침입 탐지 시스템
-----------------------------------------------------------------------------------------------------
방화벽을 성문에 비유했을 때 성문에서 철저히 감시한다고 해도 성 안에서 나쁜짓을 하는 경우도 있다. 어디나 구멍은 있기 마련이다. 특히 개구멍 ''
아무튼 이런 경우를 캐치 하기 우해 경찰과 같은 감시가자 필요하다.
이것이 바로 IDS다
이번에 다뤄볼 것은 snort로 네트워크 기반의 침입탐지 시스템이라고도 하며 NIDS라 한다.
-----------------------------------------------------------------------------------------------------
IDS의 3가지 특성
-----------------------------------------------------------------------------------------------------
1. 무결성(intergrity)
- 자원이 훼손되거나 변경되지 않음을 뜻한다. 해커에 의해서 귀중한 정보를 파괴 당하거나 정보의 내용이 변경되었다면 해커는 자원의 무결성을 해치는 침입자인것이다.
2. 가용성(availabillty)
- 권한을 가진 사용자에게는 접근이 언제나 가능함을 뜻한다. 해커에 의해서 자원의 접근을 방해 받는 다면 해커는 지금 자원의 가용성을 해치고 있는 침입자이다.
3. 기밀성(confidentiality)
- 자원으로 접근은 권한은 가진 사람만이 가능하다는 것을 뜻한다. 공개가 되면 안되는 중요한 정보가 해커에 의해서 공개가 된다면 해커는 기밀성을 해치는 침입자이다.
-----------------------------------------------------------------------------------------------------
IDS의 분류
-----------------------------------------------------------------------------------------------------
호스트 기반 IDS(Tirpwire, AIDE(파일 ,디렉토리), Portsentry(port)...)
- 바이러스 , 백도어 탐지 , 설치 및 유지 비용 저렴
네트워크 기반 IDS(snort(free), Etrust Intrustion Dection, RealSecure)
- 오탐율 높다, 트래픽이 높은 곳에서는 유용하지 않다., 네트워크 전체에 대한 트래픽 감시 및 검사 가능, 초기 설치 비용 높다.
-----------------------------------------------------------------------------------------------------
HIDS vs NIDS
-----------------------------------------------------------------------------------------------------
HIDS는 보통 O/S 의 일부로서 작동된다. 전체적인 네트워크에 대한 침입탐지는 불가능하며 스스로가 공격 대상이 될때만 침입탐지 할 수 있다.
NIDS 는 네트워크에 하나의 독립적으로 운용된다. TCPdump도 하나의 NIDS가 된다. TCPdump를 기반하는 것이
snort이다. HIDS로 할 수 없는 네트워크 전반에 대한 감시할 수 있으며 보통 스위칭 환경에 물려 있고 또한 ip를 소유 하지 않아 침입 공격에 대해 거의 완벽한? 방어를 할 수 있다.
-----------------------------------------------------------------------------------------------------
IDS 의 요소 ,기능
-----------------------------------------------------------------------------------------------------
자료의 수집(Raw Data Collection)
자료의 필터링과 축약(data Reduction and Filtering)
- 수집된 자룡를 한곳에 모아 상호 연관 분석을 통해 좀더 효과를 누릴 수 있다. 또한 보안이 강화된 시스템에 자료를 보관 함으로써 침입에 대한 자료 손실을 막을 수 있다. 또한 IDS는 자료가 매우 크기 때문에 효과적으로 필터링 하는 방법도 필요하다.
침입 탐지(Analysis and Intrusion Detection)
- 오용탐지 (Misuse Detection) : 이미 발견된 패턴에 대해서 탐지
- 이상탐지 (Anomaly Detection) : 정상 상태를 기준으로 이상에 대한?(정량적 분석, 통계적분석, ...)에 대한 인공지능으로 탐지, 역시 오탐율이 높다.
책임 추적성과 대응(Reporting and Response)
-----------------------------------------------------------------------------------------------------
IDS vs IPS
-----------------------------------------------------------------------------------------------------
IDS - detection
- 단순히 침입에 대한 메시지를 남겨 주지만.
IPS - prevention
- IPS는 detection 을 넘으 탐지 한 결과에 대해 prevention 까지 겸한다 , 좀더 능동적인~
-----------------------------------------------------------------------------------------------------
NIDS의 설치 위치
-----------------------------------------------------------------------------------------------------
1, 패킷이 라우터로 들어오기전
2. 라우터 뒤
3. 방화벽 뒤
4. 내부 네트워크
5. DMZ
-----------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------
방화벽을 성문에 비유했을 때 성문에서 철저히 감시한다고 해도 성 안에서 나쁜짓을 하는 경우도 있다. 어디나 구멍은 있기 마련이다. 특히 개구멍 ''
아무튼 이런 경우를 캐치 하기 우해 경찰과 같은 감시가자 필요하다.
