)
ⅳ. 주요 서비스 등록을 통한 간편한 보안 규칙 설정, 주요 보안 규칙에 대한 자동 설정
ⅴ. 고급 규칙 설정을 통한 강력한 접근통제
8) Packet Inspection(침입 탐지기능)
ⅰ. Stateful packet inspention
ⅱ. Protocol별 설정 : telnet/rlogin, ftp, tftp, smtp(감시 네트워크 설정, 감시 사용자 설정, 감시 키워드설정)
2. 현재 네트워크 보안 현황
- 하나의 네트워크를 보안하기 위해 침입 탐지 시스템(NIDS)와 침입 차단 시스템 (Firewall) 등 여러 가지의 보안 프로그램을 설치해야만 한다.
- NIDS를 Firewall 앞에 설치할까? 뒤에 다가 설치할까?
그리고 또 백본(backbone)에다가 설치할까? 서브넷(subnet)에 설치할까?
답은 모두다 가능하다 이다. 왜냐하면 각자 장점이 있기 때문이다.
① Firewall 앞에 설치할 경우
장점 : 모든 공격을 탐지할 수 있다.
② Firewall 뒤에 설치할 경우
장점 : 들어온 공격이 걸리지 않았더라도 가끔씩 IDS는 나가는 공격을 탐지 할 수 있다.
③ 백본(backbone)에 설치할 경우
장점 : 많은 양의 networks traffic을 모니터할 수 있기 때문에 공격을 탐지할 확률이 높아진다.
④ 서브넷(sub net)에 설치할 경우
장점 : 치명적인 공격을 탐지할 수 있다.
3. 새로운 기술 개념 도입: DPF (Router-base Distributed Packet Filtering)
1) Introduction
- 안철수 연구소 이희조 박사가 발표한 논문으로써 라우팅 경로 기반으로 패킷 필터링 방식의 DDOS 차단 방식이다.
- 그동안 각각의 네트워크 서버에서 이루어지던 Packet Filtering 과 IP Traceback등 의 네트워크간 보안을 라우터에서 가능하게 한 이론.
- 이 논문은 최근 `코드레드\' 사건 등을 통해 국제적인 문제로 대두되고 있는 분산 서비스 거부공격(DDoS)의 방어방법에 대한 연구논문으로 DDoS 관련 연구결과로는 세계에서 처음이다.
2) DPF를 통해 이루어질수 있는 영향
① spoofed IP packet 의 침입을 사전에 차단.
② 공격자의 spoofed IP packet의 원주소를 식별. (IP Traceback)
③ DPF는 AS(Autonomous System) 보다 20% 정도 효과적인 역할을 한다.
④ 즉 저 비용으로 AS topology 인터넷 구조를 설치 가능
3) Route-based packet filtering
① 하나의 AS(Autonomous System)는 IP packet 흐름을 검사하고 버리는 효과가 한정되게 발휘된다.
② 이것은 어떠한 Filtering Rules을 통하여 network system 의 보안을 맡고 있는 Firewall과 같은 역할을 한다.
③ Route-based packet filtering 은 table look-up을 통하여 packet의 보안이 이루어진다. 그리고 table은 항상 update 되어진다.
④ 이것은 Router에 어느정도의 Overhead를 추가시킨다.
4) New Contribution
① 전체 인터넷 상의 AS topologies 중에 약 18% 만 Route-based DPF를 설치할 경우 Packet Filtering 이 거의 완벽하게 된다.
② 이러한 설치를 통해 Packet Filtering 뿐만 아니라 AS traceback 또한 일어난다. (IP traceback과 같은 작용으로 어떠한 특정한 행동을 취하지 않고도 공격자로부터 가장 가까운 라우터까지의 선로를 추적가능)
③ DPF는 현재까지의 보안툴과는 달리 공격자가 목표지점으로 가는 것을 사전적으로 탐지 필터링을 한다.
④ DPF의 가장 중요한 측면은 distributed DOS attack의 가장 완벽한 방어법으로 나타나 지고 있다.
5) ROUTE-BASED DISTRIBUTED PACKET FILTERING
① 7번 라우터: 실제 공격자 시스템
② 2번 라우터: 공격자가 위장한 라우터 주소
③ 4번 라우터: 공격자가 공격하고자 하는 시스템
④ 6번 라우터: DPF를 설치한 라우터
- 위의 6번 라우터는 2번에서 보내오는 Packet이 6번과 7번의 통로를 지나칠수 없다는 것을 인지 후 그 통로를 지나오는 Packet을 전부 차단시킴으로써 Packet Filtering 작용을 일으킨다. ( Packet Filtering )
- 그런 뒤 2번 주소를 가지고 6번과 7번의 통로를 통과하는 패킷을 인지 그 패킷을 보내는 라우터가 7번, 8번, 9번 중 하나인 것을 인지한다.
(Autonomous System Traceback)
DPF의 목표의 요점은 다음과 같다.
① spoofed된 IP 패킷의 필터링을 극대화 한다.
② 통과해서온 가짜 패킷에 대해서는 IP Traceback을 촉진하는 패킷들은 보낼 수 있는 site의 수를 극대화 한다.
③ 필터링이 수행되어지는 최적 조건의 site를 찾아간다.
④ 위 site를 둘 이상 앞뒤로 나란히 둔다.
다음 그림은 라우터 기반의 필터링이 없을 경우 AS1에 존재하는 공격자는 AS9의 서버를 공격할 때 AS 0～8에서 속여진 IP address 부가물을 탐지하지 못하도록 변장 시킬 수 있다.
AS8에 라우터 기반의 필터링이 있을 경우 spoofing 될 수 있는 주소 범위가 {1,2,3,4,5}로 줄어든다.
AS8, AS3에 라우터 기반의 필터링이 있으면 S1,9는 {1,2}이다.
6) DPF 실험 결과
DPF는 3가지 핵심 모튤로 구성된다.
① cover : 단계별 명령을 포함하여 다양한 입력 사양을 고려하여 생긴 T를 다룬다.
② dpf : dpf는 메인 모듈로서 Sa,t 와 Cs,t를 계산한다. T의 필터 type과 라우팅 알고리즘을 입력 사항으로 갖는다.
③ stats : dpf 모듈의 결과와 Φ(1)과 Φ(τ)로 다양한 실행을 계산한다.
위 그림은 T의 적용범위와 라우팅 조합에 대한 T의 함수로써 Φ(τ)를 보여준다.
|v| = 3015, |E| = 5230 또한 Loose 일 때 보다 tight 할