방화벽의 네트워크 보안은 3,4 계층에서만 방어가 가능했기 때문에 애플리케이션 계층에서 이뤄지는 공격을 방어할 수 없음.
애플리케이션 공격은 서비스를 제공하는 시스템 자체의 취약점을 이용하는 경우가 많기 때문에 애플리케이션 계층에서 이뤄지는 다양한 공격을 탐지 방어하기 위해 IDS, IPS 를 개발
IDS, IPS 란?
Intrusion Detection System 침입 탐지 시스템. 공격자가 시스템을 해킹할 때 탐지를 목적으로 개발된 시스템
공격에 직접 개입하거나 방어하는 것이 아닌 트래픽을 복재해 검토하고 침입 여부를 판별
1.데이터 수집 -> 2. 데이터 가공 및 축약 -> 3. 침입분석 및 탐지 단계 -> 4. 보고 및 대응
탐지 방법에 대한 분류
네트워크 기반 IDS(Network-Based IDS)
NIDS는 감지기를 이용하며 이것은 소프웨어가 설치된 컴퓨터나 혹은 전용 어플라이언스 장비
무차별 모드에서 동작하는 네트워크 인터페이스(NIC)에 설치
NIDS는 네트워크 트래픽을 분석하고 모니터링 하는데 반하여 HIDS의 목적은 컴퓨터 자체를 제한하는데 차이
Intrusion Prevention System 침입 방지 시스템. 탐지에 초점을 맞춘 IDS 와 다른 공격이 발견되면 직접 차단하는 능력을 갖춘 장비. 트래픽이 지나는 인라인 상에 장비를 배치해서 적극적으로 통신에 개입, 유해 트레픽 차단, 방어하는 것 외에도 회피 공격을 차단하기 위한 세션 이해 가능 여부, 능동적 방어를 위한 어노말리 등 다양한 기능으로 구분
IPS 의 경우 IDS + 방화벽의 형태를 지닌다고 할 수 있음
기존 공격이나 취약점을 통해 공격 방식에 대한 데이터 베이스를 습득, 최신 내용을 유지하다가 공격을 파악하는 기술을 패턴 방식, 시그니처 방식, 데이터베이스 방식 방어라고 함. IPS기능의 상당부분을 차지함
분명한 공격으로 파악되지 않더라도 특정 기준 이상의 행위를 이상하다고 판단하고 방어하게됨.
프로파일 어노말리와 프로토콜 어노말리 두가지로 나뉨
프로파일 어노말리
관리자가 정해놓은 기준이나 IPS 장비가 모니터링해서 정해진 기준과 다른 행위가 일어나면 공격으로 판단
-> 이 기능은 추후 DDoS 방어 장비로 진화
프로토콜 어노말리
SPI 방화벽과 NAT 기능이 대중화 되고 해커가 일반 사용자의 PC를 쉽게 공격할 수 없게 됨. 내부에서 내보내는 통신은 허용하고 외부에서 들어오는 통신을 거부하게 되면 외부에서 내부로 공격이 불가능해짐.
내부 사용자가 악성코드를 직접 내려받아 실행하도록 유도
이렇게 악성코드를 직접 내려받은 경우 내부 사용자의 PC를 좀비 PC라고 하며 좀비 PC가 정상적으로 서비스를 요청하는 것처럼 동작. 일반 방화벽은 이러한 공격에 대한 탐지와 방어가 불가능함.
이러한 공격을 방어하기 위한 IPS가 필요하고 IPS 기능 중 프로토콜 어노말리 기법이 사용됨.
감염된 내부 PC가 외부와 공격을 위한 통신을 할 때 잘 알려진 서비스 포트를 사용하지만 실제 해당 서비스 포트에서 동작하는 프로토콜이 아닌 다른 프로토콜을 사용하는 경우가 흔하고 이럴 경우 공격을 의심해볼 수 있음.
잘 알려진 포트와 실제로 통신하는 프로토콜이 다를 때, 이것을 적절히 파악해 적절히 제어하는 기법을 프로토콜 어노말리라고함.
IPS 의 근본적인 문제 - IPS 는 플로 엔진을 사용 플로엔진은 패킷이 흘러가는 상황을 모니터링 해 공격을 탐지, IPS 장비를 쉽게 우회할 수 있음
IPS는 오탐이 많이 발생하므로 초기에 설치된 환경에 맞는 튜닝작업을 오래 해줘야하고 별도의 관제 인력이 장비를 모니터링하고 환경에 맞는 최적화 작업을 지속적으로 수행해주어야함.
최근에는 IPS 기능을 향상시킨 문제점을 해결한 NGIPS 개념의 장비가 출시
애플리케이션을 인지하거나 다양한 시스템과 연동할 수 있고 APT공격을 방어하기 위한 일부 기능이 탑재, 다양한 외부시스템과 연동할 수 있는 장비들이 소개되고 있음
참고
- IPS가 공격 데이터베이스를 얻는 방법
공격 데이터베이스는 실제로 해킹에 사용된 흔적을 이용해 작성하는 경우가 많음.
새로운 공격을 탐지하기 위해 인터넷에 허니팟 시스템을 구축
공격에 대한 방어가 없고 취약점이 많은 허니팟을 해커는 공격 대상으로 생각하고 공격
허니팟 시스템은 이런 공격을 모두 로깅하고 해킹 이후 이 공격 기법을 분석해 공격 데이터베이스로 바꾸는 작업 진행
참고 사이트
https://webstone.tistory.com/92
https://security-nanglam.tistory.com/260
https://brunch.co.kr/@ka3211/23