도치의 어쩐지 오늘은 좋은날.

침입 탐지 시스템(IDS: Instrusion Dection System)

1. 개요

1. 침입 탐지 시스템은 다양한 보안 공격이 발생하였을 때 이를 탐지하고 관리자에게 알려 관리자가 적절한 대처를 할 수 있도록 해주는 보안 시스템을 말한다.

2. 방화벽과의 차이점을 살펴보면, 방화벽은 패킷 필터링(IP,Port 기반의 차단) 기반의 차단 장비인 반면, IDS는 전달되는 패킷의 내용을 분석하거나 시스템 로그등을 분석하여 공격여부를 판단하는 탐지 장비이다.

1. 탐지방법에 의한 분류

1. 오용 탐지 : 지식 기반 탐지, 패턴(시그니처) 기반 탐지라고 함

1. 특징

1. 특정 공격에 관한 분석결과를 바탕으로 패턴을 설정

2. 패턴(시그니처)과 비교하여 일치하는 경우 불법 침입으로 간주하는 방법

2. 장점

1. 오탐률이 낮음

2. 전문가 시스템(추론기반,지식베이스) 이용

3. 트로이 목마, 백도어 공격 탐지 가능

3. 단점

1. 미탐률이 높음(False Negative)

2. 새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요

3. 패턴에 없는 새로운 공격에 대해서는 탐지 불가능

2. 이상 탐지 : 행위기반 탐지

1. 특징

1. 정상 행위를 벗어나는 데이터를 탐지해내는 기법

2. 정량적인 분석, 통계적 분석을 사용

3. 형태 관찰, 프로파일 생성,프로파일 기반으로 이상여부를 확인(I/O 사용량, 로그인 횟수, 패킷양등)

2. 장점

1. 미탐률이 낮음

2. 인공지는 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트 불필요

3. 알려지지 않은 새로운 공격탐지 가능

3. 단점

1. 오탐률이 높음

2. 정상과 비정상 구분을 위한 임계치 설정이 어려움

3. 미탐, 오탐

1. 미탐(False Nagative)

1. 공격을 탐지하지 못하는 경우를 말한다. 시그니처 기반 탐지 시스템의 경우 등록된 시그니처 외의 공격에 대해서는 탐지를 못하는 한계가 있다.

2. 오탐(False Positive)

1. 공격이 아닌 것을 공격으로 탐지하는 경우를 말한다. 행위기반 탐지 시스템의 경우 임계치 설정이 미흡하면 오탐이 다수 발생할 수 있다.

4. 데이터 수집원에 의한 분류

1. 호스트 기반

1. 특징

1. 서버에 직접 설치됨에 따라 네트워크 환경과 무관

2. 장점

1. 기록되는 다양한 로그 자료를 통해 정확한 침입방지 가능

2. 호스트에 대한 명백한 침투에 대해 탐지 가능

3. 트로이목마, 백도어, 내부자에의한 공격탐지/차단 가능

3. 단점

1. 공격자에 의한 로그 자료의 변조 가능성 존재 및 DoS 공격으로 IDS 무력화 가능

2. 호스트 성능에 의존적이며, 리소스 사용으로 서버부하 발생

4. 대표적인 시스템

1. 트립와이어(Tripwire)

1. 무결성 점검 기능을 통하여 시스템에 설치된 백도어나 설정 파일을 변경을 탐지한다.

2. 동작 절차는 지정한 디렉터리나 파일에 대해 초기 데이터베이스를 생성한 후 주기적으로 점검을 수행하여 변경 유무를 탐지한다.

