좋은 시그니처 확보해야 … 자동응답 통해 기능 강화 가능
IDS는 유용한 보안 툴이 될 수 있지만 그러기 위해서는 보살핌과 양분이 필요하다. 침입탐지 기술에서 최대한의 효과를 얻으려면 어떻게 해야 할까. 스노트(Snort)와 기타 무료 엘러먼트를 이용해 시스템을 구축하는 방법을 처음부터 알아본다. Jordan Wiens·jwiens@nwc.com
2년 전 가트너는 2005년이면 못쓰는 기술이 될 것이라며 IDS(Iusion detection system)에 경종을 울린 바 있다. 하지만 누군가 IT 구매자에게 이 메모를 전해주는 것을 잊었는지, IDS는 아직도 생생하게 살아 있다.
가트너의 발표는 상당한 논쟁을 불러 일으켰다. 어떤 업체들은 IDS(그리고 이에 따라 침입방지시스템까지)를 그 바로 앞에 있는 방화벽과 마찬가지로 마법의 보안 지팡이라고 부르기도 했다. 하지만 이런 개념의 IDS는 사실상 죽었으며, 그도 그럴 만한 것이 보안 문제는 점점 더 깊고 넓어지고 있으며, 많은 방어 시스템과 정책, 방안들이 서로 얽혀 있기 때문이다. 하지만 IDS는 기업 내에서 자리를 잡고 있으며, 우리는 또한 DIY IDS에 대한 계획도 갖고 있다.
IDS는 본질적으로 이빨 빠진 경비견과 같다고 할 수 있다. 즉 이것은 우리에게 있을 수 있는 위협을 경고할 수는 있지만 혼자서 여기에 대해 어떻게 하지는 못한다. 통계 분석을 이용하든, 호스트의 파일이나 로그를 모니터링하든, 아니면 단순히 네트워크 트래픽 흐름 사이에 있는 알려진 나쁜 패턴을 찾든 IDS는 수동적인 탐지 장비다.
따라서 IDS는 그 자체으로는 경보를 울리는 용도로만 사용하기 좋다. 이것은 자신이 탐지하는 악용을 중단시키지 못하거나, 시스템 사전 악용(preexplo itation)에서의 취약성을 식별하거나, 혹은 시스템 관리자로 하여금 보안 문제를 고쳤다고 착각하게 만들어 보안 사건의 여지를 남겨둔다. 결론적으로 말하자면 IDS는 방어 시스템에서 하나의 작은 도구로 배치가 된다.
오픈소스 보안 소프트웨어
시대를 풍미하던 오픈소스 보안 소프트웨어 3인방, 엔맵(Nmap), 네서스(Nessus), 스노트(Snort)의 명성은 네서스3가 무료지만 소스를 공개하지 않는 모델로 바뀌면서 다소 줄어들긴 했다. 그러나 스노트는 여전히 오픈 소스 상용 제품으로 성공적인 행보를 보이고 있다. 체크포인트 에서 지금의 스노트를 있게 만든 소스파이어(Sour cefire)를 인수했다고 발표했음에도 불구하고 여전히 별 탈이 없어 보인다. 마찬가지로 엔맵 오픈소스의 미래도 파이어도르가 실권을 쥐고 있는 한은 안전해 보인다.
네서스는 네터블이 오픈소스 라이선스를 보유한 가치를 느끼게끔 만드는 데 필요한 만큼 폭넓은 커뮤니티 지원을 받지 못하고 있지만, 스노트는 사용자 커뮤니티들로부터 큰 인기를 얻고 있다. 이 그룹은 지식으로 무장된 문제 해결 커뮤니티(knowledgeable community)를 형성하고 있으며, 소스 코드 패치와 시그니처의 형태로 많은 자발적 참여자(contributor)들을 배출하고 있다.
이로 인해 스노트는 우리 프로젝트에서 최고의 혈통을 자랑하는 돼지가 되었다(스노트의 마스코트는 엄청나게 큰 코가 달린 돼지다). 오픈소스 라이선스는 곧 IDS에 들어가는 유일한 비용이 이것이 돌아가는 하드웨어 비용이라는 의미다. 정확한 하드웨어 사양은 네트워크와, 모니터링 수준에 따라 다양하겠지만, 최근에 보다 새롭고 빠른 모델로 대체된 데스크톱 워크스테이션이면 대부분의 로케이션에 적합할 것이다.
