Intrusion Prevention System

시큐아이닷컴㈜월드베스트 팀장나원택(wtna@korea.com)

2004년 06월 23일

목 차

Internet Worm의 위협

IPS의필요성, 구조, 종류

기타 유해 트래픽 차단 기술

IPS 도입 시고려 사항

▣ 유해 트래픽의 분류

▣ Internet Worm이란?

▣ Worm의 위험성

▣ 공격자들의 Worm 선호

▣ Worm의 확산

▣ 지금까지 출현했던 주요 Worm들

Internet Worm의 위협

1. 바이러스는네트워크를스스로이용하지않으므로네트워크에

서탐지불가

1. 공격발원지나목적지의정보를쉽게알수있으나위조

혹은중간경유지이용

2. Traffic 이상등의징후가없으므로감지가어려움

1. 여러지역에분포되어있는시스템으로부터공격

2. 공격발원지를알수없으나특정서버나네트워크를대상

으로하므로목적지가고정

되어있음.

1. 공격발원지나공격목적지를구분할수없음.

2. 특정프로그램의취약점을이용하므로통신 Port가고정되어있음.

3. 하지만범용포트(Ex:80/tcp)를이용하는경우도많음

4. 소멸까지장시간소요

특징

1. 방화벽차단기능활용

2. Traffic Shaping

3. Session Shaping

1. 피해지역 : 공격목적지및경유지

2. 파괴력 : 높음

1. 여러지역에있는취약한시스템을사전

에해킹

2. 공격프로그램을 심어

놓고원격조정으로

한번에특정서비스나

네트워크를무력화

DDOS 공격

1. 감염예방

2. Patch 관리

3. 유해 Signature Filtering

1. 피해지역 : 인터넷에연결되어있는모든곳

2. 파괴력 : 매우높음

1. 다수의사용자가사용하는운영체제나네트

워크응용프로그램의

취약점을이용

2. 스스로감염및전파를수행하는공격

Worm

1. Virus Wall

2. 시스템및개인PC에 Virus 백신프로그램설치

1. 피해지역 : 감염파일을사용하는모든 PC나시스템

2. 프로그래머의악의성에따라피해범위가

가변적임

1. 자체적인전파능력이없음

2. 특정파일에기생하여이동하는악성프로

그램

바이러스

1. IDS2. 서버보안제품

1. 피해지역 : 공격을받은특정시스템

2. 파괴력 : 매우높음(막대한손해)

1. 특정사용자가운영하는시스템에악의적

인목적으로

2. 허용되지않는접속이나프로그램수행

시스템해킹

대응방안피해범위공격유형분류

유해 트래픽의 분류

Internet Worm이란?

NetworkNetwork

▣ 원격컴퓨터감염을목적으로취약점공격

▣ 감염된서버들이또다른서버를공격

▣ 네트워크를통하여자기복제

▣ 고급언어(C++, Visual Basic 등)

자기 복제형 네트워크 프로그램

▣ 새로운공격목표탐색

▣ 목표발견시공격코드전파

▣피해시스템내공격코드실행

3가지 공격 단계

▣ Autonomous Worms최초 공격 후 개입 불필요

Worm의 위험성 (1/3]

Graph from David Moore's analysis (caida.org)

▣ Code Red : 13시간만에전세계감염▣ Blaster, Welchia, Sobig Worm :

4 ~ 5시간 만에 전세계 감염

▣ Slammer(Sapphire)• 8.5초마다감염지역을 2배로확대• 3분만에전세계 IP 대역 Scan 가능• 10분만에전세계감염

▣기술발전에따라얼마든지더빠른Worm 출현

사람의 수동 대응 시간보다 빠르다

▣ Payload에 DDoS Attack, 이중공격▣ Internet Scale Espionage▣ Data Corruption▣ BIOS reflashing

Worm Payload의 위험성

Worm의 위험성 (2/3]

Sat Jan 25 14:29:00 2003 (KST)Sat Jan 25 15:00:00 2003 (KST)

Slammer Worm 피해 지역

취약점취약점 공개공개 이후이후 11일일 이내이내 Worm Worm 출현출현 가능가능

Worm의 위험성 (3/3]

