인터페이스 설명달기 mirdate(config)# interface f 1/0/1 mirdate(config)# description mirdate1 mirdate(config)# interface f 1/0/2 mirdate(config)# description mirdate2
기본설정파일 셋팅 enable config terminal no ip domain-lookup enable secret $gm@te2oo8
alias exec c config terminal alias exec r show running-config alias exec i show ip route alias exec b show ip interface breif
line consol 0 logging synch exec-timeout 0 lin vty 0 5pass $gm@te2oo8 exit hostname
NTP 서버 주소 time.bora.net time.nist.gov time.windows.com time.google.com
CISCO 장비 시간 확인 명령 mirdate#sh clock .07:37:23.322 UTC Tue Jun 29 2010
CISCO 장비 시간대 설정 변경 mirdate#conf t mirdate(config)#clock timezone KST 9 mirdate(config)#exit mirdate#wr mirdate#sh clock .16:39:10.918 KST Tue Jun 29 2010
CISCO 장비 시간 설정 mirdate#clock set 22:25:00 29 jun 2010
CISCO 장비 NTP 설정 mirdate#conf t mirdate(config)#ntp server [서버IP주소] mirdate(config)#exit mirdate#wr
*Mar 1 00:01:08.039: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/network-confg) failed *Mar 1 00:01:08.039: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/cisconet.cfg) failed *Mar 1 00:01:08.048: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/switch-confg) failed *Mar 1 00:01:08.048: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/ciscortr.cfg) failed
[해결방법]
Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#no service config Switch(config)#exit Switch#wr Building configuration... [OK] Switch# *Mar 1 00:13:47.343: %SYS-5-CONFIG_I: Configured from console by console Switch#
다시 배포하기 전에 스위치를 평면화하는 것은 항상 웹에서 조회하는 간단한 작업 중 하나이므로 나중에 시간을 절약하고 여기에 문서화해야 한다고 생각했습니다.
1 단계.
"모드" 버튼을 누른 상태에서 콘솔 케이블을 연결하고 스위치의 전원을 켭니다.
이렇게 하면 플래시 파일 시스템이 초기화되기 전에 부팅 프로세스가 중단되고 잠시 후("모드" 버튼을 계속 누르고 있음) 다음 프롬프트가 표시됩니다.
미디어 유형 1에 드라이버 버전 1 사용
기본 이더넷 MAC 주소: 4c:30:2d:81:ef:80
Xmodem 파일 시스템을 사용할 수 있습니다.
암호 복구 메커니즘이 활성화되었습니다.
초기화하기 전에 시스템이 중단되었습니다.
플래시 파일 시스템. 다음 명령은 초기화됩니다
플래시 파일 시스템 및 운영 로드 완료
시스템 소프트웨어:
flash_init
신병
스위치:
2 단계.
flash_init명령을 사용하여 플래시 파일 시스템을 초기화합니다 .
switch: flash_init
플래시 초기화 중...
mifs[2]: 파일 10개, 디렉토리 1개
mifs[2]: 총 바이트 수: 1806336
mifs[2]: 사용된 바이트 수: 612352
mifs[2]: 사용 가능한 바이트 수: 1193984
mifs[2]: mifs fsck는 1초가 걸렸습니다.
mifs[3]: 파일 0개, 디렉토리 1개
mifs[3]: 총 바이트 수: 3870720
mifs[3]: 사용된 바이트 수: 1024
mifs[3]: 사용 가능한 바이트 수: 3869696
mifs[3]: mifs fsck는 0초가 걸렸습니다.
mifs[4]: 파일 5개, 디렉토리 1개
mifs[4]: 총 바이트 수: 258048
mifs[4]: 사용된 바이트 수: 9216
mifs[4]: 사용 가능한 바이트 수: 248832
mifs[4]: mifs fsck는 0초가 걸렸습니다.
mifs[5]: 파일 5개, 디렉토리 1개
mifs[5]: 총 바이트 수: 258048
mifs[5]: 사용된 바이트 수: 9216
mifs[5]: 사용 가능한 바이트 수: 248832
mifs[5]: mifs fsck는 1초가 걸렸습니다.
-- 더 --
mifs[6]: 566개 파일, 19개 디렉토리
mifs[6]: 총 바이트 수: 57931776
mifs[6]: 사용된 바이트: 28429312
mifs[6]: 사용 가능한 바이트 수: 29502464
mifs[6]: mifs fsck는 21초가 걸렸습니다.
...플래시 초기화를 완료했습니다.
3단계.
플래시 디렉토리에서config.text, private-config.text파일을 삭제합니다 .
swtich: boot
"flash:c2960s-universalk9-mz.122-58.SE2.bin" 로드 중...
--- 시스템 구성 대화 상자 ---
비밀 경고 활성화
----------------------------------
장치 관리자에 액세스하려면 활성화 암호가 필요합니다.
초기 구성 대화 상자에 들어가면 암호 활성화를 묻는 메시지가 표시됩니다.
초기 구성 대화 상자에 들어가지 않도록 선택하거나 암호 활성화를 설정하지 않고 설정을 종료하는 경우
구성 모드에서 다음 CLI를 사용하여 암호 활성화를 설정하십시오.
암호 0 <일반 텍스트 암호> 활성화
----------------------------------
초기 구성 대화 상자로 들어가시겠습니까? [예 아니오]:
% '예' 또는 '아니오'로 답하십시오.
다음으로 2세대 방화벽은 보통 차세대(Next Generation) 방화벽이라 하며 통상 줄여서 NG방화벽이라고 호칭합니다. 1세대 방화벽과의 가장 큰 차이점은 단말이 사용하는 응용 프로그램(Application)을 인식해서 선별적으로 차단이 가능하다는 점입니다.
1세대 방화벽은 포트 넘버로만 트래픽을 구분할 수 있었기 때문에 TCP 80을 사용하는 모든 트래픽은 모두 차단하거나 허용할 수밖에 없었습니다. 예를 들면 인터넷 사용은 허용하면서 메신저나 P2P 다운로드 트래픽은 차단하고 싶거나, 인터넷 중에서도 유튜브, 인스타그램 등만 선별적으로 차단하는 보안 정책은 모두 같은 TCP 80 포트를 사용하기 때문에 불가능하였습니다.
우리가 사용하는 인터넷과 같은 통신은 참가하는 모든 단말이 동일한 규칙으로 신호를 주고받아야 하는데 이를 통신 규약을 프로토콜(Protocol)이라고 합니다. 그중에 가장 대표적인 것이 ISO(국제표준화기구)에서는 제정한 OSI 7 레이어 참조 모델이 입니다.
아래 <그림 1> OSI 프로토콜의 3번째 Network 계층이 IP 주소를 정의하는 곳이며, 4번째 Transport 계층이 TCP 혹은 UDP의 포트 넘버를 정의하는 단계입니다. 즉 1세대 방화벽은 4 계층까지만 모니터링이 가능한 장비이기 때문에 마지막 7번째 Application 계층인 응용 프로그램 단계는 모니터링이 불가능합니다.
차세대 방화벽은 Application계층 데이터 모니터링이 가능하기 때문에 4 계층에서 같은 서비스 포트를 사용하는 프로그램이더라도 서로 구분이 가능합니다. 즉 포트 넘버가 아니고 카카오톡 같은 메신저, 토렌트 같은 P2P 파일공유 트래픽을 구분할 수 있습니다. 그뿐만 아니라 카카오톡 트래픽 중에서도 단순한 채팅 트래픽과 파일을 공유하는 트래픽을 구분할 수 있기 때문에 채팅만 허용하고 파일 전송만 선별적으로 차단하는 제어가 가능합니다.
