침입탐지와 방어

#type/study #context/studies #theme/cs #status/completed

침입탐지와 방어

IDS, IPS, 방화벽, 허니팟 — 침입 탐지 및 방어 시스템

침입 탐지 시스템 (IDS)

침입자 분류

유형 설명
위장된 사용자 합법적 계정을 이용해 침투하는 외부자
직권 남용자 권한을 악용하는 내부 합법적 사용자
비밀 사용자 감사·접근제어를 회피하는 내·외부 소행자

IDS 구성 요소

센서 (데이터 수집)
  → 분석가 (침입 유무 판정)
    → 유저 인터페이스 (결과 표시)

탐지 방식

방식 설명
이상 탐지 (Anomaly) 정상 행동 프로파일과 비교 → 일탈 탐지
시그니처 탐지 (Signature) 알려진 공격 패턴·규칙과 매칭

이상 탐지 세부:

탐지 오류

가긍정 (False Positive) : 합법적 사용자를 침입자로 잘못 판단
가부정 (False Negative) : 침입자를 합법적 사용자로 잘못 판단

호스트 기반 IDS (HIDS)

감사 기록 (Audit Records)

유형 장점 단점
네이티브 감사 기록 추가 SW 불필요 필요 정보 부재, 복잡한 형식
탐지 특정 감사 기록 필요 정보만 수집, 이식성 추가 오버헤드

네트워크 기반 IDS (NIDS)

센서 배치 위치

위치 역할
외부 방화벽 안쪽 외부 공격 탐지, 내부 감염 서버 트래픽 감지
외부 방화벽 바깥 공격 횟수·종류 파악 (처리 부담↑)
내부 네트워크 주변부 더 많은 트래픽 감시, 내부 허용되지 않는 행동 탐지
워크스테이션 주변부 중요 자산 집중 모니터링

허니팟 (Honeypot)

의도된 유인 시스템 — 공격자를 중요 시스템에서 멀리 유인

목적:
- 중요 시스템에서 멀리 유인
- 공격자 활동 정보 수집
- 관리자가 대응할 시간 벌기

배치 위치

위치 특징
외부 방화벽 밖 내부 위험 증가, 내부 공격자 확인 불가
DMZ 외부 접근 가능 서버 보호, 방화벽 기능 일부 해제 필요
내부 네트워크 내부 공격 탐지 가능, 방화벽 실수 탐지, 위험성 증가

SNORT

SNORT 규칙 액션

액션 설명
Alert 경고 생성 후 패킷 기록
Log 패킷만 기록
Pass 패킷 무시
Drop iptables가 패킷 버리고 기록
Reject Drop + TCP reset / ICMP port unreachable 전송

방화벽 (Firewall)

내부 네트워크와 외부 인터넷 사이의 단일 초크포인트

방화벽 유형

유형 동작 계층 특징
패킷 필터링 네트워크 계층 IP/포트/프로토콜 기반, 빠르지만 단순
상태 기반 검사 트랜스포트 계층 TCP 연결 상태 추적, 동적 허용
어플리케이션 프록시 응용 계층 내용 검사 가능, 가장 안전, 오버헤드 높음
서킷 레벨 프록시 세션 계층 연결 허용만 결정, 내용 분석X, 낮은 오버헤드

패킷 필터링 규칙 기본 정책

정책 설명
기본 제거 (Default Deny) 명시적 허용된 것만 통과, 보안성 높음
기본 전달 (Default Allow) 명시적 차단된 것만 막음, 유연하지만 취약

패킷 필터링 공격

공격 방법
IP 주소 스푸핑 내부 호스트 주소로 소스 위조
Source Routing 공격 우회 경로로 방화벽 우회
Tiny Fragment 헤더 크기보다 작게 패킷 분할

방화벽 한계

IPS (침입 방지 시스템)

DMZ (비무장지대)

인터넷 ─── [외부 방화벽] ─── DMZ (웹서버, 메일서버) ─── [내부 방화벽] ─── 내부 네트워크

관련 개념