얼마나 많은 파워가 필요하냐는 CPU뿐만 아니라 마더보드, 네트워크 카드, 지원되는 시그니처 수, 지원되는 시그니처의 종류, 네트워크 대역폭, 트래픽 특성 등에 따라서도 좌우된다. 네트워크 인터페이스가 두 개가 있으면 유용하다. 하나는 스노트가 듣게 되는 스니핑 인터페이스가 될 것이고, 다른 하나는 스노트가 세상과 소통하게 될 관리 인터페이스로 사용될 수 있기 때문이다.
우리 셋업은 스노트닷컴에서 구할 수 있는 소스 RPMS (RedHat Package Manager Package Management System)를 이용한 페도라 코어 4를 기반으로 해 소스 RPM을 설치하고, 구축한 다음 이것을 설치했다. 이 단계의 설치 과정에서는 제공되는 개발 툴이 필요하며 부가적인 pcre-devel과 mysql-devel 패키지 설치도 잊지 말라.
스노트는 이 시점에서 최소한의 구성을 필요로 한다. 적절한 인터페이스는 /etc/sysconfig/Snort에서 설정이 되도록 하고, ‘ALERT’로 시작되는 라인을 커멘트 아웃(co mment out)하라.
인터페이스
센서가 오래된 하드웨어에서 돌아가긴 하지만 모든 사람이 리눅스의 명령어 라인 인터페이스에 친숙한 것은 아니기 때문에 우리는 우리의 관리 및 분석 플랫폼으로 사용될 윈도 기계에 액티브웍스(Activeworx)의 HSC (Honeynet Security Conssole)와 IDSPM(IDS Policy Manager)을 설치했다. 이 박스는 관리 워크스테이션으로서도 또한 이중적인 역할이 가능하다. 액티브엑스는 약간의 하드웨어 권장사양을 제시하고 있는데, 자세한 사항은 www.activeworx.org/programs/idspm/와 www. activeworx.org/programs/hsc/를 참조하기 바란다.
그런 다음 우리는 Mysql.com에서 윈도 에센셜즈(Windows Essentials)를 다운로딩해서 설치하고, Mysql 데이터베이스를 HSC와 IDSPM 온라인 매뉴얼에 나와 있는 대로 구성했다. IDSPM을 구성하는 동안은 위험한 일이 생길 수 있는 가능성이 있다. 우리는 최상의 장애관리 기술을 통해 센서에서 스노트 로그를 계속 확인함으로써 스노트가 시작됐을 때 에러가 발생하는지 여부를 지켜보고, 거기에 따라 어떤 설정이 조정이 돼야 하는지를 파악해 봤다.
이제 이 돼지가 살아나와서 약간의 재주를 부릴 시점이다. 우리는 IDS가 라이브 사건 포털로서의 역할뿐만 아니라 포렌직 툴로서의 역할도 해주기를, 그리고 자동 응답 시스템의 일부가 되기를 바라고 있다.
사건분석과 포렌직 조사
사건 분석과 포렌직 조사용으로 IDS를 사용한다는 것은 이와 유사한 애플리케이션처럼 들린다. 결국 두 가지 모두 문제를 찾기 위해 보안 데이터를 뒤지기 때문이다. 하지만 종종 중상모략되는 폴스 포지티브(false positive)를 중심으로 중요한 차이가 한 가지 있다. 전형적인 사건 분석 기술은 IDS 콘솔을 살펴 문제를 찾으며, 예를 들어 네트워크 안에서 돌아다니는 웜의 징조나 성공적인 공격을 살핀다. 분석에 있어 폴스 포지티브란 이것이 잘못된 경보였음을 가려내기 위해서만 부가 데이터를 소팅하는 작업을 더 한다는 것을 의미한다.