< 그림 1 > OSI 7 레이어 및 TCP/IP 4 레이어 모델
그럼 차세대 방화벽은 어떻게 애플리케이션을 구분할 수 있을까요? 아래 <그림 2>와 같이 패킷이 들어오면 일단 보안정책으로 포트 넘버를 먼저 확인하게 됩니다. 그다음으로 패킷의 L7 레벨에 있는 데이터를 읽어서 방화벽이 가지고 있는 트래픽 패턴 정보와 동일한 패턴이 발견되는지 확인하여, 애플리케이션을 식별하고, 식별이 되지 않으면 다음으로 프로토콜 디코더라는 일종의 패킷 해석기를 이용하여 주고받는 내용의 특성을 분석하고 트래픽을 판별하는 방식을 이용합니다.
이 단계에서도 판별이 되지 않으면 휴리스틱(Heuristic) 기법을 이용하여 정확하게 패턴이 일치하지 않더라도 통계적인 기법으로 유사도를 측정하여 80~90% 이상 패턴이 유사하면 특정 애플리케이션 트래픽으로 판별하는 방식으로 동작합니다.
< 그림 2 > Application 탐지 프로세스 (출처: 팔로알토 네트웍스)
그럼 현재 회사에서 많이 사용 중인 차세대 방화벽에서 어떤 애플리케이션을 탐지하고 허용/차단할 수 있는지 알아보도록 하겠습니다. 최근 10년간 가장 트래픽을 많이 발생시키고 있는 프로그램 중의 하나는 단연코 P2P 파일공유 프로그램들입니다.
가장 대표적인 경우가 토렌트(torrent)류의 프로그램입니다. 웹하드와 같이 특정한 서버에 접속해서 파일을 다운로드하는 것이 아니라, 서버와 클라이언트가 구분되지 않고, 네트워크에 접속하는 각 개인이 보유 중인 파일을 접속된 다른 사용자들에게 파일을 전송하는 서버 역할을 하고, 내가 없는 파일은 다른 사용자에게서 받아 오는 클라이언트 역할을 동시에 수행하는 프로그램입니다.
이 프로그램의 특징은 일대일로 파일을 보내고 받는 것이 아니라, 내가 파일을 받을 때 하나의 파일을 여러 개로 쪼개서 여러 개의 단말에서 동시에 파일을 받을 수 있고, 반대로 파일을 보낼 때도 여러 개의 단말에 동시에 전송할 수 있는 점입니다.
그래서 동일한 파일을 여러 단말이 많이 보유할수록 파일 전송속도가 빨라지는 특징이 있습니다. 문제는 대용량의 영상 파일을 주고받을 경우 많은 트래픽을 유발하기 때문에 집에서 사용하는 것은 문제가 없으나 회사 같은 조직 내에서 사용할 경우 네트워크 대역폭을 소모시켜서 업무에 지장을 줄 수 있다는 점입니다. 아래 <그림 3>는 방화벽에서 탐지할 수 있는 P2P 파일 공유 프로그램 목록입니다.
< 그림 3 > 패턴으로 등록된 P2P 파일공유 프로그램 (출처 : 팔로알토 네트웍스)
목록에 보면 다양한 파일공유 프로그램을 확인할 수 있고 분류 및 위험도, 기본통신방식 등이 나열되어 있습니다. 위험도는 벤더에서 임의로 지정한 등급으로 숫자가 높을수록 위험도가 높은 것으로 특정 등급을 묶어서 차단하거나 로그를 남기는 설정을 할 때 사용할 수 있습니다.
파일공유 프로그램 이외에도 네이버 같은 포털 서비스, 다량의 트래픽을 유발하는 영상 스트리밍 서비스인 유튜브(YouTube), 채팅과 파일 전송 기능이 있는 카카오톡, 최근 인기가 높아진 인스타그램과 같은 SNS 서비스 등도 식별이 가능합니다.
아래 <그림 4>과 같이 네이버 트래픽에서도 블로그, 라인과 같은 메신저, 메일, 엔드라이브 같은 웹하드 서비스, 네이버 TV 같은 비디오 스트리밍 트래픽을 식별할 수 있기 때문에 세분화해서 트래픽을 제어할 수 있습니다.
< 그림 4 > 네이버 트래픽 식별 목록 (출처 : 팔로알토 네트웍스)
아래 <그림 5>은 유튜브 트래픽 식별 목록입니다. 영상을 시청하는 것 이외에도 영상을 업로드하는 트래픽도 식별할 수 있는 것을 확인할 수 있습니다.
< 그림 5 > 유튜브 트래픽 식별 목록 (출처 : 팔로알토 네트웍스)
아래 <그림 6>은 국민 메신저인 카카오톡 트래픽 식별 목록입니다. 거의 전 국민이 사용하는 서비스이다 보니 보안을 위해 사용을 원천 차단한다면 원성이 대단할 것입니다. 이럴 경우 채팅 서비스는 허용하고 파일 전송 기능만 사내에서 사용을 차단한다면 보안을 강화하면서 임직원의 민원도 해결할 수 있을 것 같습니다.
< 그림 6 > 카카오톡 트래픽 식별 목록 (출처 : 팔로알토 네트웍스)
마지막으로 아래 <그림 7>와 같이 사진 기반으로 운영되는 SNS인 인스타그램도 단순한 검색과 포스팅 트래픽을 구별할 수 있기 때문에 좀 더 유연한 보안 정책을 설정 가능합니다.
< 그림 7 > 인스타그램 트래픽 식별 목록 (출처 : 팔로알토 네트웍스)
지금까지 차세대 방화벽의 애플리케이션 탐지 기능에 대해 살펴보았습니다. 대략 10년 전부터 차세대 방화벽이 도입되기 시작하면서, 최근에 도입되는 방화벽은 모두 차세대 방화벽을 표방하고 있습니다. 대부분의 벤더는 애플리케이션 탐지 기능을 기본 기능으로 제공하지 않고 별도의 서비스 라이선스를 구매해야 사용 가능하게 하고 있습니다.
그 이유는 새로운 서비스가 계속 등장하고 있기 때문에 거기에 맞추어 식별 목록을 계속 업데이트해 줘야 하기 때문입니다. 보통 년 단위로 라이선스를 갱신해야 장비에서 업데이트된 식별 목록을 주기적으로 다운로드할 수 있습니다.
웹 방화벽(Web Application Firewall)은 통상 앞글자를 따서 와프(WAF)라고 부릅니다. 앞에서 설명한 차세대 방화벽도 Web 트래픽은 식별할 수 있기 때문에 웹 방화벽과 동일한 기능을 지원하지 않을까 생각할 수 있습니다. 그럼 여기서 차세대 방화벽과 웹 방화벽의 차이점을 먼저 알아보도록 하겠습니다.
차세대 방화벽은 모든 트래픽에 대해 L7 레벨을 모니터링하고 제어할 수 있는 장비이며 네트워크의 다양한 트래픽을 관리할 수 있는 장비라면, 웹 방화벽은 http, https트래픽만 집중해서 모니터링하여 웹서버 해킹을 방지하는 목적으로 http method(get, put)와 같은 세부적인 옵션 값에 따라 임계치를 설정하여 차단하는 장비로써 차세대 방화벽으로 차단이 불가능한 웹 기반 공격을 전문적으로 탐지 차단하는 보안장비입니다.
일반적으로 차세대 방화벽이 설치되어 있더라도 업무상 혹은 비즈니스 목적으로 운영되는 웹 기반 서버가 있다면 추가적으로 웹 방화벽을 설치하여 웹 서버의 보안을 강화하는 것이 일반적인 적용 방법입니다.
그럼 웹 방화벽이 등장한 배경을 알아보죠. 앞에서 설명한 1세대 혹은 2세대(차세대) 방화벽의 보급이 늘어나면서, 서비스하지 않는 모든 포트는 방화벽의 보안정책으로 차단되게 되었습니다. 보통 서버들은 사용자가 이용하지 않는 서비스라도 OS가 설치되면서 기본적으로 오픈되는 포트가 여러 개 있습니다.