▣ MS SQL Server의취약점이용▣ 취약점발견 7개월후출현한Worm

Slammer Worm (2003.01.15]

▣ MS Windows 운영체제의 RPC DCOM 취약점▣ 취약점발견 1개월후출현한Worm▣ 1주일사이 10개의변종으로발전

Blaster, Welchia, Sobig (2003.08.11 ~ 18]

▣ Linux, FreeBSD Apache 서버의취약점▣ 취약점발견 10일만에출현한Worm

Scalper, Slapper (2002]

공격자들의 Worm 선호 (1/2)

▣ 한번에모든취약한시스템들을공격할수있다.▣ 기존공격에비해추적이매우어렵다.

효과적인 공격 수단

▣ 고급언어(C++, Visual Basic)▣ 전파코드가정형화되어있으며, 재사용이가능▣ Payload 내에전파기능과무관한다른공격코드내장가능

Worm 제작이 간편

▣ 사용자가많은유명한네트워크프로그램및운영체제

▣ Slammer Worm을기준으로취약시스템이 20,000대이상이면, 전세계장악이가능

다양한 공격 대상 1

공격자들의 Worm 선호 (2/2)

The InternetThe Internet

HomeMachines

Firewall

Webservers

CorporateIntranet

CorporateIntranet

Game Servers, Halflife: 20,000Web Servers, IIS/Apache: 3,000,000P2P, KaZaA: >5,000,000File Sharing, CIFS: 50,000,000?

▣ Windows 운영체제나기본프로그램의취약점 50,000,000 대이상▣ P2P 프로그램 (eDonkey, WinMX, KaZaA, 소리바다등) 5,000,000 대이상▣ Web Server & Service Program 3,000,000 대이상▣ 기타 Game Server 및응용프로그램 20,000 대이상

다양한 공격 대상 2

Worm의 확산 [1/6]

Target SelectionNetwork Stealth

Spee

d

Scan

ning

Met

aser

ver

Top

olog

ical

▣ Scanning : Random한목표선택•가장일반적, 하지만속도가늦음

▣ Meta-Server : 외부서버로부터공격 List 수집•빠른감염•특정 Application에한하여사용•사전수집기간이필요

▣ Topological : 감염서버로부터공격목표들을수집

•빠르지만, 특정 Application에제한됨

Worm의 확산 방법

Worm의 확산 [2/6]

Scan Rate * Vuln MachinesAddress Space SizeK =

▣ 무한반복형공격

• Random Address를취함•해당서버가취약하면감염

▣ 구현이매우간단함

•대부분의코드가정형화되어있음▣ 확산속도(K)

• Rate of Scanning• Number of Vulnerable Machines• Size of Address Space

▣ 초기감염후에는기하급수적으로확산

•좀더시간이경과하면, 중복공격(이미감염된곳에공격)으로효율감소

Scanning 확산의 주요 특징

Worm의 확산 [3/6]

▣ 인근 Subnet Scanning•인근지역의취약서버를우선공격• Code Red, Nimda

▣ Address 할당이많이되어있는대역을우선공격• Scalper, Slapper등

▣ Connection By Connection 방식• TCP 접속으로, SYN Packet을임의의주소로보내고, 접속이이루어져야,감염코드전송이작동

• Code Red의경우약 ~6 Scans/second•피해지역이 2배가되는데 40분소요

▣ Full Bandwidth Scanning•감염된호스트가사용할수있는모든대역폭을사용• 100Mbps인경우 28,000 Scans/second• UDP Slammer Worm, TCP는 SYN를 Full Bandwidth가처리하고, 접속은다른 Thread가처리하도록하면가능, 아직없음

Scanning 확산의 종류

Worm의 확산 [4/6]

Metaserver

Server

Server

Server

Server

Server

Server

Server

Server

0%

20%

40%

60%

80%

100%

0 1 2 3 4 5 6

Time (Hours)

Perc

ent I

nfec

ted

No AccelerationMetaserver Acceleration

▣ 제 3의서버로부터공격목록수집• Game 서버 : 게임상대자정보수집

•검색엔진 : 웹서버들의정보수집• Windows Active Directory :