하지만 포렌직 조사자들의 경우 데이터의 모든 비트가 도움이 된다. 우리는 폴스 포지티브로서 IDS에 기록된 문제의 부분을 발견했다. 기록된 경보는 실제 일어났던 일이 아니었으며, 실상은 이것이 처음 트리거링됐을 때 너무 시끄럽다고(noisy) 정상적으로 탐지되어 경보 그룹에서 빠졌던 것이다. 하지만 며칠 후 다른 이유로 하나의 호스트가 보다 엄정한 조사를 위해 선발이 됐을 때 이러한 추가 데이터는 훼손 방식을 보여주기 때문에 매우 유용해진다. IDS 시그니처을 고려하고 있는지, 그리고 이런 두 가지 시각을 모두 염두에 두고 어떻게 IDS를 사용할지를 생각해 두라.
어떤 것이 새로운 것이고, 보다 면밀한 조사를 해야 할 가치가 있는지를 알아내기 위해, 분석가는 먼저 정상적인 것들을 무시해야 하는데, 이것은 보기보다 훨씬 힘든 일이다. 일부 상용 IDS제품들이 다양한 지능적 통계 분석 방안들을 포함하고 있긴 하지만, ‘어떤 게 들어 있지 않나?’를 결정하는 데는 역시 사람이 최고다.
IDS를 사용할 수 있으려면 먼저 IDS에 적절한 베이스라인이 공급되고 있는지 확인해야 했다. 이것은 시간소모적인 일이 될 수 있으며, 이러한 투자는 불행히도 IDS가 여러 환경에서 사건 분석 툴로 사용되지 못하는 이유가 되고 있기도 하다. 사실상 우리는 여기에 정확한 시간 주기(time span)를 줄 수가 없었는데, 상당량의 시간을 IDS에 투자를 해야만 타당한 베이스라인을 알아낼 수 있을 것이다.
하지만 최소한 일주일 내내 매일같이 한 두 시간은 투자를 해야 보게 될 것들에 대한 기본적인 감을 잡을 수가 있다. 완전히 편안해지려면 훨씬 더 많은 시간이 필요하겠지만 일주일을 충분히 투자한다면 자신의 환경에서 일어나는 전형적인 이벤트는 친숙해지기 시작할 것이다.
신호대소음비 향상을 돕기 위해, 쓰기 규칙에 대한 스노트의 매뉴얼을 읽고 시그니처용으로 폴스 포지티브를 종종 트리거링하는 호스트에 대한 변수값을 만들라. 그런 다음 시그니처를 다시 만들어 그 변수값 안에 있는 것들을 제외한 모든 호스트를 점검하라. 게다가 가끔씩 폴스 포지티브로 트리거링을 할 시그니처(예를 들어 웹 페이지가 서로 다른 서버들의 구성요소를 탑재했을 때 폴스 포지티브를 만들어내는 웹 서버 포트 스윕을 탐지하도록 만들어진 것)는 이벤트 스레솔드에서 보다 유용할 수가 있다. 이런 방식을 이용해 네트워크에서 종종 보게 되는 동시 접속 수를 파악할 수 있으며, 이 스레솔드를 넘는 스캔만이 경보를 트리거링할 수 있도록 스레솔드를 설정할 수 있다.
시그니처 확보
분석가는 사용자의 데이터 만큼의 능력만 발휘할 수 있기 때문에, 가장 최근의 가장 좋은 시그니처를 반드시 확보하고 있어야 한다. 다행히도 IDSPM은 멋진 bleeding Snort.org 웹 사이트로부터 직접 시그니처를 다운로드받을 수 있기 때문에, 앞서 언급한 커뮤니티에서 만든 풍부한 시그니처 라이브러리로 액세스를 할 수 있게 해준다. 정책을 편집할 때는 ‘Use Bleeding Snort Rules’를 선택해 이 규정들을 센서에 자동으로 다운로드 및 통합하라.
금방 알게 되겠지만 이 방법의 약점은 모든 시그니처가 유용하지는 않다는 것이다. 아마도 센서가 모니터링할 수 있는 트래픽의 양과, 시건 분석가가 사용할 수 있는 경보의 수 모두에서 과부하 상태에 도달할 것이다. 예를 들어 블리딩 스노트에 있는 많은 IRC(Internet Relay Chat) 관련 시그니처들은 즉시 적당해 보이겠지만 봇넷(botnet)과 트로이 목마 감염들 가운데 상당 수가 IRC를 통해 원격으로 제어가 된다.