예를 들면 윈도 OS를 설치하면 파일공유, 원격 접속 등의 위한 포트가 기본으로 오픈되면서 방화벽에서 차단되지 않으면, 인터넷으로 통해서도 접속이 가능한 경우가 종종 있습니다. 이렇게 기본적으로 오픈되는 포트를 통해 많은 공격이 이루어졌지만, 방화벽의 보급이 늘어나면서 서비스하는 포트 이외에는 인터넷으로 통해 접근이 불가능해지면서, 공격자의 공격 대상이 줄어들게 되었습니다.
그런데 대부분의 조직에서 웹 서버는 기본적으로 사용하기 때문에 방화벽에서 HTTP, HTTPS 서비스 포트는 열지 않을 수가 없습니다. 공격자의 입장에서는 HTTP, HTTPS 이외에는 열려 있는 포트가 없다 보니, 웹 서비스만 집중적으로 연구해서 공격 기술을 개발할 수밖에 없는 환경이 된 것입니다.
이렇게 웹 기반 공격이 점점 발전되어 다양화되면서, 홈페이지 등이 변조되거나, 웹 서버를 해킹한 후에 이를 통해 사내의 DB서버에 접근해서 조직의 정보를 탈취하는 일이 빈번하게 발생되었습니다. 이런 웹 기반의 공격에 대응하기 위해 웹 공격 유행을 분석하여 3~4년 단위로 유행하는 공격 방식을 연구하여 가장 많이 사용하는 공격 유형 10가지(Top 10)를 발표하는 조직이 있습니다.
OWASP(Open Web Application Security Project)라는 일종의 커뮤니티로 다양한 개발자, 보안 관리자 등이 자발적으로 참여하여 조직한 비영리단체로 OWASP Top 10 이란 이름으로 주기적으로 보고서를 발표하고 있습니다. 최근 발표된 버전은 2017로서 아래 <그림 1>과 같이 A1부터 A10까지 가장 빈번하게 발생되는 웹 공격 10개를 나열하고 각 공격 별 취약점 확인 방법과 보안 대책을 설명하고 있습니다.
< 그림 1 > OWASP Top 10 2013, 2017 비교
제일 빈번하게 발생되는 공격인 인젝션(Injection:주입)의 경우 말 그대로 클라이언트의 입력값을 조작하여 비 정상적인 명령어를 주입하고 해당 서버의 DB에 있는 다양한 정보를 탈취하거나 관리자 권한을 획득하는 공격 방법입니다. 쉬우면서도 공격 성공률이 높은 유형으로 2017년 3월에 발생한 "여기 어때"라는 숙박 정보 회사의 고객 DB정보를 통해 가입자 절반인 99만 명의 이름, 휴대전화 번호, 숙박 이용정보가 노출되는 사고도 이 공격으로 발생한 사고였습니다.
가장 유명한 공격 중 하나인 SQL Injection 공격 방식을 설명드리면, 아래 <그림 2>에 있는 1번과 같이 정상적인 SQL 명령어가 있다고 가정해 보겠습니다. 여기에 2번과 같이 ' OR 1=1 --'이라는 문구를 중간에 삽입하여 3번과 같이 SQL 명령어를 웹 서버로 전송하게 합니다. 1번 명령어는 ID가 INPUT1이고 패스워드가 INPUT2인 사용자의 모든 정보를 불러오게 하는 명령어인데 여기에 특정 문구를 삽입해서 3번과 같이 변조하여 서버로 전송하게 되면, 삽입한 문구 중 '--' 뒤에 있는 문구는 모두 주석 처리되고, OR 1=1은 언제나 True가 되기 때문에 결과적으로 서버에서는 유저 테이블에 있는 모든 정보를 불러오게 하는 명령어로 인식되기 때문에 서버가 보유한 모든 유저들의 정보가 공격자에게 출력되는 결과가 초래되게 됩니다.
< 그림 2 > SQL Injection 공격 방식 (출처: 안랩)
그럼 이런 공격을 웹방화벽에서는 어떻게 차단할 수 있는지 알아보죠. 웹 방화벽은 웹 서버 앞에서 사전에 HTTP 패킷을 분석하여 정상적이라고 판단되는 트래픽만 웹 서버로 전달합니다. 아래 <그림 3>와 같이 트래픽이 들어오면 아래와 같은 여러 가지 단계의 분석을 통해 공격을 차단하게 됩니다.
1. 패킷의 L7 레벨을 확인하여 정상적인 HTTP구문 인지 먼저 확인한다.
2. URI(예:www.abc.com/user)를 식별하여 적용되어 있는 정책을 확인하고 어떤 공격 탐지 rule을 적용하여 검사할 것인지 판단한다.
3. 적용된 공격 탐지 룰에 따라 여러 가지 공격을 탐지한다. 이때 블랙리스트(black list)를 이용하여 사용할 수 없는 구문이나 패턴을 먼저 차단시킨다.
4. 화이트리스트(white list)를 이용하여 허용된 구문 또는 패턴을 통과시킨다.
5. 정상적인 시도라도 임계치 설정을 통해 짧은 시간 동안 여러 번의 시도가 있으면 차단시킨다. 6. 서버에서 응답하는 웹 페이지가 변조되어 있는지, 에러 코드를 반환을 통해 공격자에게 정보를 제공하는지 확인하여, 관리자에게 경보를 알리거나 반환 값을 숨긴다.
< 그림 3 > 웹 방화벽의 공격 트래픽 분석 프로세스 (출처 : 펜타시큐리티)
웹 방화벽의 경우도 일반 방화벽과 같이 시간이 지나면서 점점 발전을 거듭하였습니다. 초기 웹 방화벽은 사전에 관리자가 설정하는 화이트리스트, 블랙리스트에 의존하기 때문에 오탐(정상적인 트래픽인데 공격으로 판단하는 경우) , 미탐(공격 트래픽인데 탐지하지 못하는 경우)이 발생하는 경우가 매우 빈번하였습니다.
이런 문제는 웹 방화벽이 URI(예: www.daum.net/news), 웹 트래픽 내용을 모니터링하여 학습하면서 정상적인 접속 내용은 화이트리스트를 자동으로 추가하거나, 기존에 학습된 내용과 현저히 다른 내용이 보이면 공격으로 판단하는 등, 사전에 등록된 패턴에 의존하지 않고, 유사도 등을 측정하여 공격을 차단하는 방식이 사용되었습니다.
최근에는 정치적이거나 민족주의적인 이유들, 예를 들면 815 광복절에 일본 해커가 독도 홍보사이트를 공격하여 홈페이지 내용의 위 변조를 시도하는 것 같이 과시형 공격이나, 웹 서버를 통해 고객 자료를 탈취하여 비트코인 등의 금품을 요구하는 행위 등 다양한 공격이 웹 서버를 대상으로 이루어지고 있습니다. 쇼핑몰, 서비스 예약, 웹 포탈, 홍보 사이트와 같이 조직의 비즈니스가 웹에서 대부분 이루어지는 조직에서 이제 웹 방화벽이 필수적인 보안 장비가 되었습니다.
비무장지대 - DMZ(Demilitarized Zone)란 단어 그대로, 아군과 적군 어느 쪽이든 무장을 하지 않는 지리적 군사 영역을 의미합니다.
네트워크에도 DMZ라는 것이 있는데 이것은 무엇이고 언제 사용하는지 알아보겠습니다.
컴퓨팅과 네트워크를 사용하는 기관들은 보안의 목적으로 폐쇄 형태의 내부 네트워크(LAN: Local Area Network)만 사용하여 각종 인트라넷이나 내부 시스템을 운영하는 방법도 있지만 이 경우엔 외부 네트워크로는 단절되어 웹 검색이나 이메일링, DNS 사용, FTP 등의 기본적인 인터넷 서비스를 사용할 수 없습니다.