Network Neighborhood 정보수집•각각의감염시스템이정보수집에동원

•실제감염가능서버에대한정보수집

• Scan에비해훨씬빠른공격(모든서버공격시 1분소요)

•아직까지발견은되지않음

Meta Server 방식

Worm의 확산 [5/6]

▣ 새로운공격목표를감염시스템내에서찾음

•감염시스템내의하드디스크, Cache로부터 URL 정보획득•메일주소록이용• Unix라면, /etc/hosts 파일등을이용

▣ 대부분 Mail Worm에서나타남•최근의 Mail Worm들은좀더지능적인방법을동원•최초의 Morris Worm에서사용•마이둠, 러브게이트, 넷스카이등

Topological Information

Worm의 확산 [6/6]

▣ Scan 확산• TCP Scan의경우 Reject Traffic이급증•방화벽, L4/L7 스위치장비에서세션테이블이급증•라우터 Cache Table이급증•네트워크장애발생

▣ Meta Server 방식• Connection 요청이급증•특정서버로평소에사용하지않는 Query가발생•특정호스트에서 Outgoing Connection이증가

▣ Topological 방식•특정호스트에서 Outgoing Connection이증가

확산 방법에 따른 트래픽 이상 징후

지금까지 출현했던 주요 Worm들 (1/4)

10분만에전세계전파가장빠른전파속도를자랑

>75,000Scanning2003Sapphire

(Slammer)

ICMP Traffic 의폭주를초래>300,000Scanning2003Welchia

Scalper Code의변형13,000Scanning2002Slapper

Scanning

ScanningOthers

Scanning

Topological

유형

<10,000

~200,000

~300,000

6000

피해

취약점발견뒤 10일만에출현2002Scalper

Local subnet scanning. 여러가지기능을효과적으로조합

2001Nimda

최초로빠른전파속도를갖음2001Code Red

최초의지능형Worm 여러가지취약점공격이용전파

1988Morris

기타년도Worm

지금까지 출현했던 주요 Worm들 (2/4)

▣ IIS Index 서비스 DLL의 Buffer Overflow Bug를이용▣ 100개의 Thread로구성, 99개의 Thread는타웹서버감염용코드▣마지막 100번째 Thread는다음과같은작업을수행

•현재시스템이Windows NT/2000 인지를검사•만약그렇다면홈페이지를변경• Welcome to http://www.worm.com!, Hacked By Chinese!•변경된홈페이지는 10시간후자동사라짐

▣ 각각의Worm Thread는 C:\notworm파일의존재여부검사•존재시 : 휴먼•부재시 : 다른시스템을계속감염

▣각각의Worm Thread는현재시간을검사•만약현재시간이 20:00 UTC에서 23:59UTC이면, www.whitehouse.gov를감염시도(100Kbyte를 80번포트로전송)•그렇지않으면, 새로운시스템을계속감염

Code Red, 2001

지금까지 출현했던 주요 Worm들 (3/4)

▣메일을통해전파

•자신을 .EXE로 Encoding 한후, MIME은 audio/x-wave 타입으로전송•이메일을보기만하면, Explorer 버그로실행파일이자동실행

▣ IIS 웹서버전파• root.exe 파일검색•유니코드 Encoding 및이중 Encoding을이용하여취약점공격

(GET /scripts/..%5c%../winnt/system32/cmd.exe?/c+dir)•취약한 IIS 서버가찾아졌으면, tftp사용하여Worm 전송(C:드라이버공유)

▣모든 Local HTML과 ASP 파일을변경(readme.eml)•자신을 readme.eml이라는파일로복사à Download 시, 자동실행

▣ Local 디렉토리와 Network 디렉토리에 .eml과 .nws라는이름으로자신복사•미리보기등에의해Worm이실행되고, Network을통해전파됨.

