69일차 - 정보시스템 진단

SNORT

/ 방화벽 잠시 끄기
# iptables -F
# service iptables save
# systemctl stop firewalld
#systemctl disable firewalld

/ 버전확인
# snort -V

/ rule 파일 만들기
# cd /etc/snort/rules
# vi local.rules
- 방향은 '->' 이것이 기본이고 '<->'양방향도 된다고 한다.
- msg : 메시지
- sid : 시스템 메시지 snort는 100000까지 쓰기때문에 1000001부터 부여한다.
- content : 컨텐츠 안에 있는 16비트(헥사코드)값을 검출해라.

alert icmp any any -> 192.168.111.101 any (msg: "ICMP TEST"; sid: 1000001;)
alert tcp any any -> 192.168.111.101 80 (msg: "HTTP TEST"; sid: 1000002;)

 

/ Rule Action

Rule Action	의미
alert	경고 발생 후 패킷 기록
log	패킷 기록
pass	패킷 무시
Activate	경고발생 후 대응하는 다른 dynamic룰을 활성화 한다. 복잡한 패킷이나 공격의 경우 좀 더 효과적인 탐지가 가능하다.
dynamic	activate룰에 의해 활성화 될 때까지 비활성화 상태이다. activate룰에 의해 활성화된다. 활성화 될 경우 log규치과 동일한 행동을 한다.
drop	패킷을 차단하고 기록한다.
reject	패킷을 차단하고 기록한다. 프로토콜이 tcp/icmp :  tcp reset을 전송한다. 프로토콜이 udp : port unreachable 메시지를 전송한다.
sdrop	패킷을 차단하지만 기록하지는 않는다.

 

 

/ 구동해보기
# snort  -i eno16777728 -c /etc/snort/etc/snort.conf -l /var/log/snort
- 마지막에 'Commencing packet processing'문구가 나와야한다.
- rule파일이나 conf파일에 문제가 있거나 하면 나오지 않는다.

 

/ 구동시킨 상황에서 로그 확인
# tail -f /var/log/snort/alert
- 호스트 pc에서 ping을 던져본다.
- 리퀘스트니까 type이 8인것을 확인할 수 있다.
- sid와 룰파일에 설정한 메시지를 확인할 수 있다.

- tcping으로 80포트를 확인해보면 이것도 올라오는것을 확인해볼 수 있다.

/ 21번 포트는 검출안됨
- snort는 지식기반이기 때문에 룰을 넣지 않으면 검출이 안된다.

/ 룰 추가
# vi /etc/snort/rules/local.rules

#-------------
# LOCAL RULES
#-------------
alert icmp any any -> 192.168.111.101 any (msg: "ICMP TEST"; sid: 1000001;)
alert tcp any any -> 192.168.111.101 80 (msg: "HTTP TEST"; sid: 1000002;)
alert tcp any any -> 192.168.111.101 21 (msg: "FTP TEST"; sid: 1000003;)

- 다시 호스트pc에서 21번으로 tcping을 보내본다.
- 바로 'tail -f /var/log/snort/alert'을 하면 확인이 안되고 snort를 중지시켰다가 재실행 해줘야 한다.
# snort  -i eno16777728 -c /etc/snort/etc/snort.conf -l /var/log/snort
- 이제 확인이 되는것을 볼 수 있다.

/ 기출문제
- IDS의 동작순서
ㄱ. 데이터 가공 및 축약
ㄴ. 데이터 수집
ㄷ. 분석 및 침입탐지 단계
ㄹ. 보고 및 대응
답 : ㄴ-ㄱ-ㄷ-ㄹ

- 다음과 같은 기능을 수행하는 보안도구는?
- 사용자 시스템 행동의 모니터링 및 분석
- 시스템 설정 및 취약점에 대한 감시기록
- 알려진 공격에 대한 행위 패턴 인식
- 비정상 행위 패턴에 대한 통계적 분석
답 : 침입탐지시스템(IDS)

- 침입탐지 시스템의 특징으로 보기 어려운것은?
1. 외부로부터 공격뿐만 아니라 내부자의 오용행위도 탐지한다.
2. 접속하는 IP주소에 상관없이 비정상적인 접근을 탐지할 수 있다.
3. 지식기반 침입탐지는 새로운 패턴을 탐지 가능한 반면 오탐률은 낮다.
4. 행위기반 침입탐지는 비정상 행위 탐지(Anomaly Detection)라고도 한다.

- 방화벽과 침입탐지시스템(IDS)의 설명으로 부적합한 것은?
1. 방화벽의 종류에는 스크리닝 라우터, 베스쳔호스트, 프락시 서버 게이트웨이, 듀얼 홈 게이트웨이 등이 있다.
2. 서킷 게이트웨이 방식 방화벽은 3계층에서 동작한다.  
3. 오용탐지 IDS는 알려진 공격에 대한 Signature의 유지를 통해서만 탐지가 가능하다. 
4. IDS에서 공격인데도 공격이라고 판단하지 않는 경우를 False Negative 라고 한다. 

- IDS와 IPS의 실행방식에 대해 설명하시오.
답 : IDS 침입탐지시스템은 패킷 수집을 위해 미러링 방식을 사용하고
IPS 침입방지시스템은 패킷이 모든 장비를 거쳐 전달되는 인라인 방식을 사용하여 직접 차단한다.

- 문제
1) 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지하는 방법이다. 오탐률이 낮지만 새로운 공격 패턴은 탐지가 어렵다.  답 : 오용탐지
2) 패턴을 미리 등록해두진 않지만 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분하는 방법이다.  답 : 이상탐지
3) 비정상적인 접근을 정상적인 접근이라고 잘못 판단하는 오류   답 : 미탐