이것이 바로 IDS다
이번에 다뤄볼 것은 snort로 네트워크 기반의 침입탐지 시스템이라고도 하며 NIDS라 한다.
-----------------------------------------------------------------------------------------------------
IDS의 3가지 특성
-----------------------------------------------------------------------------------------------------
1. 무결성(intergrity)
- 자원이 훼손되거나 변경되지 않음을 뜻한다. 해커에 의해서 귀중한 정보를 파괴 당하거나 정보의 내용이 변경되었다면 해커는 자원의 무결성을 해치는 침입자인것이다.
2. 가용성(availabillty)
- 권한을 가진 사용자에게는 접근이 언제나 가능함을 뜻한다. 해커에 의해서 자원의 접근을 방해 받는 다면 해커는 지금 자원의 가용성을 해치고 있는 침입자이다.
3. 기밀성(confidentiality)
- 자원으로 접근은 권한은 가진 사람만이 가능하다는 것을 뜻한다. 공개가 되면 안되는 중요한 정보가 해커에 의해서 공개가 된다면 해커는 기밀성을 해치는 침입자이다.
-----------------------------------------------------------------------------------------------------
IDS의 분류
-----------------------------------------------------------------------------------------------------
호스트 기반 IDS(Tirpwire, AIDE(파일 ,디렉토리), Portsentry(port)...)
- 바이러스 , 백도어 탐지 , 설치 및 유지 비용 저렴
네트워크 기반 IDS(snort(free), Etrust Intrustion Dection, RealSecure)
- 오탐율 높다, 트래픽이 높은 곳에서는 유용하지 않다., 네트워크 전체에 대한 트래픽 감시 및 검사 가능, 초기 설치 비용 높다.
-----------------------------------------------------------------------------------------------------
HIDS vs NIDS
-----------------------------------------------------------------------------------------------------
HIDS는 보통 O/S 의 일부로서 작동된다. 전체적인 네트워크에 대한 침입탐지는 불가능하며 스스로가 공격 대상이 될때만 침입탐지 할 수 있다.
NIDS 는 네트워크에 하나의 독립적으로 운용된다. TCPdump도 하나의 NIDS가 된다. TCPdump를 기반하는 것이
snort이다. HIDS로 할 수 없는 네트워크 전반에 대한 감시할 수 있으며 보통 스위칭 환경에 물려 있고 또한 ip를 소유 하지 않아 침입 공격에 대해 거의 완벽한? 방어를 할 수 있다.
-----------------------------------------------------------------------------------------------------
IDS 의 요소 ,기능
-----------------------------------------------------------------------------------------------------
자료의 수집(Raw Data Collection)
자료의 필터링과 축약(data Reduction and Filtering)
- 수집된 자룡를 한곳에 모아 상호 연관 분석을 통해 좀더 효과를 누릴 수 있다. 또한 보안이 강화된 시스템에 자료를 보관 함으로써 침입에 대한 자료 손실을 막을 수 있다. 또한 IDS는 자료가 매우 크기 때문에 효과적으로 필터링 하는 방법도 필요하다.
침입 탐지(Analysis and Intrusion Detection)
- 오용탐지 (Misuse Detection) : 이미 발견된 패턴에 대해서 탐지
- 이상탐지 (Anomaly Detection) : 정상 상태를 기준으로 이상에 대한?(정량적 분석, 통계적분석, ...)에 대한 인공지능으로 탐지, 역시 오탐율이 높다.
책임 추적성과 대응(Reporting and Response)
-----------------------------------------------------------------------------------------------------
IDS vs IPS
-----------------------------------------------------------------------------------------------------
IDS - detection
- 단순히 침입에 대한 메시지를 남겨 주지만.
IPS - prevention
- IPS는 detection 을 넘으 탐지 한 결과에 대해 prevention 까지 겸한다 , 좀더 능동적인~
-----------------------------------------------------------------------------------------------------
NIDS의 설치 위치
-----------------------------------------------------------------------------------------------------
1, 패킷이 라우터로 들어오기전
2. 라우터 뒤
3. 방화벽 뒤
4. 내부 네트워크
5. DMZ
-----------------------------------------------------------------------------------------------------
Rss Feed