▣또한 riched.dll로자신을복사•사용자가 MS Office 문서를열면, MS Office가 DLL을실행

Nimda, 2001.09

Sendto() 호출준비

Socket(AF-INET, SOCK_DGRAM, IPPROTO_UDP)

포트설정. 1434

GetTickCount() 호출 1/1000 sec

3단계통신개시

설정단계

Sendto() 호출, Payload 길이는 376 Byte

목적지 IP 생성4단계전송단계

GetProcAddress() 엔트리포인트찾기Kernel32.dll, ws2-32.dll의기본주소얻기사용할 DLL 및 Win32 API 스트링값저장2단계

함수얻기

준비단계

Stack에 Buffer Overflow 유발1단계

기능단계

지금까지 출현했던 주요 Worm들 (4/4)

Slammer (2003.01.25)

▣ 기존 보안 장비의 문제점

▣ IPS의 종류

▣ 방화벽 기반 IPS의 구조

▣ 유해 Signature 검사

▣ Protocol Anomaly 분석

▣ Traffic 통계 분석

IPS의 필요성, 종류, 주요 기술

기존 보안 장비 문제점 (1/2)

▣ False Positive•정보의정확성보장이어려움• 3개월간의총 2,100 만개의경보중, 실제공격과관련된건수는 1,422 건에불과•특정시그니쳐가기업에서사용하는특정키워드와동일한경우등이비일비재•특정 IDS 경보가오탐임을판단하기까지인력과시간이필요• IDS 경고발령에무감해져, 실제공격발생시능동적대응력이낮아짐

▣설치및구성시에의유연성이부족

•항상회선을 Mirroring 하여야함•복수회선의경우, 복수 Sensor 또는시스템이필요•복수회선에대한통합된모니터링이불가능한경우가발생

▣유해트래픽에대한능동적차단이불가능하다.•수동개입의필요성•침입에대한대응 시점이늦어짐

•고급보안기술자가필요

IDS의 문제점

기존 보안 장비 문제점 (2/2)

▣ 탐색하는정보가제한

ü대부분 IP Address 및 TCP/UDP Port 번호까지만검색ü즉, 각패킷의헤더에대해서만검사하고내용은확인하지않음ü최근이를극복하는방화벽의등장 (Deep Packet Inspection)

▣ Signature DB, 또는취약점적극대응체계의부족ü유해트래픽의속성이파악되고난후, 후속대응ü특정취약점이발표되었을때, 이를능동적으로적용하는체계부재ü대부분의방화벽업체는자체 CERT 팀을운영하고있지않음

▣ 동적차단메커니즘의부재

ü특정트래픽을차단하기위해서는, “거부정책”을명시적으로관리자가설정하여야함ü “동적거부정책”또는 Black List의운영이필요함

à 하지만하지만, , 모든모든 트래픽을트래픽을 감시하고감시하고, , 제어하는제어하는 기존기존 방화벽의방화벽의 역할은역할은 IPSIPS의의 기능과기능과 역할에역할에 부합됨부합됨

àà 방화벽의방화벽의 혁신을혁신을 통한통한 유해유해 트래픽의트래픽의 능동적능동적 차단이차단이 가능함가능함

기존 방화벽의 문제점

IPS 종류 (1/2)

▣ L7 스위치는주보안장비를보조하는네트워크장비로서보조보안장비•각서버들에트래픽을부하분산하여배분하는네트워크장비로서스위칭이주된역할• IDP, Content Filtering 등은보조역할

▣ 스위칭성능과포트집적도가뛰어나다는장점

▣ 다른보안장비에비교한약점

• L7 장비는네트워크스위치이므로, 어떠한보안성검증부분이약하고, 또보안성검증의필요가없는네트워크장비 – K4, CC 등

• 유연성부족: 다양한보안기능구현이어려움

Layer 7 Switch 기반의 IPS

▣ Network 수동검사à능동검사• IDS는트래픽을수동청취 (광탭등을이용한수동청취)하여트래픽을분석•유해트래픽차단을위해서, “In-Line”동작필요. 능동분석및능동차단

▣ Vendor별로다양한침입탐지기법, 침입탐지 DB 등기축적된기술을그대로활용•또한트래픽에대한로그, 통계, 리포팅등에있어서도축적된기술을그대로활용•자체보안기능을갖추고있어, 보안성평가가가능 (K4, CC 등)

▣ 주요단점

•제한적인 Networking•다양하고복잡한정책에근거하여트래픽을차단하고및조절하는능력이부족

IDS 기반의 IPS

IPS 종류 (2/2)