외부 네트워크 연결을 위해 별도의 네트워크 케이블링을 하여, 물리적으로 내부/외부 다른 네트워크를 사용할 수 있지만 매우 불편한 상황은 어쩔 수 없습니다. 필자도 예전 SI 사업장에서 내부망/외부망 랜선을 각각 바꿔가며 프로젝트를 했던 경험이 있습니다.
문제는 비단 사람뿐만 아니라, 내부 IT 시스템들도 때로는 외부 네트워크를 사용해야 한다는 점입니다. 리눅스 운영체제, MySQL 등을 비롯한 각종 오픈 소스 설치 파일을 다운로드해서 설치하고, 패치 파일 버전을 확인하고 제때 업데이트해야 하는 과정이 있습니다. 업무상 기관의 이메일을 사용해야 하는데 이메일 서버는 내부에 있다 해도 SMTP는 외부에서 진입할 수 있도록 해야 하며, 기관에서 운영하는 웹 사이트는 외부에서 접속하지만 내부에 웹 서버가 존재합니다. 이러한 요구 사항을 DMZ로 해결할 수 있습니다.
"내부 네트워크에 존재하지만, 외부에서 접근할 수 있는 특수한 네트워크 영역을 DMZ라고 합니다."
DMZ의 활용 예제를 알아보겠습니다.
우리 회사의 IT 시스템은 외부에서 접속해야 할 웹 서버/이메일 서버/FTP 서버 시스템이 존재합니다. 이 시스템 영역을 A라고 가정해보겠습니다.
우리 회사의 IT 시스템은 내부에서만 사용하는 시스템 또한 존재합니다. 이 시스템 영역을 B라고 가정해보겠습니다.
외부에 열린 A에서, B로의 접속은 보안상 우려(해킹 등)가 있으므로 접속을 막습니다. 따라서, A를 통해 내부 시스템에 접속이나 침입이 불가능합니다.
B에서, A로의 접속은 보안상 우려가 없고, A가 가진 정보가 필요한 경우가 있으므로 접속을 허가합니다. 따라서, 내부 시스템은 외부 인터넷을 통해 얻은 정보를 내부 DB, 스토리지 등에 저장하고, 활용할 수 있습니다.
위 시나리오를 다이어그램으로 대략 표현하면 아래와 같습니다. 외부 연결이 필요한 시스템들을 DMZ에 배치합니다. 그렇다고 모든 연결이 DMZ로 가능한 것이 아니라, 알맞은 서비스만 연결이 되도록 방화벽 설정이 필요합니다. DMZ에서 내부로의 연결은 불가능하지만 반대로 내부에서 DMZ로의 연결은 가능합니다. 이는 또 다른 방화벽에서의 설정으로 구현 가능합니다.
DMZ를 구글링 해보면, 아래와 같이 단일 방화벽 구성도 가능합니다. (실제로 이렇게 사용을 더 많이 하고 있습니다)
이번 글에서는 가상화 기술이 발전하면서 거기에 맞추어 방화벽이 어떻게 발전했는지 알아보도록 하겠습니다. CPU의 코어(core) 수가 증가하면서, 하나의 CPU에서 동시에 여러 개의 OS를 구동할 수 있는 기술이 발전하였습니다. 이 기술을 통해 가상 서버의 사용이 활성화되면서, 이 기술을 서버가 아닌 네트워크 장비에도 활용하고 싶은 수요가 생기면서 NFV(Network Function Virtualization: 네트워크 기능 가상화)라는 용어가 등장하였습니다.
현재 대부분의 네트워크 장비, 예를 들면 라우터, 스위치, 방화벽 등은 서버 형태가 아닌 별도의 전용 장비로 공급되고 있습니다. 하지만 이런 장비들도 최초에는 일반적인 서버에 프로그램 방식으로 설치되는 사용되기 시작하였습니다. 지난 글에서 소개드린 1세대 방화벽의 시초인 체크포인트(checkpoint)의 경우에도 처음에는 H/W가 아니라 S/W로 출시되었습니다.
즉, 방화벽을 설치하기 위해서 일반적인 서버를 구매하여 여기에 방화벽 소프트웨어를 설치하고, 서버 뒤에 네트워크 케이블을 연결하여 동작시켰습니다. 2000년 초중반까지도 이런 방식처럼 서버 형태로 공급되어,, 아주 높은 성능을 요구하지 않는 환경에서는 범용 서버의 CPU 성능으로도 웬만한 트래픽은 문제없이 처리할 수 있었습니다.
하지만 점점 처리해야 할 트래픽이 증가하면서 범용 서버의 성능으로는 한계에 다다르게 되었습니다. 이제 범용 서버가 아닌 전용 장비가 필요한 시기가 된 것이죠. 이때 등장한 것이 넷스크린(Netscreen)이라는 방화벽이었습니다. 이 회사의 방화벽은 기존 S/W방식으로 제품을 팔지 않고 전용 장비에 전용 OS를 설치하여, 그 당시에는 획기적인 성능인 2 Gbps의 처리 성능을 내는 장비까지 출시하였습니다.
아래 <그림 1>과 같이 대략 13U(56cm)로 랙의 거의 절반을 차지하는 크기에 무게는 23kg이었습니다. 범용 CPU가 아니고 전용 ASIC칩(주문형 반도체: 특정한 기능을 가속해서 처리할 수 있도록 개발된 칩)을 직접 개발하여 적용하고 유닉스를 커널 컴파일(제작자의 의도에 따라 OS를 최적화시키는 작업)하여 전용 OS를 개발하여 적용하였기 때문에, 기존 범용 서버에서 나오는 성능의 대략 10배 이상의 성능을 달성할 수 있었습니다.
< 그림 1 > 최초의 Giga급 방화벽(Netscreen 1000)과 동일 성능을 발휘하는 최신 방화벽
그럼 다음으로 서버 가상화 기술에 대해 알아보죠. 가상화 기술은 물리적으로 독립된 서버에 여러 개의 가상 서버를 동시에 운영할 수 있는 기술입니다. 아래 <그림 2>를 보면 왼쪽 서버처럼 제일 하단에 검은색의 CPU, 메모리, 저장장치, 랜카드로 이루어진 서버 하드웨어가 존재하고, 그 상단에 윈도 혹은 리눅스, 유닉스 등의 운영체제가 설치됩니다. 이렇게 운영체제가 설치되면, 사용자가 원하는 Web, DNS, Mail 등 의 응용프로그램이 설치되어 독립된 서버로 동작하게 됩니다.
그런데 <그림 2 >의 오른쪽 서버와 같이 동일한 하드웨어에 OS 대신에 VMware 같은 하이퍼바이저(Hypervisor)가 설치되면 CPU에 있는 각각의 코어(Core)를 독립된 하나의 가상 CPU로 인식하여, 하나의 가상 서버를 구성할 수 있도록 해줍니다. 또한 메모리, 하드디스크 등도 사용자가 설정하는 용량만큼 분할하여 각각의 가상 서버에 독립적으로 할당시켜 물리적으로 한 개의 메모리와 하드디스크가 가상 서버 개수만큼 존재하는 것처럼 동작하게 도와줍니다.
< 그림 2 > 전통적인 서버와 가상화 서버 비교 (출처 : VMWare)
이렇게 생성된 가상 서버를 보통 VM(Virtual Machine) 혹은 가상 머신이라고 말합니다. 요즘 인텔 서버용 CPU당 코어 수는 모델에 따라 4개에서 28개까지 장착되어 있기 때문에 하나의 CPU가 있는 서버에 VM당 2개의 코어를 할당한다고 가정하면 최대 14개의 VM을 작동시킬 수 있습니다. 물리적으로 한대의 서버에 14개의 가상 서버를 운영할 수 있다면 가상화를 사용하지 않는 서버만 운영할 경우보다 서버 운영 자원의 절감이 가능합니다. 랙에 설치되어 차지하는 공간, 전원 소모량, 발열을 냉각하기 위한 항온항습기 전기 소모량 등 서버 유지비의 획기적인 절감이 가능하기 때문에 현재 많은 조직에서는 규모의 차이만 있을 뿐 많은 서버를 가상 서버로 운영하고 있습니다.
