[CISCO Network Security] 13장 침입 탐지

안녕하세요 뿅뿅뽁입니다.

지금까지 보았던 내용들은 대부분 네트워크 서버로의 정보 흐름제어에 대한 내용입니다. 즉 방화벽에 대한 내용이고 이것은 네트워크의 1차 보호선이라 할 수 있습니다.

처음 DoD, TCP/IP 모델을 보았을 때 계층별 보안 기법을 적용하는 것이 좋은 방법이라 하였습니다. 이를 다계층 보안이라고 하는데 지금부터 할 내용은 2차 보호선의 핵심 구성 요소중 하나인 침입 탐지 시스템입니다.

1. 침입 탐지 개요

침입 탐지 시스템(IDS, intrusion detection system)은 컴퓨터에 대한 비정상적 또는 잠재적으로 부적합한 행위를 자동으로 탐지하는 소프트웨어 또는 소프트웨어/하드웨어 모음을 의미합니다. IDS는 기술적 보안 통제의 한 예인데, 기술적 보안 통제란 보안 문제를 해결하기 위해 절ㅊ 또는 관리 지침이 아닌 기술을 이용하는 것을 의미합니다

기술적 통제에는 예방과 탐지로 구분할 수 있습니다. 

예방 : 원치 않는 이벤트가 일어나는 것을 막고자 하는 것

탐지 : 원치 않는 이벤트가 일어난 후에 그 사실을 알아내는 것

IDS는 일반적으로 탐지 통제용 입니다. 그러나 침입 방지에도 쓰일 수 있습니다. 2005년에 나온 IDS는 호스트의 시스템 콜을 호출하지 못하게 하거나 네트워크 행위를 하지 못하게 하는 기능이 있었다고 합니다.

1.1 IDS의 종류

IDS는 네트워크 IDS와 호스트 IDS로 나뉩니다

네트워크 IDS : 네트워크를 지나가는 트래픽을 센서가 스니핑하여 분석하는 방식

장점 : 설치가 쉽다, 탐지 범위가 넓다

호스트 IDS : 시스템 운영 체제에서 받아들이는 트래픽을 분석

장점 : 호스트 자체에서 일어나는 일을 모두 알 수 있기 때문에 정확히 분석할 수 있다.

1.2 IDS 구조

IDS는 일반적으로 관리 스테이션과 하나 이상의 센서로 구성되어 있습니다. 센서는 일반적으로 네트워크의 핵심 위치 곳곳에 하나씩 설치되어 있습니다. 관리 스테이션은 여러 센서가 보낸 정보를 수집해 네트워크에 상태에 대한 좀 더 완전한 정보를 제공합니다.

관리자들은 대부분 센서와 관리 스테이션간의 대역폭 문제에만 관심을 갖지 보안 문제는 별로 신경을 쓰지 않습니다. 보안의 핵심 요소는 CIA라는 것을 앞에서 보셨을 겁니다. 이 요소를 센서/관리 스테이션 통신에도 적용할 수 있습니다.

기밀성 : 센서가 보내는 출력에는 비밀번호, 방문한 URL과 같은 매우 중요한 정보가 들어 있습니다.

무결성 : 해커가 센서의 출력을 조작할 수 있다면 무고한 사용자를 침입자로 오인하게 할 수 있습니다.

가용성 : 해커가 센서의 출력이 관리 스테이션으로 가는 것을 막을 수 있다면 관리자에게 들키지 않고 악성 행위를 할 수 있습니다.

1.3 IDS를 갖춰야 하는 이유

IDS가 탐지하는 보안 이벤트는 일반적으로 다음 세 종류 입니다.

첫번째. 악성 이벤트, 침입시에 나타남

두번째. 잘못된 설정 이벤트, 시스템 오작동을 가져오는 잘못된 설정

세번째. 비효율 정보 이벤트, 비효율적인 네트워크 이벤트

1.4 네트워크에 IDS를 설치해서 얻는 이점

첫번쨰. 시스템 침해의 위험 감소

두번째. 간접적 방법 (경고 생성)

세번째. 직접적 방법 (경고에 대해 완전히 자동 대응 또는 관리자에게 통보하여 대응 절차 시작)

네번째. 설정 오류 파악

다섯번째. 네트워크 트래픽 최적화

여섯번째. 현재 위협 수준을 파악하여 자원 할당에 이용

일곱번째. 사용자 행동 변화

1.5 네트워크에 IDS 설치

IDS의 설치 위치는 신중히 설치해야 합니다. 설치하는 곳에 따라 탐지 범위가 달라지기 때문입니다.

설치하는 예는 다음과 같습니다.

회사 부서의 LAN, 회사의 전략 부서 네트워크, 기술 부서의 LAN, 직원들의 전출이 잦거나 임시 네트워크가 존재하는 LAN, 서버 LAN

1.6 IDS 설치의 어려움

2005년 당시에는 아직 기술이 성숙하지 않아 IDS의 빈틈이 있었고, 사람들의 기대감이 컸을 뿐더러 배포하는데 어려움이 있었습니다.

그러나 2005년 문제이고 하니 이정도만 아시면 될 것 같습니다.

2. IDS 튜닝

IDS의 단점은 허위 경고가 많다는 것입니다. 그러나 IDS 튜닝으로 이 문제를 해결 할 수 있습니다. 쉽게 말해 최적화를 하는 것입니다.

예를 들어서 설명해보겠습니다

악성 패킷일 확률 : p

그렇다면 보안 이벤트가 발생하지 않았을 때는  경고가 생성되는 경우와 경고가 생성되지 않는 경우가 있습니다.

즉 보안 이벤트가 발생하지 않았는데 경고가 생성되는 경우는 모두 가짜 경고라는 뜻입니다. 편의상 알파라 하겠습니다

이 알파는 확률이 매우 높습니다. 탐지기가 하루에 380억개의 패킷을 모니터링 한다고 하고 100만개의 경고 이벤트 중 허가 받지 않은 서버로 약 1만개의 트래픽이 전송되었다면 가짜 경고의 비율은 0.99 정도 됩니다. 즉 100개 경고중 99개가 가짜라는 것입니다.

이것을 튜닝을 통해 확률 높은 가짜 정보들을 제거하거나 0.01의 진짜 경고들을 끄집어 내서 하는 2가지 튜닝 방법이 있습니다.

침입 탐지 시스템의 내용은 이정도 입니다. 이 장의 핵심은 센서를 어느 위치에 적절하게 설치하냐에 따라 탐지하는 범위가 달라지고 보안성을 높여 줄 수 있다는 것입니다.

이 책의 내용은 이정도 입니다. 이 글은 정확한 내용을 아는 데 부족함이 많습니다. 그러나 개요를 알기에는 충분할 것이라 생각합니다.

보안의 핵심은 CIA를 고려하면서 다계층 보안을 구축하는 것입니다. 나중에 보안 공부를 좀 더 하면서 포스팅 할 수 있다면 자세히 할 예정입니다.