▣ 방화벽과유해트래픽의차단

• 주된기능은 "관리자의정책"에의해트래픽을통과하거나차단, 또는조절(Shaping)하는역할• 정책은트래픽의발신자, 목적지, 서비스종류, 또는트래픽의내용의조합으로구성되며,

“유해트래픽차단”은그러한정책들중의하나이며, 훨씬융통성있는정책조합이가능• 즉, 차단대상과서비스, 그리고적용이이루어지는시간등에대한 Control이가능

▣ 방화벽기반유해트래픽차단의주요특징

• 방화벽은보안장비로서스스로를보호할수있는여러가지장치들을갖추고있어, 보안성을검증할수있음

• 다양한형태의네트워크에설치 (Routing, Bridge, VLAN 환경, Active-Active HA 등)• 네트워크장애에대처하는기술을오랫동안축적해왔음• NPU, 고성능 CPU 기반장비또는 Acceleration Card의개발로다양한 Giga급의고성능

Platform 채택이가능• 보안정책및보안기능을유연하게적용. 각사이트에최적화된활용

v 네트워크및시스템에대한통합적인보안정책수립과해당정책의관철

방화벽 기반의 IPS

방화벽 기반 IPS의 구조

IPS Module

DDoS방어

Traffic Anomaly

유해Signature검사 Logging

ProtocolAnomaly

PacketPacket

Packet

실시간Monitoring중앙 관리

PacketPacket

Packet

Packet

FirewallKernel

Packet

▣ 방화벽을통해

• L4이하의보안정책관철• Invalid TCP/UDP 검출•정책기반의세밀한 Control• L4 이하의모든트래픽정보를획득

▣ IPS로서수행해야할 3 가지주요유해트래픽차단기술

•유해 Signature 검사• Protocol Anomaly 분석• Traffic Anomaly 분석

방화벽 기반 IPS

유해 Signature 검사 (1/2)

▣ 이미알려진유해트래픽들은모두 Signature를가지고있다.취약점 서비스 Signature

ftp serv-u directory traversal 21(TCP) .%20.

ftp site cpwd overflow attempt 21(TCP) SITE CPWD test

ftp exploit stat * dos attempt 21(TCP) STAT *?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

worm fizzer smtp propagation 1-Fizzer 25(TCP) AHMAZQByAHYAYwAuAGUAeABl

worm fizzer smtp propagation 2-Fizzer 25(TCP) AGwAcwBlAHIAdgBjAC4AZQB4

worm fizzer smtp propagation 3-Fizzer 25(TCP) AbABzAGUAcgB2AGMALgBlAHg

trin00 daemon to master 31335(UDP) *HELLO*

▣ 현재알려져있는 2천여가지개수의 Signature들에대해, 유입되는모든패킷들에대한검색후차단

Protocol 1__2__3__4__5__6__7__ …. …. …. …. …. …. __255

NULL … 123…

65535

검사할 것이 없음

Port 번호 List

NULL

NULL

검사할 것이 없음

검사할 것이 없음

…25………

Offset, signature 1 Offset, signature 2 Offset, signature 3

0 1 2 3 4 … 64 (or 128)

signature 4

NULL

signature 5

유해 Signature 검사 (2/2)

Contents Filtering

VulnerableWeb Server

GET /default.ida?XXXXXXXXXXXXXXX

Port 80 openedBut, blockedX

▣ 정확한검사및오탐의최소화

• 각방화벽정책으로 Signature 검사할트래픽을세밀히정의하여불필요한검사최소화

• Signature 검사시, Signature 출현단계, 위치를적시

▣ 빠른성능의 Signature Filtering이필요• 고속패턴매치 Algorithm 적용• Hardware Content Inspection Chip 활용• 꼭필요한패킷들에대해서만검사수행

▣ 최신 Signature DB Update• 주기적인 Signature DB Update (Pull)• 긴급 Signature Push

Protocol Anomaly 분석 (1/2)