2. 네트워크 기반

1. 특징

1. 네트워크 세그먼트 당 하나의 장비만 설치하면 되므로 설치 용이

2. 장점

1. 네트워크에서 실행되어 서버의 성능 저하가 없음

2. 네트워크에서 발생하는 여러 유형의 침입을 탐지

3. 공격자의 IDS 공격에 대한 방어가 가능하며 존재 사실도 숨길 수 있음

3. 단점

1. 네트워크 패킷이 암호화되어 전송될 때 침입 탐지 불가능

2. 네트워크 트래픽이 증가할 경우 성능 문제가 발생할 수 있음

3. 오탐률이 높음(공격이 아닌것을 공격으로 탐지하는 경우)

4. 대표적인 오픈소스 네트워크 기반 침입 탐지 시스템

1. 스노트

2018년 연초를 장식한 보안이슈는 연초부터 화제의 중심에 선 인텔 CPU 취약점 결함이다. 

스펙터(Spectre)와 멜트다운(Meltdown)으로 불린 해당 취약점들은 CPU 결함을 일으켜 인텔을 궁지에 빠트렸다. 

멜트다운과 스펙터가 발생하는 이유는 하드웨어의 기본 설계 때문이다. 

CPU에는 ‘비순차적 명령어 처리’라는 기능이 있다. 

이는 CPU의 성능과 속도를 높여주는 기능으로, 입력된 순서대로 명령을 처리하는 게 아니라 가장 효율성을 높이는 순서로 명령을 처리하는 것이다.

 이 때문에 명령을 수행하는 데 있어서 시간 차가 발생한다. 

이 시간 차이를 악용하면 공격이 가능해지고 결국엔 민감한 정보가 유출되는 것이다. 

이로 인해 컴퓨터, 모바일 디바이스의 CPU 메모리에 저장되어 있는 중요 정보(식별번호, 로그인 비밀번호 등)가 해킹 위협에 노출될 수 있고, 해커의 악성코드에 중요 정보가 탈취될 수 있다는 것을 의미했다.

1. zone 파일 개념

1. ZONE 관리하는 도메인 영역

2. ZONE FILE 관리 도메인에 대한 정보를 담고 있는 파일

2. 질의 유형 외워야 되는거

1. ANY : 도메인에 대한 모든 레코드 질의 (DRDoS에 악용)

2. TXT  : SPF 발솔자 메일서버 인증 (DRDoS에 악용)

3. AXFR : 존 버전에 상관없이 무조건 존 전송 요청

1. ex)dig @192.168.100.10 dochi.com axfr

4. IXFR  : 존 버전을 비교하여 상위 버전일 경우 존 전송 요청

1. ex)dig @192.168.100.10 dochi.com ixfr=2017033101

3. dig 명령어 

1. dig @[네임서버] 도메인 [쿼리 유형] [쿼리옵션]

2. 쿼리 옵션

1. +norecurse : authoritative 네임서버에 반복적 질의를 수행하여 정상 응답 여부 점검

2. +tcp : 53/tcp 허용 여부를 점검한다.

3. +trace : 계층적 위임설정 상태 점검, 최상위 루트 도메인부터 최종 질의대상 도메인까지 계층구조에 따른 질의 수행

4. DNS Spoofing 공격

1. DNS 서버의 Cache 정보를 조작하여 희생자가 의도하지 않은 주소로 접속하게 만드는 공격

2. UDP 프로토콜의  비연결 특성 취약점을 이용한 것이다.

3. 식별하기 위해서는 Transaction ID , 출발지 목적지 주소 필요

4. 대응책

1. named 대몬을 최신버전으로 패치 한다.

2. 스니핑을 기본으로 하기 때문에 스니핑을 탐지 및 차단한다.

3. 중요한 host는 hosts 파일에 직접 등록한다.

5. DNS Cache Poisoning 공격

1. DNS 서버 자체를 공격한다.

2.  다수의 조작된 응답을 공격대상 DNS 서버로 전송

3. 대응책

1. DNS를 최신버전으로 패치

2. 사용자를 제한하여 허용하도록 설정

3. DNSSEC을 사용

6. 재귀적 질의 

1. named.conf 

1. allow-recursion {none;} ;

2. allow-recursion {192.168.110.1; 192.168.100.0/24};

3. allow-transfer {none;};

4. allow-transfer {192.168.100.2;};