IDS 역사와 SNORT 개요

 

작성자:미남닷컴
편집자: 엔시스(sis@sis.pe.kr)
 

팀 블로그를 시작하며..

 

안녕하세요. 미남닷컴 입니다.

닉네임이 조금 쑥쓰럽군요.

오래전 온라인게임을 하다가 우연히 만나게 된 닉네임입니다.

쉽고 기억에 잘 남아서 닉네임 도용(?) 하게 됐습니다. ^^;

 

우선 팀 블로그 시작하게 되서 정말 좋구요.

부족한 포스팅을 하게 되더라도 너그러이 봐주시고 응원해주세요.

 

이상 인사였구요. 앞으로의 주제를 말씀 드려보겠습니다.

 

일단, 저는 툴 위주로 갈 것입니다. 여러가지 해킹툴이며 방어툴, 특히 우리나라가 아닌 곳에서 개발되는 무료툴들에 대한 포스팅을 하겠습니다.

 

이것들을 네트워크 단에서 어떻게 찾아내고 방어할 것인가를 다루고 실제로 여러가지 것들을 시도해보고 공부해 나가면서 포스팅을 해볼까 합니다.

 

물론 항상 일정한 주제로는 가지 않겠습니다. 중간중간 이슈화 되는 것은 바로 포스팅 하도록 하겠습니다.

"네트워크를 위주로 한 각종 툴과 이슈들 그것에 대한 방어"

한줄로 요약하자면 이거네요.
 

그럼 이제 본론으로 들어가서 Snort부터 알아보면서 진행 해 보겠습니다.
 

 

Snort

 

 

보안 자격증을 준비 하고 계신 분들이나 보안을 공부하시는 분들, IDS, IPS, 방화벽 등 보안장비에 대해 알고 계신 분들 또한 Snort를 알고 계시리라 생각 됩니다. 물론 모를 수도 있습니다. 안다 하더라도 정의만 알고 계실지도 모릅니다. 뭐 IDS의 한종류이다. 라고 말이죠. 저도 뒤늦게 알았습니다. ^^;

 

짧게 요약해 보자면 Snort는 오픈소스로 대부분의 IDS, IPS에 적용되고 있습니다.

편리하고 간편하며 rule기반 이기 때문에 다양한 rule을 형성하여 탐지, 경고, 방어를 취할 수 있습니다.

Snort에 대하여 알아보기 이전에 IDS란 무엇이며 IDS의 역사 등을 살펴보고 Snort에 장단점등과 사용법 그리고 많은 예제를 보도록 하겠습니다.

 

 

우선 IDS 역사에 대해 살펴보겠습니다.

 

 

IDS의 초창기 컨셉은 James P. Anderson이라는 사람으로부터 시작이 되었습니다.

 

 

1984년 Fred Cohen는 모든 경우에서의 침입을 탐지하는 것은 불가능하고 침입들을 탐지하기 위해 필요로 하는 자원들은 그것의 사용과 함께 커져간다고 말했습니다.

 

 

Dorothy E. Denning, Peter Neuman 에 의해 1986년 IDS 모델이 제시 되었고 오늘날 많은 IDS 시스템의 기초를 형성하게 되었습니다.

스텐포트 연구기관(SRI) 에서는 이것을 IDES(Intrusion detection expert system)로 명명하였습니다. 이것은 Sun 워크스테이션에서 동작할 수 있고 호스트와 네트워크 레벨 데이터를 다룰 수 있게 됩니다.

 

 

IDES는 유저 프로파일을 기반으로 통계학적 비정상 탐지 컴포넌트 가지며 알려진 타입의 침입을 탐지하기 위해 룰 기반 전문가 시스템의 두 가지 접근 법을 가졌습니다.

 

 

Lunt는 인공 신경망 네트워크를 세 번째 구성요소로 추가를 제안했고. 1993년 스탠포드 연구기관(SRI) 에서는 NIDES(Next-generation Intrusion Detection Expert System)을 IDES다음으로 내놓게 됩니다.

 

 

The Multics intrusion detection and alerting system (MIDAS)은 P-BEST와 LISP를 사용하는 전문가 시스템으로 Denning 과 Neuman의 업적을 기초로 1988년에 개발되었습니다.

이 해에 Haystack 은 감사 추적을 줄이기 위해 통계학을 사용하여 개발됩니다.

 

 

1989년에는  Los Alamos National Laboratory에서 Wisdom & sense (W&S) 를 개발했습니다. W&S는 통계학적 분석을 기반으로 하는 룰을 생성합니다.