물리적인 자원의 절감뿐만 아니라 서버를 운영하는 데 있어서도 시간과 인력을 절감할 수 있습니다. 신규로 OS를 설치할 경우 짧게는 20분에서 1시간 이상의 시간이 소요되었지만, 가상화 기술을 이용하게 되면 VM이 하나의 파일로 만들어 지기 때문에, 하이퍼바이저를 통해 동일한 OS에 동일한 소프트웨어가 설치된 VM을 배포하여 3~5분 내에 원하는 개수만큼 바로 사용할 수 있게 됩니다. 그리고 VM에 할당하는 CPU, 메모리를 하드웨어 자원에 여유가 있다면 VM에 할당하는 자원을 원하는 만큼 늘이거나 줄일 수도 있고, 저장 공간도 늘일 수 있기 때문에 서비스 접속자의 증가에 유연하게 대응이 가능합니다.
VM이 파일 형태로 존재하기 때문에 하드웨어의 공간적 제약도 없게 됩니다. 특정 서버에 있는 VM들의 사용량이 증가하여 해당 서버의 CPU 사용량이 높아지더라도 가상화 관리 프로그램이 자동으로 CPU 자원에 여유가 있는 서버로 VM을 중단 없이 이동시킬 뿐만 아니라 하드웨어의 장애가 발생되더라도 VM을 짧은 시간 내에 다른 서버에서 재가동시키기 때문에 서버 관리자의 업무량도 획기적으로 줄일 수 있게 되었습니다.
서버 가상화를 운영 중인 조직은 자기도 모르는 사이에 아주 기초적이기는 하지만 NFV 기술을 사용하고 있다고 볼 수 있습니다. 여러 대의 VM들이 하나의 서버에서 작동하게 되면 같은 서버 내의 VM 간의 통신뿐만 아니라 서버 외부의 다른 서버 와도 통신이 필요합니다. 아래 <그림 3>과 같이 하이퍼바이저 내에는 'vSwitch'라는 가상의 스위치가 존재합니다. 물리적인 스위치 대신에 가상의 스위치를 이용하기 때문에 사용 포트 수의 제한이나, 물리적인 케이블의 연결이 필요 없게 되었습니다.
아래 <그림 3>의 왼쪽 그림과 같이 총 4개의 VM이 있고 각각 vNIC이라는 가상의 네트워크 카드를 통해 vSwitch에 가상으로 연결되어 있고 이를 통해 오른쪽 3개의 서버 VM이 서로 통신이 가능하게 됩니다. 제일 왼쪽 VM은 방화벽 프로그램을 구동시켜 방화벽으로 동작 중입니다. 서버 VM에 연결된 가상 스위치가 방화벽 VM으로 연결되어 있고, 방화벽 VM은 다시 다른 가상 스위치를 통해 서버 외부로 연결되어 있습니다. 이렇게 가상으로 연결된 네트워크 구성을 실제 장비로 동일하게 구성하면 오른쪽 그림과 같습니다. 서버 3대가 하단 스위치에 연결되어 있고, 하단 스위치는 방화벽에 방화벽은 상단 스위치에 연결되어 있어 인터넷 등의 외부 네트워크로 통신이 가능하게 구성할 수 있습니다.
< 그림 3 > 가상 스위치를 통한 네트워크 구성 예 (Virtual vs Real)
서버 3대, 스위치 2대, 방화벽 1대를 구성할 경우, 차지하는 공간, 소비되는 전력량, 발열로 인한 냉각 비용을 고려하면, 총 6대의 장비를 서버 1대로 구성할 수 있게 되면 여러 물리적인 자원의 획기적인 절감이 가능해집니다. 그뿐만 아니라, 이렇게 가상으로 구성된 전산 자원이 소프트웨어적인 파일 단위로 존재하기 때문에 쉽게 복제하여, 짧은 시간에 동일하게 구성할 수도 있습니다. 구성 변경을 할 경우에도 장비가 있는 데이터센터에 직접 가서 장비를 추가로 설치하거나 네트워크 케이블을 연결할 필요 없이 원격에서 관리 프로그램을 이용하여 손쉽게 장비를 추가, 삭제하거나 네트워크 연결 수정이 가능합니다.
보통 <그림 3>과 같이 VM에 일반적인 웹, DB 같은 서버 프로그램 대신에 방화벽, 라우터, 스위치 프로그램을 동작시켜 가상화된 네트워크 기능을 수행하는 것을 NFV(네트워크 기능 가상화)라고 정의합니다. 네트워크 장비 공급사인 시스코, 주니퍼 등의 종합 벤더뿐만 아니라 포티넷, 팔로알토 네트웍스, 파이어아이 등의 보안 전문 벤더까지 실제 장비와 동일한 기능을 수행하는 소프트웨어를 출시 중입니다. 아래 <그림 4>와 같이 일반적으로 기존에 출시되던 제품명 앞 혹은 뒤에 V 혹은 VM이라는 이름을 붙여서 소프트웨어로 제품을 판매하고 있습니다.
본격적인 방화벽이 나오기 전에는 통신을 전송하기 위한 통신장비인 라우터의 필터 기능에서부터 트래픽 제어 기능이 사용되었습니다. 우리가 데이터를 전송한다는 것은 최대 1500byte의 크기로 잘게 쪼개진 데이터 묶음으로 만들어진 패킷(packet)을 보내고 받는 것을 말합니다.
이 패킷의 헤더에는 출발지, 목적지 IP주소와 서비스 포트가 기록되어 있습니다. 이 패킷 헤더 정보를 확인해서 라우터에 설정된 필터 정보를 참조하여 들어온 패킷을 허용하거나 차단하는 방식으로 동작합니다. 이런 필터가 증가하게 되면, 라우터의 부하가 증가하게 되어 패킷 전송이라는 본래 기능에 문제가 생기게 되고, 고정된 포트를 사용하지 않고 접속할 때마다 서비스 포트가 변경되는 RPC, FTP 같은 서비스의 경우에는 인식이 불가능한 문제점이 발생되면서 트래픽 제어를 위한 전용 장비의 필요성이 제기되었습니다.
1994년 체크포인트(Checkpoint)라는 회사에서 이러한 문제점을 해결한 1세대 방화벽을 개발하였습니다. 개발된 방화벽의 가장 큰 특징은 스테이트풀 인스팩션(Stateful Inspection) 기능이 추가된 것입니다. 단순히 들어오는 패킷을 필터링하는 것이 아니라, 클라이언트와 서버 간 통신 상태를 모니터링하여 연결 테이블을 만들고 관리하면서 좀 더 세밀한 트래픽 제어가 가능해진 것입니다.
< 그림 1 > 스테이트풀 인스펙션 (Stateful Inspection) 설명
위의 <그림 1>을 보면 왼쪽의 단말장비에서 오른쪽의 웹 서버로 접속을 시도한다고 가정해 보도록 하겠습니다. 방화벽에는 인터넷에서 DMZ 구역으로 들어오는 패킷에 대해 출발지는 ANY, 목적지는 10.0.0.1, 서비스 포트는 TCP 80 포트에 대해 허용하는 보안 정책이 설정되어 있습니다.
접속 단말에서 서버로 웹 페이지를 요청하는 트래픽이 방화벽에 도착하면, 방화벽은 해당 요청에 대해 보안 정책을 확인하여 해당 패킷을 오른쪽 웹 서버로 전달합니다. 서버는 단말의 요청에 응답하기 위해 웹 페이지를 접속 단말을 목적지로 하는 패킷으로 생성하여 전송합니다. 이 응답 패킷이 방화벽에 전달되면 방화벽은 다시 보안정책을 참고하여 패킷을 허용할 건지 차단할 건지 결정할 것을 예상할 수 있습니다.