즉각적인 위협에 대응하기 위해 자체 IDS 시그니처를 만드는 것을 고려해 보라. 새로운 바이러스가 전체 환경에 퍼지고 안티바이러스 소프트웨어가 이를 탐지하지 못하고 있을 때는, 샘플을 찾아서 이것을 virustotal.com으로 보내 분석을 의뢰하고, 안티바이러스 업체의 웹 사이트에 있는 행동패턴(behavior)을 이용해 자체 시그니처을 개발하라. 자체 시그니처를 만들 수 있게 되면 사건 분석에 대한 IDS의 유용성을 극적으로 향상시킬 수 있다.
새로운 시그니처를 만들기 위해서는 정책을 열고, 로컬 시그니처 카테고리를 오른쪽 클릭한 다음, ‘Add new signature namte to group’을 선택하고, 자신의 시그니처를 입력하라. 그리고 오른 쪽에 있는 대로 시그니처를 규정하라. 확인창을 통해 시그니처와 시그니처 카테고리 지원을 확인한다. 그 다음에는 http://somesite.com/ path/to/file/malwareupdater.exe로 브라우징해서 시그니처을 테스트해 보면 된다. 여기서는 스니퍼에 의해 트래픽이 모니터링될 것이다. 시그니처가 트리거링되지 않을 경우에는 스니터링된 트래픽을 만들어진 시그니처와 비교함으로써 무엇이 맞지 않는지를 파악할 수 있다.
효율적인 시그니처를 만드는 법을 가장 잘 배울 수 있는 방법은 기존의 시그니처를 연구하는 것이다. 우리 화면에서 보이는 예문을 이용해 예를 들어 사용자들이 스스로를 감염시키도록 하고자 URL을 메시징함으로써 확산을 시키는 새로운 인스턴트 메신저 기반의 웜에 대한 시그니처을 만들 수 있다. 스노트 시그니처 만들기에 대한 보다 상세한 정보는 온라인 스노트 매뉴얼(www.snort.org/docs/ writing _rules/)과 스노트 시그니처 메일링 리스트(http://lists.sourceforge. net/lists/listinfo/snort-sigs)를 참고하면 된다.
CSI 실리콘밸리
시스템 및 네트워크 차원의 포렌직은 언제나 흥미로운 분야였지만, 루트 키트 지원 멀웨어의 이용이 늘어나고 매일같이 엄청난 양의 내스티(nasty)들이 쏟아져 나오면서 점점 더 매혹적인 분야가 돼가고 있다. 포렌직 조사자들이 사용하는 시그니처가 언제나 가장 최신의 가장 뛰어난 시그니처인 것은 아니다. 가끔씩 이들은 가장 단순하고 가장 기본적인 것일 수 있다. 예를 들어 다음 시그니처들을 보라. 이들은 모두 긴 이벤트 목록을 조사하거나, 무엇이 악성인지를 판단할 때는 거의 소용이 없겠지만 일단 호스트가 손상된 후 더 많은 정보를 찾는 데 있어서는 매우 중요할 수 있다.
>> 모든 .exe 파일은 HTTP나 FTP를 통해 인터넷에서 다운로드된다.
>> 모든 IRC 채널이나 서버 참여.
>> 모든 넷바이오스 접속.
>> 모든 원격 데스크톱 로그인.
이들 가운데 일부는 너무 시끄러워서 자기 환경에 있는 IDS에 로그인조차 되지 않을 수도 있고, 혹은 로컬 정책과 필터링 메커니즘에 있어 상관이 없을 수도 있겠지만, 중요한 것은 이런 시그니처가 스탠드얼론 경보로서는 좋을 게 거의 없는 경우가 많다는 사실이다. 이들은 더 돋보이는 다른 시그니처와 합해지거나, 혹은 단일 호스트나 호스트 그룹이 조사되고 난 후 추가 정보를 제공할 때 진가를 발휘한다.
자동응답
초기에 IPS 기술에 쏟아졌던 비난들 가운데 자주 나온 말로 IDS가 에러가 발생할 가능성이 높다면 왜 굳이 IPS에 의존해서 인라인 실행을 하고, 같은 탐지 방안을 기반으로 트래픽을 차단하려 하는가가 있었다. 장기적으로 우리는 IPS 기능성이 네트워크 방화벽에 통합됨에 따라 순수한 의미의 IPS가 사라지고 있음을 목격하고 있다.
