IDS 2 (Intrusion Detection System)

IDS

침입 탐지 시스템(Intrusion Detection System, IDS)은 일반적으로 시스템에 대한 원치 않는 조작을 탐지하여 준다. IDS는 매우 많은 종류들이 존재하며, 여기서는 그들 중 일부를 설명한다. 시스템에 대한 원치 않는 조작은 악의를 가진 숙련된 해커 또는 자동화된 툴을 사용하는 스크립트 키디에 의한 공격의 형태로 행해질 수 있다.

침입 탐지 시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다. 이것은 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격(data driven attack), 그리고 권한 확대(privilege escalation) 및 침입자 로그인 / 침입자에 의한 주요 파일 접근 / 악성 소프트웨어(컴퓨터 바이러스, 트로이 목마, 웜)와 같은 호스트 기반 공격을 포함한다.

IDS는 여러 개의 구성 요소로 이루어져 있다: 센서는 보안 이벤트를 발생시키며, 콘솔은 이벤트를 모니터하고 센서를 제어하거나 경계시키며(alert), 중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성한다. IDS를 분류하는 방법은 센서의 종류와 위치 그리고 엔진이 경고를 만드는 데 사용하는 방법론 등에 따라 여러가지가 있다. 많은 간단한 IDS들은 위의 세 가지 요소들을 하나의 장치 또는 설비로 구현하고 있다.

==================================================================

IDS의 탐지가 실제로 어떻게 돌아가고 특정 패킷을 탐지하게 할수있는방법을 알아보겠다

토폴로지

※실습전 기본 통신 구성 설정 및 확인할것

==================================================================

IDS 장비 설치후

IDS의 VMnet 4 외부 통신용 , VMnet 5 패킷감시용으로 사용한다

※※스노트는 IDS의 다양한 환경을 지원하며 무료로 IDS 환경을 구축할수있다

현재 IDS는 리눅스에 스노트를 설치하여 사용하고 있다

==================================================================

==================================================================

IDS 서버로 패킷 경로 지정

ESW 1에 스위치에 관리용 스니핑을 설정하여

1/1 ~ 3 f1/15로 들어오는 패킷들을 f1/5로 보내게 되어 내부망의 모든 패킷들이

IDS 장비를 거쳐서 통신하게끔 설정하여 IDS 장비에서 패킷을 확인하게 설정해야한다

==================================================================

ESW 1 config

conf t

monitor session 1 source int f1/1 both

monitor session 1 source int f1/2 both

monitor session 1 source int f1/3 both

monitor session 1 source int f1/15 both

monitor session 1 destination int f1/5

스위치에 시작되는 관리적인 모니터링을 위해 경로를 수정하는 방법으로

int f1/1 ~ 3 , f1/15 로 들어오는 패킷들을 int f1/5의 경로로 보내는 방법이다

==================================================================

스위치에 설정 적용후 IDS를 거쳐서 통신하는지 확인을 해보면

IDS를 거쳐서 움직이는 패킷들을 확인할수있다

==================================================================

Snort를 활용해서 IDS 필터 규칙 설정

→ 규칙의 예시로는  Snort가 경고를 하는데 TCP의 출발지와 포트가 아무곳에서나

목적지의 포트가 80번으로 가는 패킷중 GET이 포함되어있으면 경고를 해주는 예시이다

이곳에 GET이 포함되어있으면 이라는것이 옵션인데

이 옵션 설정이 중요하다 옵션설정에 따라서 탐지율이 달라지기 때문이다

간단한 규칙을 만들어 보자

패킷 분석을위해 IDS 에서 Sguil을 이용하여

ID와 비밀번호를 입력하여 접속하여

Vmnet 5 = int f1/5 = eth1인 곳에 패킷을 확인한다

그런뒤 다른 PC에서 ICMP request 패킷을 보내게 되면

붉은 색으로 알람 패킷을 볼수 있게 된다

※현재 ESW 1 에서 모든 내부망의 패킷은 IDS를 거쳐 가게 설정이 되어있다

==================================================================

좀더 복잡한 설정

ICMP Echo Request

ICMP Redirect

WEB 서버 대상으로 하는 FIN Scan

WEB 서버 대상으로 하는 스크립트 작성구문들을

IDS가 발견시 보고하게 하는 자체 규칙 설정이다

스크립트 문을 작성해서 IDS에 탐지된 모습이다

IDS 결론

IDS는 탐지장비 탐지 장비의 탐지율을 높혀주기위해 Snort등을 이용하는데

스노트는 규칙을 만들어서 탐지를 하게된다 규칙을 생성하는것이 중요하다 그런 규칙은 실제로 패킷을 많이 분석하여 경험에 의해서 발전하고 적용하는것이 좋다