이 단계에서 스테이트풀 인스펙션의 장점이 발휘됩니다. <그림 1> 방화벽 정책은 외부에서 DMZ 구역으로 갈 수 있는 보안 정책이 있지만 반대 방향인 즉, DMZ 구역에서 외부로 나가게 허용하는 보안 정책은 없습니다. 방화벽은 기본적으로 보안 정책에 적용되지 않는 모든 패킷은 차단하게 되어있습니다. 즉, 서버에서 단말로 가는 응답 패킷은 차단될 것으로 예상할 수 있으나, 스테이트풀 인스팩션 기능이 동작하기 때문에 서버에서 보낸 페이지는 방화벽을 정상적으로 통과하게 됩니다.
즉 방화벽이 만들어서 관리하는 세션 테이블을 참조하여 들어오는 응답 패킷의 출발지, 목적지 IP 및 Port와 일치하는 세션 리스트가 있는지 확인되면, 해당 패킷은 응답 패킷으로 판단하여 보안 정책이 없더라도 해당 패킷을 클라이언트로 전달하는 것입니다. 방화벽은 데이터를 요청하는 트래픽이 들어오면 서버로 전달하면서 동시에 세션 테이블(Session Table)을 만들어서, 서버와 클라이언트 간의 통신 내역을 모니터링하고 제어하는 용도로 사용합니다.
아래 <그림 2>는 방화벽에서 출력한 세션 테이블입니다. In항목에 나와 있는 것과 같이 출발지 IP 10.10.10.235에서 출발지 포트 50588을 사용하여 st0.511 인터페이스로 들어와서 목적지 IP 172.70.1.13, 목적지 포트 TCP 7001로, 패킷 수 6개, 456 byte 크기의 패킷이 보안정책 "untrust-to-trust"에 적용되어 목적지로 전달되었습니다. 다음으로 Out에 표시된 것과 들어올 때와 출발지와 목적지 정보가 반대로 바뀌어서 서버에서는 데이터를 요청하는 단말로 응답 패킷을 4개, 427 byte 만큼 전송한 내역을 확인할 수 있습니다.
<그 림 2 > 방화벽 세션 테이블
다시 말하면 방화벽은 요청 패킷이 들어오면 서버로 전달하면서 서버에서 다시 클라이언트로 응답할 패킷 정보를 예상하여 미리 세션 테이블을 만들어 둡니다. 실제 응답 패킷이 들어오면 먼저 만들어 둔 세션 테이블에서 정보가 일치하는 세션 정보가 있는지 확인되면, 보안 정책이 없더라도 패킷을 단말로 전달하는 것입니다. 이 기능을 이용하면, 관리자가 서버의 응답 패킷을 예상해서 보안정책을 미리 만들어 둘 필요 없이 방화벽이 자동으로 응답 패킷에 대한 보안정책을 생성했다가 연결이 종료되면 삭제하는 것처럼 작동합니다.
이런 작동 방식은 회사 내부에 있는 단말이 인터넷을 사용할 때도 동일하게 적용됩니다. 즉 Trust에서 Untrust 방향으로, 출발지는 단말 IP 대역이고 목적지는 ANY이며, 서비스 포트는 TCP 80으로 허용하는 보안 정책이 있으면, 사내의 단말이 인터넷의 웹 서버로 요청 패킷을 보낸 후, 외부에서 내부로 들어오는 응답 패킷은 별도의 보안 정책이 없더라도 인터넷에서 사내의 단말까지 전달되는데 아무 문제가 없습니다.
인터넷에서 내부로 들어올 수 있는 통로가 필요할 때만 잠깐 생성되었다가 필요가 없으면 바로 삭제되는 것처럼 동작하기 때문입니다. 즉 라우터와 같이 별도의 통신 연결 정보를 관리하지 않는 장비의 경우 필터(Access List-ACL) 기능과 같이 외부에서 내부로 들어올 응답 패킷을 위한 보안 정책을 미리 만들어 둘 필요가 없기 때문에, 미리 만들어 둔 보안정책을 통해 발생 가능한 잠재적인 보안 위협을 감소시킬 수 있는 점이 1세대 방화벽의 가장 큰 장점이라고 할 수 있습니다.
그래서 방화벽의 경우 단순히 트래픽을 처리할 수 있는 성능도 중요하지만, 세션을 관리할 수 있는 능력도 중요합니다. 세션을 관리하는 능력을 판단하는 기준은 기본적으로 아래 두 가지 성능을 판단기준으로 사용합니다.
1. 초당 세션 생성률(CPS- Connection per seconds)
1초 동안 신규로 세션을 생성할 수 있는 능력. 이 성능은 갑작스럽게 트래픽이 급증하는 경우 예를 들면, 특정한 이벤트(명절 차표 구매, 학기초 수강신청, 재난지원금 지급신청, 상품초 저가 세일)가 발생할 경우 짧은 시간 안에 급속하게 증가하는 접속 요구에 대응할 때 중요한 성능 지표입니다.
2. 최대 동시 세션 관리수(Maximum Concerent Session)
장비가 동시에 관리할 수 있는 연결 최대수. 이 성능은 방화벽을 통해 연결되는 최대 연결수를 얼마나 지원하는지를 판단하는 기준입니다. 최신 방화벽의 경우 가장 낮은 성능의 장비라도 만개 단위(대략 32,000~64,000개)의 세션을 동시에 관리할 수 있고 고성능 장비의 경우 억 개 단위까지 기능을 지원하고 있습니다. 이 성능은 얼마나 많은 서버와 일반 유저의 트래픽을 처리할 수 있는지 판단하는 기준으로 사용하고 있습니다.
지금까지 설명한 Stateful 방식의 장비에 대비하여 세션을 관리하지 않는 장비를 보통 Stateless장비라고 말합니다. 스위치, 라우터 같이 단순하게 패킷을 해당하는 목적지로 전달만 하는 장비를 말하는데 이런 장비의 경우 트래픽을 제어하기 위해 ACL을 사용하고 있습니다. 그럼 라우터 장비의 ACL은 어떤 경우에 이용할 수 있을까요?
방화벽이라는 장비는 앞에서 설명한 것과 같이 세션을 관리하는 장비이다 보니 동시에 관리 가능한 세션수를 초과하게 되면 더 이상 세션을 관리할 수 없기 때문에 신규 세션을 생성할 수 없게 됩니다. 즉 신규 트래픽을 처리할 수 없는 상황이 발생하는 것입니다.
최근의 DDoS 공격의 경우 이러한 방화벽의 취약점을 악용하여, 의도적으로 방화벽의 관리 가능한 세션수를 초과하게 하여, 서비스를 방해하는 공격이 빈번하게 발생되고 있습니다. 이런 경우에 공격을 수행하는 출발지 IP를 식별할 수 있다면 방화벽 앞단에 있는 라우터의 ACL 필터를 생성하여 방화벽 앞단에서 공격을 차단할 수 있으면 방화벽이 처리해야 하는 세션수를 줄여 주어 서비스의 중단을 막을 수 있습니다.
ARQ : Automatic Repeat Request의 약자로, 자동 반복 요청을 의미. 에러가 발생한 경우 재전송을 요구하는 방식
Go-back-N ARQ와 Selective Repeat ARQ는 모두 전송층(Transport Layer)의 프로토콜이며 이 두가지를 혼합 및 개선하여 만든 프로토콜이 TCP(Transmission Control Protocol)이다.
이 글에서 사용된 '프레임'이라는 용어는 전송층에서 쓰이는 '패킷'과 같은 개념이며 데이터링크층에서 사용되는 전송단위인 프레임과는 다르다.
