FireWall/IDS & Network Monitoring

FIREWALL/IDS & NETWORK MONITORING

---

침입차단시스템(F/W , Firewall)

---

• 방화벽(Firewall)은 외부의 악의적 공격자의 내부망 침입을 방어하기 위한 보안 장비
• 정보 보안의 가장 기본이 되는 시스템으로 접근통제(AC)를 통해 내부망에 일정 수준의 보안을 제공한다.
• 접근을 허용한 포트나 패킷에 대한 보안에 취약하다.
• 시스템 운영체제나 애플리케이션 레벨 취약점 문제에 대한 대응이 어렵다.
  • 해당 취약점을 방어하기 위한 WAF 존재.
• 방화벽은 passive 장비로써, 사용자가 rule을 작성하여 이를 기반으로 사용한다.
• 
• 방화벽은 트래픽의 헤더만 가지고 결정하기 때문에 트래픽 내용에 공격 관련 내용을 확인하지는 않는다.
  • 해당 포트가 열려있는지 안열려있는지만 필터링한다.

침입차단시스템의 운영 장점

---

• 취약한 서비스(Port num)로부터의 보호
  • Positive, White-list method로 채택되어진 프로토콜 또는 서비스만이 방화벽을 통과할 수 있도록 하여 내부의 네트워크 환경을 위험으로부터 보호한다.
• 내부 시스템 접근제어 및 정보 차단
  • 불필요한 외부 접근을 차단하여 내부 시스템에 관한 각종 정보의 유출 방지
• 네트워크 사용에 대한 통계자료 제공
  • 인터넷 내부와 외부의 모든 액세스 정보를 기록하여 통계 자로 제공
  • 의심스러운 활동에 대한 알람 기능을 가진 방화벽의 경우 침입시도에 대한 판단 근거 제공

침입차단시스템의 주요 기능

---

• 접근제어 : 외부 -> 내부, 내부 -> 외부 접근에 대한 허용/차단 결정
• 로깅과 감사추적 : 네트워크 접근 내역을 기록으로 남김
• 인증 : 접근에 대한 메시지, 사용자, 클라이언트 인증 수행
• 주소 변환 NAT(Network Address Translation)
  • 내부 네트워크 사용자가 인터넷에 연결할 경우 해당 사용자의 사설 IP주소를 공인 IP주소로 변환.
  • 보안적 측면 : 내부 네트워크 구성 은닉
  • 효율적 측면 : 다양한 서브 네트워크 구성, 네트워크 자원 효율성 증가

방화벽의 특성

---

내,외부로의 통신을 위해서는 모든것이 방화벽을 통과해야 하는데 방화벽이 망가질 경우 네트워크가 단절된다.

-> Single Point Failure , 이를 대비하여 미러링 운영.

• 방화벽 설치 및 운영 원칙
  • 모든 트래픽은 반드시 방화벽을 통과해야 한다.
  • 모든 트래픽은 보안 정책에 기반하여 허용 및 차단 되어야 한다.
  • 방화벽은 직접 공격에 대한 자체 방어 능력이 있어야 한다.

• 방화벽 운영 2원칙
  • 우선차단 정책(Default Deny) -> All deny Based
    • 허용하지 않는 것 이외에는 모두 차단하도록 한다.
  • 우선허용 정책(Default Allow) -> All allow Based
    • 차단하지 않는 것 이외에는 모두 허용하도록 한다.

방화벽이 하지 못하는 일

---

• 방화벽을 통과하지 않는 트래픽은 방어할 수 없다 -> 우회경로가 나오면 차단하지 못한다.
• 외부 공격자를 돕는 내부자 또는 악의적 내부자는 방어할 수 없다. -> Outbound취약점
• 잘못 설정된 무선 장비와 내부망에 장비와의 통신
• 노트북, 휴대용 정장장치 들이 감염된 상태에서 내부망에 연결되는 경우

위 사항들은 방화벽이 하지 못하는 일이다.

이는 애초에 방화벽이 맡은 역할이 아니며 이러한 일들은 다른 보안 장비들이 진행한다.

패킷 필터링 방화벽

---

Packet : MAC | IP | TCP | App Header | Data |

방화벽은 TCP Header까지만 확인한다. (최근 App Header도 확인하는 방화벽이 나옴.)

즉, IP의 Dest, Src & TCP의 Dest, Src만 보고 필터링을 진행한다.

ex) TCP 25번 포트가 열린경우, smtp를 통한 공격이 가능하다.

대체로 목적지 + Time Stamp 를 가지고 정책은 작성한다.

• 장점
  • 구현이 매우 간단하다.
  • 매우 빠르게 동작한다.

• 단점
  • 패킷 필터링 방화벽은 상위 계층의 데이터를 검증하지 못하기 때문에, 응용 프로그램 계층의 공격을 방어할 수 없다.
  • TCP/IP 헤더만을 활용하므로 로그 정보가 부족하다.
  • 패킷 필터링 방화벽은 대부분 사용자 인증을 지원하지 못한다.

패킷 필터링 방화벽 Rule은 패킷을 In & OutBound에 따라서 작성한다.

하나의 세션이 들어오고 나가는걸 여러반 하기 때문에 그 순간 지나가는 패킷에 대해 검사를 진행한다.