단기적으로 볼 때 이 기술은 발전하고 있긴 하지만 어렵다고밖에 할 수 없는 몇 가지 탐지 기술들이 있다. 많은 프로토콜이 완전히 디스어셈블링돼(disassembled) 분석돼야 하며, 각 계층에 있는 서로 다른 인코딩 행동들로 인해 프로세스가 느려진다. 이 모든 것을 다 하면서 폴스 포지티브율을 가능한 0에 가깝게 유지하면서 네트워크에 큰 대기시간을 도입시키지 않으려면 보통 일이 아니다.
시그니처들 가운데는 다른 것보다 좀더 유용한 게 있다는 사실을 다시 한번 기억하라는 충고만 해줄 수 있을 뿐이다. 정확성이 입증된 시그니처와 탐지 방안만 지원하고, 탐지 모드에서 스푸핑이나 폴스 포지티브 경향이 있는 것들은 넘어가라.
자동 응답용으로 가장 좋은 후보자들은 특수한 것들이다. 예를 들어 앞서 언급한 IRC 시그니처는 ‘join #b0tz’ 텍스트를 이용해 포트 6667의 특정 IP 어드레스로 트래픽을 트리거링할 것이다. 이런 종류의 시그니처는 너무 귀하고 특정 봇넷 IRC 채널에 합류한 봇이나 사람을 제외한 어떤 것도 트리거링하지 못하기 때문에, 자동 행동을 발동시키기에 아주 좋은 시그니처가 될 수 있다. 플로리다대학에서는 이런 특정 봇넷 시그니처를 정기적으로 이용함으로써 감염된 사용자들을 네트워크에서 자동으로 접속해제 시키고 있다.
뿐만 아니라 우리의 작은 IDS는 시그니처의 정확성을 분석할 수 있다. 많은 환경에 경계 방화벽이나 IP 기반 규제 능력이 있는 경계 라우터, 혹은 트래픽을 차단할 수 있는 다른 메커니즘들이 있다. 한 동안 IDS를 돌리고, 시그니처를 유용하고 정확하게 사용할 수 있을 만큼 친숙해졌다면, IDS와 방화벽 사이의 일종의 연결고리를 자동화하지 못할 이유도 없다. 즉 호스트를 필터링하는 방화벽에 규정을 추가하거나, 혹은 감염된 사용자들에게 경고하는 팝업 메시지를 보내는 등 다양한 행동들을 작동시키는 스크립트를 만들 수 있을 것이다.
우리는 바이러스에 감염된 사용자를 자동으로 접속해제시키기 위해 블루소켓(Bluesocket) 인증 장비와 우리 IDS를 인터페이싱하는 방법을 보여줌으로써 자동 응답의 한 가지 가능성을 설명하고자 한다. 블루소켓 WG1100 인증 게이트웨이는 액세스를 허용하기 이전에 유무선 네트워크로 사용자를 인증하는 데 사용되며, 네트워크 액세스를 금하기 위해 사용자의 인증을 해지하는 데 사용될 수도 있다.
방화벽, 802.1x 네트워크와 함께 사용되거나, 혹은 포트나 MAC 어드레스 기능을 중단시킴으로써 유사한 자동 응답 기능을 사용할 수도 있다. 게이트웨이가 다양한 기능을 제공하긴 하지만, 우리 IDS에서 가장 유용한 한 가지는 임베디드 웹 서버에서 사용 가능한 XML RPC 인터페이스로, 여기에는 다양한 명령어가 전달될 수 있다. 우리는 간단한 펄(Perl) 스크립트를 이용해서 사용자들이 특정 시그니처를 트리거링할 때 그 네트워크에 있는 사용자들의 인증을 해지했다(스크립트는 infosec.ufl.edu/ tools/bs-killer.pl.// 참조).
물론 목표를 달성할 수 있는 더 강력한 방안들이 많겠지만, 제공된 스크립트는 이 개념의 기본을 잘 보여주고 있다. 완전한 사양을 갖춘 자동응답 시스템은 여러 유형의 경보와 작동을 처리하는 데 있어서 보다 유연하고, 재부팅에도 살아 남는 등의 강점을 가질 것이다. 이런 강력한 시스템 가운데 하나로 스노트샘(SnortSam:www.snor tsam.net)을 꼽을 수 있다. 즉 센서에서 자동으로 행동을 취할 수 있는 가장 빠른 방법은 정책 관리자에서 정책을 열고, Settings 탭으로 교체하는 것이다. 그런 다음 bskill.csv라는 alert-csv 파일에 맞춤 작동을 추가하고, 우리의 웹 기반 멀웨어 서병에 대한 작동을 ‘bskill’로 바꾸면 된다. 그리고 이러한 변화를 시그니처에 적용시키고, 정책을 저장하고, 센터로 이것을 업로딩한다.