무잡음 채널에서의 프로토콜
잡음이 있는 채널에서의 프로토콜
용어 정리
파이프라인
ACK
프레임의 종류
redundent bit
NAK(Negative Acknowledge)
Slicing Window
Stop-and-Wait ARQ
수신측으로부터 ACK을 받을 때까지 대기하다가 전송하는 방법 반이중 방식으로 다른 ARQ 방식보다 전송 효율이 낮다. 송신측은 프레임을 보냄과 동시에 타이머를 작동시킨다. 수신측에서 보낸 ACK를 받으면 타이머가 멈춘다. 송신측은 전송한 프레임의 사본을 보관하고 있다가 타이머가 만료되면 해당 프레임을 다시 보낸다. -> ACK이 오지 않은 경우 프레임이 손실, 중복, 순서 바뀜이 일어난 것으로 판단 수신자쪽에서의 과정 단순하다.
Go-back-N ARQ
오류가 난 지점부터 전송한 지점까지 모두 재전송 하는 기법
Timer가 만료되면 ACK가 오지 않은 프레임(sliding window의 첫 프레임)부터 재전송한다. ex) 6번 프레임을 보냈는데 3번 프레임의 타이머가 만료된 경우, 송신자는 뒤로 돌아가서 3,4,5,6번 프레임을 다시 보낸다.
Selective Repeat ARQ
오류가 난 부분만 재 전송하는 기법 NAK를 사용하여 개선할 수 있다. NAK를 쓰게 되면 Timer가 만료되기전에 해당 프레임을 재전송 해야한다는 것을 알 수 있으므로 빠른 재전송이 가능하다. 수신자 쪽에서의 과정이 복잡하다.
Adaptive ARQ
전송 효율을 최대한 높이기 위해 데이터 프레임의 길이를 동적으로 변경하여 전송한다.
수신측이 송신측에게 수신한 데이터 프레임을 감지하고 오류 발생률을 판단하여 송신측에 오류 발생률을 통보하면 송신측은 통신회선의 오류 발생률이 낮으면 긴 프레임을, 높으면 짧은 프레임을 전송한다.
alert tcp any any -> any 7070 (msg:"IDS411/dos-realaudio"; flags:AP; content:"|fff4 fffd 06|"; reference:arachnids,IDS411;) alert tcp any any -> any 21 (msg:"IDS287/ftp-wuftp260-venglin-linux"; flags:AP; content:"|31c031db 31c9b046 cd80 31c031db|"; reference:arachnids,IDS287; reference:bugtraq,1387; reference:cve,CAN-2000-1574;)
현재4가지 기본 우선 순위로 기재하였으며1(높음)은 가장 심각하고4(매우 낮음)는 가장 덜 심각함.
Classtype
설명
우선순위
attempted-admin
관리자 권한 획득 시도
high
attempted-user
사용자 권한 획득 시도
high
inappropriate-content
부적절한 컨텐츠 감지
high
policy-violation
잠재적인 개인 정보 침해
high
shellcode-detect
실행 코드 감지
high
successful-admin
관리자 권한 획득 성공
high
successful-user
사용자 권한 획득 성공
high
trojan-activity
네트워크 트로이목마 탐지
high
unsuccessful-user
사용자 권한 획득 실패
high
web-application-attack
웹 응용 프로그램 공격
high
attempted-dos
DoS시도
medium
attempted-recon
정보 유출 시도
medium
bad-unknown
잠재적인 나쁜 트래픽
medium
default-login-attempt
기본 사용자 이름과 암호로 로그인 시도
medium
denial-of-service
DoS탐지
medium
misc-attack
기타 공격
medium
non-standard-protocol
비표준 프로토콜 또는 이벤트 감지
medium
rpc-portmap-decode
RPC쿼리 디코드
medium
successful-dos
DoS
medium
successful-recon-largescale
대규모 정보 유출
medium
successful-recon-limited
정보 유출
medium
suspicious-filename-detect
의심스러운 파일 이름 탐지
medium
suspicious-login
의심스러운 사용자 이름을 사용하여 로그인 시도 탐지
medium
system-call-detect
시스템 호출 탐지
medium
unusual-client-port-connection
클라이언트가 비정상적인 포트 사용
medium
web-application-activity
잠재적으로 취약한 웹 응용 프로그램에 대한 액세스
medium
icmp-event
일반적인ICMP이벤트
low
misc-activity
기타 활동
low
network-scan
네트워크 스캔 탐지
low
not-suspicious
의심스러운 트래픽 아님
low
protocol-command-decode
일반 프로토콜 명령어 디코드
low
string-detect
의심스러운 문자열 탐지
low
unknown
알 수 없는 트래픽
low
tcp-connection
TCP연결 탐지
very low
classtype옵션은 구성 분류 옵션(config classification option)을 이용한snort.conf에 정의된 분류만 사용할 수 있음.
Snort는classification.config파일에서 제공하는 규칙에 따라 사용되는 기본 분류 집합을 제공함.
4.7 priority
priority키워드는 규칙에 심각도 레벨을 지정함.
classtype키워드는 구성 분류 옵션(config classification option)에 의해 정의된 기본적인 우선순위를 할당함.
각 경우의 예는 아래와 같음.
priority:<priority integer>;
<형식>
alert tcp any any -> any 80 (msg:"WEB-MISC phf attempt"; flags:A+; content:"/cgi-bin/phf"; priority:10;) alert tcp any any -> any 80 (msg:"EXPLOIT ntpdx overflow"; dsize:>128; classtype:attempted-admin; priority:10 );
<사용예>
4.8 metadata
metadata키워드를 사용하면 규칙 작성자가 규칙에 대한 추가 정보를 일반적으로 키-값 형식으로 포함시킬 수 잇음.
특정 메타데이터 키와 값은Snort에 의미가 있으며 아래 표에 나열되어 있음.
키
설명
값 형식
engine
공유 라이브러리 규칙 표시
"shared"
soid
공유 라이브러리 규칙 생성기 및SID
gid|sid
service
목표 기반 서비스 식별자 (service메타데이터 키는 호스트 속성 테이블이 제공될 때만 의미가 있음)
"http"
< Snort Metadata Keys >
표에 나열된 것 이외의 키는Snort에서 효과적으로 무시되며 키와 값을 사용하여 자유 형식이 될 수 있음.
"HTTP"문자열에 대한 다음 경고(alert) : alert tcp any any <> any 80 (msg:"MD5 Alert"; protected_content:"293C9EA246FF9985DC6F62A650F78986"; hash:md5; offset:0; length:4;) alert tcp any any <> any 80 (msg:"SHA256 Alert"; protected_content:"56D6F32151AD8474F40D7B939C2161EE2BBF10023F4AF1DBB3E13260EBDC6342"; hash:sha256; offset:0; length:4;)
<사용예>
!수정자(modifier)는 해당 수정자가 포함된 전체 내용 검색 결과를 무효화함.
예를 들어content:!"A"; within:50;규칙일 경우 페이로드가5바이트 뿐이며 해당5바이트에“A”가 없으면 결과는 일치로 리턴함.
유효한 일치를 위해50바이트가 있어야 하는 경우isdataat을 내용의 선행자(pre-cursor)로 사용해야 함.
5.3 hash
hash키워드는protected_content규칙과 일치할 때 사용할 해싱 알고리즘을 지정하는 데 사용됨.
Snort설정에 기본 알고리즘이 지정되지 않은 경우protected_content규칙에 반드시 사용할 알고리즘을 지정해야 함.
현재MD5, SHA256, SHA512가 지원됨.
hash:[md5|sha256|sha512];
<형식>
5.4 length
length키워드는protected_content규칙 요약(digest)에 지정된 컨텐츠의 원래 길이를 지정하는데 사용됨.제공된 값은0보다 크도65536보다 작아야 함.
length:[<original_length>];
<형식>
5.5 nocase
nocase키워드를 사용하면 규칙 작성기(rule writer)가Snort에서 대소문자를 무시하고 특정 패턴을 찾도록 지정할 수 있음. nocase는 규칙에서 이전content키워드를 수정함.
nocase;
<형식>
alert tcp any any -> any 21 (msg:"FTP ROOT"; content:"USER root"; nocase;)
<사용예>
5.6 rawbytes
rawbytes키워드를 사용하면 규칙이 원시 패킷 데이터를 보고 전처리기(preprocessors)에 의해 수행된 디코딩을 무시함.이는content키워드 옵션의 수정자(modifier)역할을 함.
