네트워크 - 보안 솔루션

IPS

DDoS 대응 장비, PPS(임계치)로 침입 탐지 및 대응(세션 차단)까지 하는 보안 솔루션, 패턴 명확, 오탐 없음

---

IDS(snort)

오용 탐지 (False Negative가 큼), 이상 탐지 (False Postive가 큼)

탐지 기법 분류

• 위치 = NIDS (네트워크 탐지), HIDS → 추가 기능이 더 많다
• 방법 = 오용 탐지 → 공격 패턴, 이상 탐지 → 정상 패턴, 오탐이 많다
• 시점 = Real time, Time interval(Batch)
• 대응 = Passive, Active

탐지 기법 = 시그니처 기반, 지식 기반, 상태전이, 페트리넷(오용 탐지), 행동 기반, 전문가 시스템, 신경망

snort = 경량화된 침입 탐지 시스템, 패킷 탐지 로그 기록, 멀티 플랫폼
threshold 옵션
-limit = count 동안에 횟수 번째 트래픽까지 탐지
-threshold = 횟수마다 계속 탐지
-both = count 동안 횟수만큼 트래픽이 탐지 될 시 한번만 탐지
-by_src = 출발지 패킷만 탐지
-by_dst = 도착지 패킷만 탐지

TCP SYN/ACK/NULL Flag 탐지
alert tcp any any → any any (msg : "   Attack"; flags : S/A/O; threshold : type both, track by_src, count 10, seconds 20; sid :    ;)

Ping of Death
alert icmp any any → any any (msg : "ping of death"; content : "|585858|"; threshold : type both, track by_src, count 10, seconds 20; sid :    ;)

특정 문자열
alert tcp any any → any 80 (msg : "Content Detection"; content : "test"; offset : 0; nocase; sid :    ;)

Telnet에 대한 탐지(로그인 실패/성공)
alert tcp any any → any 23 (msg : "Telnet connection/success"; content : "login failed/document and setting"; nocase; sid :    ;)

SSH 탐지
alert tcp any any → any 22 (msg : "SSH connection"; content : "SSH-2.0"; nocase; sid :    ;)

FTP/SSH/Telnet 무작위 공격 탐지
alert tcp any any → any 21/22/23 (msg : "Broute Forca FTP/SSH/Telnet"; threshold : type both, track by_src, count 10, seconds 20; content : "SSH-2.0/Login incorret/Login Failed"; sid :    ;)

웹서버에 접근하는 호스트 탐지
alert tcp any any → any 80 (msg : "web server"; content : "GET/admin/index.html"; nocase; sid :    ;)

---

Firewall(iptables)

• Screening Router = 패킷 필터링(IP,Port 기준) → 도구 = iptables
• Dual Home = NIC 2개, 내부망/외부망 분리, Interface가 1개일 때 VLAN을 사용해 가짜를 만듦
• Screened Host = Screening Router + Dual Home, DMZ
• Screened Subnet = Screening Router + Dual Home + Screened Host, 완충 지대
• SPI = 세션 탐지 및 추적, 송신과 수신된 패킷들을 검사
• DPI = 모든 로그 기록, 페이로드(데이터)까지 확인, 패킷의 패턴 검사, 형태・통계 분석, 빅데이터, 전 계층, 삭제 X

iptables

iptables -L = 체인확인 (①INPUT ②OUTPUT ③FORWARD), 체인별 Rule 등록

Rule 등록 
iptables -A INPUT -s 10.10.10.10 -j DROP/ACCEPT
iptables -P INPUT DROP

---

VPN

터널링을 통한 데이터 전송, open vpn, G/W = vpn서버

종류 = PPTP, L2TF, MPLS, IPSEC, SSL

기능 ①인증 = 인증서, USB ②암호화 = 대칭키, 공개키 ③터널링 = 전송모드, 터널모드 ④QOS = 트래픽 관리

MPLS VPN = VPLS(Virtual Private LAN Service), Lable 헤더(IP 헤더 X), LAN과 LAN 연결

---

Honey Pot

Zero day Attack (패치 하기전에 취약점 공격) 대응, 일종의 함정 (유인)

---

NAC

Endpoint 보안기술, 네트워크 접근통제, 무결성 확인(MAC 변조), garp
기능 = 정책, 차단

---

그 외

• DLP = 매체 제어(USB), 네트워크 유출 차단
• DRM = 저작권 유통 관리, DRM 서버 = 클리어링 하우스
• DOI = 추적 기술, prefix, suffix
• water marking -핑거프린트(Dual water marking) -스테가노 그래픽(국방, 테러)
• INDECS = 전자상거래 무결성 관리 (권리관계 정리)
• MPEG 21 = 저작권 기능 포함
• SSO = 통합 인증 보안 ①Delegation ②Propagation ③web기반 one cookie Domain SSO
• ESM = 통합 보안 관제 시스템, 에이전트, 매니저, 콘솔
• SIEM = ESM에 이벤트와 빅데이터 추가한 것

SendBox = 동적분석을 위해 외부로 받은 파일을 바로 실행하지 않고 보호된 영역에서 실행

Can Do It
brb