패킷 필터링 방화벽에서는 동일한 정책을 진행하려해도 들어왔다가 나가는 것 총 2개의 정책이 필요하다.

IDS (Intrusion Detection System)

---

• 침입(Intrusion)이란?
  • 자원의 CIA(기밀성, 무결성, 가용성)을 훼손하는 제반 행위

• 기본 의미
  • 탐지 대상 시스템, 네트워크를 감시하여 비인가, 비정상적인 행동을 탐지하여 구별해낸다.
  • 침입탐지 시스템은 외부 침입자가 시스템의 자원을 정당한 권한 없이 불법적으로 사용하려는 시도를 탐지하는 정보보호 장비다.
  • 외부 침입자 뿐만 아니라 내부 사용자가 자신의 권한을 넘어서는 시도도 탐지한다.
  • 방화벽이 탐지할 수 없는 악의적인 네트워크 트래픽을 탐지하기 위해 필요하다.

• 탐지 결과
  • 정탐 : 공격을 공격이라고 탐지 (True & Positive)
  • 미탐 : 공격을 공격이 아니라고 탐지(True & Negative)
  • 오탐 : 공격이 아닌데 공격이라고 탐지 (False & Positivie)

• 침입탐지 시스템의 탐지 절차
  • 네트워크 및 시스템에서 제공하는 모든 데이터를 수집
  • 수집된 방대한 데이터에서 침입여부 판단에 필요한 정보만 추출
  • 데이터를 분석하여 침입 여부를 판단
  • 침입으 판단될 경우 적절한 대응을 자동으로 하거나 관리자에게 보고

IDS는 트래픽을 기준으로 검사한다 -> 네트워크에 있는 트래픽을 검사하면 Network Based IDS

IDS 장비를 FW뒤에 위치 시키면 FW를 통해 1차 필터링 된 트래픽만 넘어오기 때문에 상대적으로 적은양의 트래픽을 검사하게 된다 -> 훨씬 탐지율이 좋음.

앞단에 위치시키게 되면 우리쪽으로 들어오는 모든 트래픽을 검사할 수 있다.

IDS 운영 및 관리

---

• IDS 설치 이후 제품의 지속적인 운용, 관리 및 유지 보수
  • IDS의 효과적 관리를 위해서는 많은 노력과 시간이 요구된다.
  • IDS 자체가 침입의 대상이 될 수 있다.
  • 조직의 호스트/네트워크 환경 변화에 따른 지속적인 유지 보수
  • 새로운 침입 유형에 대한 지속적인 업데이트
  • 침입탐지 결과 분석 및 대응

• IDS의 효과적인 관리를 위해서는 높은 수준의 기술적 역량 요구
  • IDS에 대한 전반적인 이해, 침입탐지 기능, 한계점과 대처방법 등
  • IDS 설치, 운용, 관리 능력, 다양한 침입유형에 대한 이해와 분석 능력

네트워크 모니터링

---

• Agent와 같이 별도 프로그램없이 네트워크로부터 직접 트래픽 데이터를 수집.
• ex) 라우터의 NetFlow, Tcpdump 또는 Wireshark와 같은 패킷 수집 도구

네트워크 센서의 장점

---

• 공격자 역시 네트워크 프로토콜을 통해 통신하므로 회피 불가능
• 공격자는 네트워크 센서의 존재 유무를 판단하기 어렵다
• 네트워크 자체의 현황을 명확히 보여준다
  • 인지하지 못했던 통신 주체(ex : host)를 확인할 수 있다
  • 백도가 통신하는 내용을 확인할 수 있다
  • 새로운 네트워크 경로의 발견은 이상징후로 파악할 수 있다

네트워크 센서의 단점

---

• 모든 로그 데이터를 처리해야한다.

  • 수집내역 중 실제 보안 관련 데이터는 적을 수 있다.

  • 생각보다 중복데이터가 많이 수집된다.

  • 전체 데이터를 처리하는데 시간과 자원이 소요된다.

• 공격자가 손쉽게 데이터를 무력화 시킬 수 있다.

  • 트래픽을 암호화 하는 경우
  • 핵심 정보(Src IP..etc)를 변조하는 경우
  • 위조 정보를 많이 전송하여 진짜 공격 정보를 숨길 수 있다.

패킷 모니터링의 기초

---

• 패킷 모니터링이란?
  • 네트워크에서 전송중인 패킷을 수집하여 분석하는 것.
• 패킷 모니터링을 위해서는 패킷 분석 프로그램, 네트워크 패킷 캡쳐 도구와 같은 장비가 필요하다.
• Linux 환경에서는 기본적으로 tcpdump라는 패킷 분석 프로그램을 제공한다.

• PROMISCUOUS 모드
  • 네트워크 카드의 드라이버는 다른 MAC Addr의 패킷을 수신하는 경우 Ethernet 프레임을 폐기하도록 설정
  • 따라서, 브로드캐스트 패킷을 수신하더라도 반응을 하지 않음
  • 다른 호스트의 프레임을 폐기하지 않고 상위 층이 받아들이는 모드를 promiscuous모드라고 한다.
    • MAC 주소가 어떠한 번호로 되어 있을지라도 이를 구분하지 않고 모든 패킷을 수신