이제 우리의 자동화된 시스템인 스카이넷(SkyNet)이 살아 있는지 감시하면 된다. 그 경보 유형이 bskill로 설정된 시그니처은 어떤 것이든 bskill.csv에 엔트리를 만들 것이며, 이것은 bs-killer.pl을 각각의 IP에서 돌리는 간단한 셸 스크립트에 의해 모니터링된다.
‘IDS가 사라진다(?)’
결론적으로 말하자면 IDS가 소용이 없어질 수 있는 수많은 가능성들이 있다. 합법적인 이벤트들이 폴스 포지티브에 의해 떠내려가고, 시그니처가 회피되고, 탐지하기 힘든 많은 위협이 애플리케이션 레벨에서 발발할 수 있다. 그리고 물론 공격자가 랩톱을 들고 가장 적극적인 IDS를 바로 통과해서 지나가 직접 내부 네트워크에 연결할 수도 있다.
하지만 좋은 베이스라인을 갖추고 잘 관리되는 IDS가 있다면, 감염이나 손상, 혹은 다른 문제를 식별한 다음 사건 대응 프로세스를 발동시키는 작업 프로세스를 통해 사람이 개입하지 않고 신속한 출발이 가능해진다.
이러한 연속적 자동화는 작은 보안 사건과 큰 사건 사이의 차이를 의미할 수 있다. IDS와 함께 사용 가능한 다른 툴이나 데이터를 창의적으로 생각해 보고, 무료로 스노트를 돌릴지, 아니면 상용 제품을 구입하는 편이 더 나은 가치를 창출해낼지를 따져 보라. 마법의 지팡이는 없지만 공구함에 있는 멋진 펜치 하나처럼 IDS를 구비할 수는 있을 것이다.
IDS는 사라질 것인가
IDS는 유용한 보안 툴이 될 수 있지만 그러기 위해서는 보살핌과 양분이 필요하다. 침입탐지 기술에서 최대한의 효과를 얻을 수 있도록 우리는 스노트(Snort)와 기타 무료 엘러먼트를 이용해 시스템을 구축하는 방법을 처음부터 보여주기로 했다.
기억해야 할 핵심은 IDS는 위협을 경고하고 사건 후 포렌직 과정을 도울 수는 있지만, 자체적으로 공격을 중단시키지는 못한다는 사실이다. IDS에 베이스라인 트래픽 스트림을 공급하고, 최소한 1~2주 동안 하루 한 시간씩은 자신의 환경에서 무엇이 정상적인지에 대해 파악하는 시간이 필요할 것이다. 그런 다음에야 비로소 위험의 가능성이 있는 비정상적인 작동들을 가려낼 수 있다.
시그니처의 좋은 소스를 찾으라. 우리는 bleedingSnort.org 웹 사이트를 즐겨 이용한다. 일단 자신의 IDS에 익숙해지면 자기만의 서명을 만들어 보라. 출발을 돕기 위해 우리는 몇 가지 방향을 제시했으며, 기존의 서명을 공부할 것을 권한다.
마지막으로, 한정된 수의 자동 작동을 이행함으로써 IDS를 강화하는 것도 고려해 보라. 신중하게 선택된 자동 응답은 보안 사건의 확대를 막아줄 수 있다.
FYI1
IDS는 많은 데이터를 기록하기 때문에 이 데이터를 이용할 수 있는 새롭고 창의적인 방법을 생각해 봤다. 예를 들어 장애관리 네트워크 접속성 문제에서 IDS가 도움이 될 수도 있을 것이다. 루프트 네트워크(looped network)에서는 나중에 루프가 IDS 로그에서 분리가 가능한 방식으로 IDS 이벤트를 트리거링하는 수많은 트래픽이 생성 가능하다. 단 원래의 원인은 제거돼 식별하기가 힘들어질 것이다. 스노트를 네트워크 모니터링 툴로 사용하는 방법에 대한 정보는 스노트를 둘러싼 이야기(Nose Around With Snort), www. secureenterprisemag.com/
howtos/ showArticle.jhtml?articleID=169400384를 참고하라.