 

 

1990년 Time-based inductive machine (TIM) 는 VAX 3500 컴퓨터에서 Common LISP내의 연속적인 유저 패턴의 귀납적 학습으로 비정상을  탐지 하였습니다. Network Security Monitor (NSM)은 Sun-3/5- 워크스테이션에서 비정상 탐지를 위해 접근 매트릭의 마스킹을 수행하게 됩니다. Information Security Officer's Assistant (ISOA)는 통계, 프로파일 체커, 전문가 시스템을 포함하는 다양한 통계를 고려하는 1990년 프로토타입 입니다.   AT&T 벨 연구소의 ComputerWatch는 감사데이터 감소와 침입탐지를 위한 통계들과 룰을 사용합니다.

 

 

1991년 캘리포니아 대학의 연구자들은 Distributed intrusion detection system (DIDS)의 프로토타입을 만들었습니다. Network anomaly detection and intrusion reporter (NADIR)는 1991년 Los Alamos National Laboratory's Integrated Computing Network (ICN)에서 개발된 IDS 프로토타입으로 Lunt와 Denning의 의해 영향을 받게 됩니다.

 

Lawrence Berkeley National Laboratory 1998년 libpcap 데이터로 부터 패킷을 분석하기 위한 자신들만의 룰을 발표했습니다.

 

Network Flight Recorder는 1999년 libpcap을 이용하여 패킷 스니퍼을 개발하고 그것을 한달 뒤 snort로 명명하게 됩니다.

 

The Audit data analysis and mining (ADAM) IDS는 2001년 룰 분류를 위한 프로파일을 만들기 위해 tcpdump를 활용하게 됩니다.

 

 

이처럼 1986년 기초 모델을 시작으로 현재까지 여러가지 모델로 발전해 왔습니다.

위 내용은 wikipedia.org 영문 사이트에서 참조 하였으며 해당 홈페이지에서 링크를 통하여 더 많은 정보를 얻을 수 있습니다.

 

 

다음으로는 종류에 대해 알아 보겠습니다.

 

크게 보자면

IDS 탐지기법으로는

      -오용 기반 탐지,

      -비정상 행위 기반 탐지

 

IDS 자료기반으로는

      -호스트 기반,

      -네트워크 기반으로 분류 됩니다.

 

IDS 의 행동기반으로 탐지만 하는 IDS, 능동적으로 차단을 하는 IDS로 분류 될 수 있습니다.

각각의 설명에 대해서는 인터넷의 다양한 자료에서 확인 할 수 있습니다.

자세히 설명 하자면 지겨울 듯 하죠 ^^;

 

 

다음으로 Snort에 대해 간략하게 알아보자면 다음과 같습니다.

 

 

Snort는 오용탐지(룰) 기반으로 네트워크 단에서 모든 패킷을 sniffing하여 네트워크 트래픽을 감시하고 기록하고 경고할 수 있는 오픈소스 입니다.

 

Snort는 프로토콜 분석, 데이터의 검색하고 매칭을 시킴으로서 여러가지 공격을 탐지 해 낼 수 있으며 사용자의 rule 작성 또한 많은 옵션으로 다양하게 만들 수있습니다.

 

Snort의 개발자인 Marty Roesch에 의하면 "Snort는 실시간 트래픽 분석과 IP 네트워크 상에서 패킷 로깅이 가능한 가벼운 네트워크 침입탐지시스템" 이라고 말합니다.

 

글만 나와 지겨우니까 그림하나 넣어봅니다. ^^;

 

 

 

 

 

Snort 의 기능은 위 그림과 같습니다.

 

처음에 패킷을 얻게(sniffing) 되면 디코딩을 수행하게 됩니다. 다음으로 preprocessors 가 특정 기능들을 수행합니다. 이 preprocessor는 엔진이 활동하기 이전에 활동하여 역할을 수행합니다. 자세한 건 추후에 다루겠습니다. 이것은 사용할 수 도 있고 때에 따라 사용 안해도 무방합니다. 다음은 엔진이 탐지를 시작합니다. 탐지 후 로깅 또는 경고를 하고 다음 패킷으로 넘어가게 됩니다.

 

더더욱 자세한 설명들은 설치 후 동작을 시키면서 차근히 알아 볼까 합니다.
그럼 다음 포스팅으로 고고~ 고고~

---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴
kimms@boanin.com
---------------------------------------------------------------------------------------------------