▣ 각 Protocol 별트래픽에대한정상 / 비정상유무판단

ü HTTP Version 검사ü HTTP Method 정합성검사ü HTTP Agent(Browser) 검사ü 비정상 HTTP 트래픽에대한차단

▣ 각 Protocol 헛점을이용한다양한해킹에대한포괄적차단

ü 80번을이용한 Back Door 차단ü 80번을이용한트로이목마차단ü 기타비정상 HTTP 트래픽의차단으로내부웹서버에대한보안

HTTP Version ?HTTP Agent ?HTTP Method ?Etc…Infected

Host

Web Server로 가장한Remote Hacker

정상적인HTTP Session을 가장한Remote Control

X

HTTP Protocol Anomaly 분석

▣ FTP 트래픽에대한정상 / 비정상유무판단ü PORT 명령정합성검사ü FTP PASV 공격차단ü 비정상 FTP 트래픽에대한차단

▣ Mail 트래픽에대한정상/비정상유무판단ü POP3, SMTP에대하여검사ü RFC 규약에따른명령어교환여부ü SMTP 서버를이용한포괄적인해킹차단

▣ DNS 대한정상/비정상유무판단ü DNS Cache Poisoning 공격차단ü 질의와대답에대한정합성검토

FTP, Mail, DNS Anomaly 분석

(3)유명 사이트에 대한엉뚱한 답변

DNS Server

ABCDE.COM의주 서버로 가장한 해커

(1)ABCDE.COM가짜 질의

X

(2)ABCDE.COMRecursive질의

Protocol Anomaly 분석 (2/2)

▣ 각서비스별로트래픽감시

ü 각서비스별로트래픽을감시

ü 각서비스별트래픽 Baseline 자동설정ü 트래픽이 Baseline 대비폭주지속시탐지및자동방어를수행

ü WORM이유발하는트래픽폭주방어에유용

▣ Unknown Port 트래픽감시ü 서비스별트래픽을감시중, 특정 Unknown

Port ( >= 1024 )에해당하는트래픽이전체트래픽의상당부분을차지하는지여부를탐지

ü 해당트래픽폭주발생시자동방어작동

트래픽 폭주감지 차단

Infected Host

Traffic 통계 분석 (1/2)

비정상 트래픽 폭주 감지 및 차단

Traffic 통계 분석 (2/2)

▣ 각서비스별, 발신지 IP 주소별, 목적지 IP 주소별 Baseline을테이블형태로운영▣ 서비스는 65535개로 Baseline Table 관리가어느정도가능하지만, IP 주소는거의불가능ß연구대상▣ 트래픽폭주판단 : Baseline의몇배에이르는트래픽이일정시간동안지속된다.

• 문제점 : 신규서비스의오픈, 데이터의백업, 온라인 Batch Job 등에대한오판à대응책 : 이러한서비스들에대한사전등록…

▣ 관리자시행착오의자동화필요

고려 사항

▣ 성능 평가

▣ 탐지의 정확성, 오탐 여부

▣ 네트워크 설치 유연성

▣ 특징적 기능 평가

IPS 도입 시 고려 사항

성능 평가

▣ Overall Throughput• Basic Throughput (기본트래픽 Forwarding 능력)•정상트래픽을 Simulation하여, 총처리할수있는대역폭

▣ 초당처리할수있는신규세션

▣ 총처리할수있는동시세션수

▣ 초당처리할수있는패킷수및패킷당 Latency Delay

성능 평가 항목

▣ Basic Throughput 테스트(SmartBits이용)로는한계가있음▣ 정상웹트래픽을 Simulation

• Client Simulation : Spirent사WebAvalanche• Server Simulation : Spirent사WebReflector

▣ 세션수등은 SmartBits를이용하여Websuite등으로테스트▣Latency Delay 는 SmartBits로측정이가능하나,

WebAvalanche를이용하여, Background Traffic이 250Mbps, 500Mbps, 1Gbps 존재하는동안의 Latency를측정

성능 측정 방법

Network Computing사에서2003년 9월수행한테스트구성도

탐지의 정확성, 오탐 여부

▣ 탐지율 (Signature 포함및 DDoS공격)• 샘플공격에대한탐지율 = ( 탐지건수/공격건수) * 100

▣ 오탐저항율

• False Positive에대한저항능력• 오인가능한 Sample Traffic에대한구분여부• 오인저항율 = ( 1 – (오탐건수 / 샘플 Traffic 건수) ) * 100

