종류 • H IDS : Host기반의 침입탐지 시스템 • N IDS : Network기반의 침입탐지 시스템
N-IDS (Snort) • 비정상적 탐지기법사용자의 패턴을 분석하여 비정상적 행위에 대해 탐지 • 장점: 알려지지 않은 방법의 침입탐지가능 • 단점: 정상과 비정상의 경계가 모호 • 오용탐지 기법알려진 침입탐지 기법을 기반 • 장점: 탐지율이 높음 • 단점: 알려지지 않은 기법에 대하여 탐지불능
N-IDS (Snort) • 소프트웨어 기반 N-IDS • 저비용으로 구축할 수 있음 • 감시 룰 업데이트가 용이함 • 대량의 트래픽에 대하여 많은 오버헤드가 발생 • 대표적으로 Snort가 이에 해당 • 하드웨어 기반 N-IDS • 소프트웨어 보다 비용이 많이 듬 • 대량의 트래픽에 대하여 작은 오버헤드로 처리 • 여러 벤더들이 장비와 함께 제품을 판매
N-IDS (Snort) Snort
N-IDS (Snort) • Snort • 리눅스 기반의 대표적인 네트워크 침입탐지 시스템 • 오픈소스프로젝트로 진행중이며 http://www.snort.org에서 다운가능 • Telnet, Http, FTP, SMTP, POP, NFS등 다양한 프로토콜의 감시룰 제공
N-IDS (Snort) • Snort의 구성 RULE HTTP FTP TELNET SMTP ETC… Matching Engine
N-IDS (Snort) 로그 및 통지
N-IDS (Snort) • Snort의 제공 기능 • STRING MATCHING뿐만 아니라 프로토콜 헤더의 플래그 및 옵셋 매칭기능 제공 • 최신 공격유형이 포함된 업데이트된 룰파일을 주기적으로 배포 • 포트스케닝, 취약점 스케닝등의 스케닝 감지 • 분절된 패킷의 처리 기능