FYI2
IDS에게 바치는 가트너의 조문, ‘침입탐지시스템, 시장에서 실패하다’를 보려면 www.garner.com/ 5_about/press_releases /pr11june2003c.jsp를 찾으라.
FYI3
우리는 맞춤 스크립트와 수많은 grep과 grep -v를 이용해 명령어 라인에서 IDS 분석을 실시했다. 원한다면 당신도 시도해 보라.
트래픽 이동 방안들
IDS 센서는 여러 가지 방식으로 배치 및 운영될 수 있다. 우리 센서의 원래 의도는 서브넷용 트래픽을 모니터링하는 것이지만, 이것은 하나의 호스트만 모니터링하거나 다중 네트워크룰 모니터링할 수 있다. 네트워크 토폴로지와 사용 가능한 장비, 그리고 센서용으로 사용되는 하드웨어 구성에 따라 다음 변종들 가운데 어떤 것이든 센서가 그 탐욕스러운 후각의 범위 안에서 모니터링해야 하는 트래픽을 이동시키는 데 사용될 수가 있다.
>> 허브(Hubs): 허브는 데이터를 센서로 이동시킬 수 있는 가장 저렴하고 가장 편리하기도 한 수단이다. 물론 동시에 가장 신뢰성이 떨어지며 네트워크 성능에 부정적인 영향을 끼칠 가능성도 더 많기 때문에, 우선적으로 선택되지 못하는 환경이 많을 것이다. 로컬 네트워크에서 허브를 사용할 경우에는 포트들 가운데 하나에 IDS를 설치하기만 하면 그 네트워크 세그먼트를 모니터링할 수 있다.
게다가 허브는 세 번째 포트는 꺼진 상태로 두 개의 연결 스위치들 사이의 기존 네트워크 구성에 배치될 수 있다. 많은 ‘허브’들이 허브라는 이름을 달고 있는 스위치라는 점에 주의하라. 허브는 네트워크 성능이 좋지 못하며, 네트워크 트래픽을 자동으로 반이중으로 강요하고, 파이버나 기가비트 네트워크에서는 작동되지 않는다.
>> SPAN(Switched Port Analyzer) 포트: SPAN 포트는 다른 포트로부터 추가로 트래픽 카피를 얻기 위해 구성이 되며, 이런 작동은 가끔씩 포트 미러링(port mirroring)이라 불리기도 한다. 이러한 포트 세팅은 매니지드 스위치와 라우터를 이용해 센서의 스니핑 인터페이스로 연결될 포트에서 지원이 가능하다.
SPAN 포트는 보통 추가 허브보다 더 안전하고 믿을만 하지만, 모든 스위치가 이 기능을 지원하는 것은 아니며, 한 두 개의 SPAN 포트에 한정되는 것들도 있으니 스위치 매뉴얼을 다시 한번 확인해 보라. 또한 스위치는 포트를 드나드는 트래픽을 모두 취해서 이들을 SPAN 포트에 함께 두기 때문에, 모니터링되는 총 대역폭은 하나의 포트가 만들어낼 수 있는 것의 절반에 불과하다. 모니터링하고자 하는 트래픽이 자신이 사용하는 SPAN 포트가 감당할 수 있는 수준인지 계산해 보라.
>> 탭(Tap): FBI 이용과 마찬가지지만 대화 대신 패킷에 사용되는 네트워크 탭은 이더넷과 파이버 옵틱 모델 모두에서 이용 가능하다. 탭은 IDS나 흐름 분석기, 스니퍼 등과 같은 분석 툴로 트래픽을 복제한다는 한 가지 용도로 네트워크에 연결되는 추가 장비다. 탭은 다른 옵션들보다 비싸기도 하고, 별도의 포트에서 각의 트래픽 방향을 미러링하긴 하지만(두 개의 스니핑 인터페이스가 필요하다), 네트워크와 최고 대역폭에 가장 적은 영향을 미친다는 점에서 가장 신뢰할 수 있다.