▣ 회피공격저항성

• Sample Evasion Attack에대한탐지능력• 회피공격저항성 = (탐지건수/ 공격건수) * 100

측정 항목

▣ SANS TOP 20 취약점중심으로측정 (http://www.sans.org/top20/#threats)• 각취약점에대해관련한 Script를구하여야함

▣ 오탐저항성측정 : 다음의특징을가진 “정상”트래픽을가지고있어야함(약 10개정도)• “Suspicious” Signature Content• “Neutered” Exploits Completely Ineffective

▣ 회피공격저항성측정

• “fragroute” Tool을이용하여, Signature를가지고있는패킷을여러조각내어 전송

• “Whisker Web server vulnerability scanner” Tool을이용하여, URL 판단혼란을야기

측정 방법

네트워크 연결의 유연성

ü Routing Protocol 지원 여부

ü Routing/Bridge(Transparent) Mode 구성 지원

여부

ü VLAN 802.1q Trunk 지원 : 각 인터페이스에 대한

Sub Interface 구성 여부

ü Multiple Interface 지원으로 Mesh구조 설치 여부

ü 802.3ad Multi-Channel Gigabit Interface 지원

ü Fail Over Device 지원 여부

Internet

Bridge Mode

Routing Mode

설정변경설정변경

기존기존

인터넷

VLAN A VLAN B VLAN C

802.1Q802.3ad2Gbps Interface

802.3ad2Gbps Interface

다양한 네트워크 환경 지원

특징적 기능 평가

기능 평가를 위한 Survey

▣ 지원하는 Signature 개수및 Update 방안▣ Signature Source 는? (자체 DB, External DB, SNORT DB …)▣ 긴급 Signature 배포를위한비상대기 CERT 존재여부▣ Protocol Anomaly 지원하는 Application 들의개수는몇개이고종류는무엇인가? ▣ 각트래픽별 Signature 검색에대한세부적인 Control들이가능한가?▣ HTTP 관련유해웹사이트차단기능이있는가?▣ 복수의장비에대한통합모니터링, 로그, 통계, 리포팅시스템을제공하는가?▣ ESM 연동성은? ▣ 각침해 Event들에대한 Co-relation 표시및분석기능이있는가?▣ 의심스러운 Packet들에대한 Dump 기능이있는가?▣ 각공격에대한상세한한국어설명이갖추어져있는가?▣ 복수회선/장비설치시비대칭경로를선택하는트래픽에대한대응과탐지가가능한가?▣ 최대입력가능한방화벽정책수는?▣ 교육체계및제공할수있는기술문서(White Paper) 정도▣ Customization이가능한가?▣ 고유한특징은어떠한것들이있는가?▣ 주요구축사례?

▣ 스캔시도 탐지 및 차단 기술

▣ 세션 제한 기술

▣ Keyword Filtering 기술

▣ DDoS 방어 기술

▣ 기타 패킷 필터링

▣ Anti Virus 기술

기타 유해 트래픽 차단 기술

SCAN 시도 탐지 및 차단 기술

▣ WORM트래픽의전형적인패턴은다음과같음ü 동일한발신지 IP 주소에서초당수만개의서로다른목적지 IP 주소로, 동일한서비스번호로전송

ü 이러한패턴은전형적인 SCAN 트래픽패턴(즉, 어떤서비스를 OPEN하고있는호스트를찾는행위)

▣ 방화벽에서 "SCAN 공격자탐지및방어" 기능을활성화하면다음과같이동작

ü 단, 10개의초기발생패킷의패턴을통해감지하고, SCAN 패턴의트래픽을발생시키는발신지 IP 주소를커널상의블랙리스트에설정된차단시간과함께전달

ü 커널상의블랙리스트는패킷인입시최초로

비교되는리스트로서, 해당되는패킷은방화벽에진입하지못하고설정된차단시간동안

삭제

Pattern Analysis

Infected Host

10.1.1.1:1434

11.1.2.1:1434

1.2.3.1:14349.4.3.7:1434

세션 제한 기술

▣ WORM 피해의주된특징ü 세션폭주에따른장애

ü 동일발신지주소에서많은세션이생성

ü 세션제한기능으로효과적대처가가능

▣ 방화벽의세션제한기능

ü 정책과무관하게전체적으로각발신자주소

당정해진 Threshold 이상의신규세션은차단ü 또는, 유연성을위해각정책별총세션수를지정하여, 발신지주소와무관하게, Threshold 이상의신규세션들을차단

ü 정책별로각발신지주소별 Threshold 설정역시가능

Session Limitation

Infected Host

X X

Keyword Filtering 기술

▣ 긴급하게수동으로 Signature 탐지및차단을이용ü 특정 String을이용하여, Contents Filteringü Slammer WORM의경우:

“0x 42 B0 C9 DC 01 01 01 01“로시작ü 1.25 대란시폭주했던 DNS Inverse Query에대한선택적차단역시가능

“in-addr”문자열필터링ü Telnet, NNTP 등에서특정명령어차단가능

▣ 방화벽의정책별키워드 Filtering 기능ü 각정책별로설정가능하여, 유연한적용이가능

ü 임의의 ASCII 단어및문자열ü 임의크기의 “0x”로시작하는 HEXA 값

Keyword Filtering

VulnerableMS*SQL Server

UDP 14340x42B0C9DC01010101…

Port 1434 openedBut, blockedX

DDoS 방어 기술

▣ 패턴분석을통한각종 DDoS 방어기능ü SYN Flooding 공격탐지및차단ü Ping Flooding 공격탐지및차단ü UDP Flooding 공격탐지및차단ü DNS 질의공격탐지및차단ü 잘못된 Fragmented Packet을이용한공격차단ü Ping of Death 공격차단ü Smurf 공격차단

▣ Black-List의활용ü 모든패킷들이방화벽진입즉시블랙리스트와

비교됨

ü 블랙리스트에의한차단은방화벽에거의부하

를주지않음

ü 위 DDoS 방어기능에의해검출된패킷은 블

랙리스트에일정시간(기본값 60초)과함께등록되어, 해당패킷들은주어진시간동안 차단

Blacklist

Target

X XXXX

Kernel

Verification Classification

Dynamic Rule

Copy orRedirection

Logging

Trash

NATBlacklistlisted

Packet

기타 패킷 필터링

▣ 의심스러운모든패킷의차단

ü 내부망 IP 주소를가지고외부에서들어오는패킷들의차단

ü RFC 1918 등록된비공인 IP 주소를발신지로한패킷들의차단

ü 존재할수없는발신지 IP 주소의패킷들을 차단

255.255.255.255, 127.0.0.1 …ü LAND 공격성패킷들의차단ü Source Port와 Destination Port가같은 TCP 패킷들의차단

ü ICMP Destination Unreachable 패킷차단ü Source Route Option IP 패킷차단

Target

X XXXX

Anti Virus 기술

Virus 엔진과의 연동

▣ 어떤세션의 Payload를하나의파일로만들어서(Assemble), Virus 엔진에전송▣ Virus 엔진은검사하여결과를 Return▣ 해당파일을해당세션에전달(Dissemble)▣ SMTP,POP3, FTP, HTTP, MSN_FILE등▣ 브리지모드에서도지원이가능해야함

▣ 사용자에게 Transparent 해야함

IPS vs Anti-Virus

치료까지 가능차단 만 수행바이러스

치료 여부

8만 여종의 은페형,

압축 바이러스 포함

패턴 비교로 식별 가능한 바이러스

탐지 바이러스종류

HTTP, SMTP, POP3, FTP모든 IP 서비스대상 서비스

~100Mbps~1Gbps성능

Anti-VirusIPS구분

References

▣ http://www.snort.org/

▣ http://www.sans.org/top20/#threats

▣ http://www.nss.co.uk/ips/edition1/index.htm

▣ http://www.secui.com/index.asp

▣ http://www.nwc.com/showArticle.jhtml?articleID=15000743

▣ http://www-igm.univ-mlv.fr/~lecroq/string/node14.html

▣ http://www.zdnetindia.com/biztech/ebusiness/whitepapers/stories/79207.

html

▣ http://www.sans.org/rr/papers/30/349.pdf

Q&A

감사합니다.