HTTP Inspect는 원시HTTP요청 및 응답의 특정 부분과 일치하는http_raw_cookie, http_raw_header, http_raw_uri등과 같은 원시 데이터를 사용하기 위한 키워드 세트가 있음.
rawbytes가 명시적으로 지정되지 않은 경우 대부분의 다른 전처리기는 기본적으로 컨텐츠 일치를 위해 디코딩/정규화된 데이터를 사용함.따라서 패킷에서 임의의 원시 데이터를 검사하려면rawbytes를 지정해야 함.
rawbytes;
<형식>
이 예제는 컨텐츠 패턴 일치자(content patten matcher)에게 Telnet 디코더가 제공한 디코딩된 트래픽 대신 원시 트래픽을 보도록 지시함.
alert tcp any any -> any 21 (msg:"Telnet NOP"; content:"|FF F1|"; rawbytes;)
<사용예>
5.7 depth
depth키워드를 사용하면 규칙 작성자(rule writer)가 지정된 패턴을 검색해야 하는 거리를 지정할 수 있음.
예를 들어"depth:5;"는 페이로드의 처음5바이트 내에서만 지정된 패턴을 찾도록 지시함.
depth키워드는 이전content키워드에 대한 수정자이므로depth키워드를 지정하기 전에content키워드가 있어야 함.
이 키워드는 검색되는 패턴 길이보다 크거나 같은 값을 허용하며 허용 범위는1 ~ 65535임.
동일한 규칙에서byte extract키워드로 추출된 변수를 참조하는 문자열 값으로 설정할 수도 있음.
depth:[<number>|<var_name>];
<형식>
5.8 offset
offset키워드를 사용하면 규칙 작성기(Rule Writer)가 패킷 내에서 패턴 검색을 시작할 위치를 지정할 수 있음.
예를 들어"offset:5;"는 페이로드의 처음5바이트 이후에 지정된 패턴을 찾도록Snort에 지시함.
offset키워드는 이전content키워드에 대한 수정자이므로offset키워드를 지정하기 전에content키워드가 있어야 함.
해당 키워드의 값 허용 범위는-65535 ~ 65535임.
동일한 규칙에서byte extract키워드로 추출된 변수를 참조하는 문자열 값으로 설정할 수도 있음.
offset:[<number>|<var_name>];
<형식>
다음 예제는 결합된content, offset및depth키워드를 사용하는 예제임. alert tcp any any -> any 80 (content:"cgi-bin/phf"; offset:4; depth:20;)
<사용예>
5.9 distance
distance키워드를 사용하면 규칙 작성자가 이전 패턴 일치의 끝을 기준으로 지정된 패턴 검색을 시작하기 전에Snort가 무시해야 하는 패킷의 거리를 지정할 수 있음.
이는 패킷의 시작이 아닌 마지막 패턴 일치의 끝과 관련이 있다는 점으로offset키워드와 정반대임.
해당 키워드의 값 허용 범위는-65535 ~ 65535임.
동일한 규칙에서byte extract키워드로 추출된 변수를 참조하는 문자열 값으로 설정할 수도 있음.
distance:[<byte_count>|<var_name>];
<형식>
이 규칙은/ABC.{1,}DEF/의 정규표현식과 매핑됨. alert tcp any any -> any any (content:"ABC"; content:"DEF"; distance:1;)
<사용예>
5.10 within
within키워드는content키워드를 사용하여 패턴 일치 사이에 최대N바이트가 되도록 하는content수정자임. (5.1참조)
distance키워드와 함께 규칙 옵션으로 사용하도록 설계됨.
해당 키워드는 검색되는 패턴 길이보다 크거나 같은 값을 허용하며 최대값은63335임.
동일한 규칙에서byte extract키워드로 추출된 변수를 참조하는 문자열 값으로 설정할 수도 있음.
within:[<byte_count>|<var_name>];
<형식>
이 규칙은ABC일치한 후10바이트를 넘지 않도록EFG검색을 제한함. alert tcp any any -> any any (content:"ABC"; content:"EFG"; within:10;)
alert tcp any any -> any any (msg:"UTF8/UEncode Encoding present"; http_encode:uri,utf8|uencode;)
alert tcp any any -> any any (msg:"No UTF8"; http_encode:uri,!utf8;)
<사용예>
5.22 fast_pattern
fast_pattern키워드는 빠른 패턴 일치자(matcher)와 함께 사용할 규칙 내의 컨텐츠를 설정하는content수정자임.
빠른 패턴 결정의 기본 동작은 가장 긴HTTP버퍼 컨텐츠를 사용하는 것임.
HTTP버퍼가 없으면 빠른 패턴이 가장 긴 컨텐츠임.
이 동작이 주어지면 짧은 컨텐츠가 긴 컨텐츠보다"고유한"경우 유효함.
즉,더 짧은 컨텐츠가 긴 컨텐츠보다 패킷에서 발견될 가능성이 적음.
빠른 패턴 일치자(matcher)는 선택을 위해 규칙의 컨텐츠를 사용하고 컨텐츠가 페이로드에서 발경되는 경우에만 해당 규칙을 평가하여 일치 가능성이 있는 규칙만 선택하는데 사용됨.
이는 오버헤드로 보일 수 있지만 평가해야 하는 규칙 수를 크게 줄여 성능을 향상시킬 수 있음.
빠른 패턴 일치자(matcher)에 사용되는 컨텐츠가 좋을수록 규칙이 불필요하게 평가될 가능성이 줄어듬.
이 키워드는 이전content키워드에 대한 수정자이므로fast_pattern을 지정하기 전에 규칙에content규칙 옵션이 있어야 함.
fast_pattern옵션은 규칙당 한 번만 지정할 수 있음.
노트:
fast_pattern수정자는 다음http컨텐츠 수정자와 함께 사용할 수 없음. (http_cookie, http_raw_uri, http_raw_header, http_raw_cookie, http_method, http_stat_code, http_stat_msg)
fast_pattern수정자는 해당 내용이offset, depth, distance및within내에서 수정되지 않은 경우에만 부정된(negated)컨텐츠과 함께 사용할 수 있음.
빠른 패턴 일치자(matcher)는 항상 대소문자를 구분하지 않음.
fast_pattern옵션은 단독으로 사용하거나 선택적으로 인수를 사용할 수 있음. 단독으로 사용하는 경우 단순히 지정된 컨텐츠를 규칙의 빠른 패턴 컨텐츠로 사용한다는 의미임.
fast_pattern;
선택적 인수는 컨텐츠가 빠른 패턴 일치자(matcher)에만 사용되어야 하며 규칙 옵션으로 평가되지 않도록 지정하는 데만 사용할 수 있음. 예를 들어,알려진 컨텐츠가 페이로드의 위치와 관계없이 페이로드에 있어야 하는 경우에 유용함. 규칙 옵션을 평가하는 데 필요한 시간을 절약하기 때문임. 1.패턴이 대소문자를 구분하지 않는 방식으로 패턴 일치자(matcher)에 삽입되므로 수정된 컨텐츠는 대소문자를 구분하지 않아야 함. 2.부정된(negated)컨텐츠는 사용할 수 없음. 3.컨텐츠에는offset, depth, distance또는within와 같은 위치 수정자가 있을 수 없음.
fast_pattern:only;
선택적 인수<offset>, <length>를 사용하여 컨텐츠의 일부만 빠른 패턴 일치자(matcher)에 사용되도록 지정할 수 있음. 이는 패턴이 매우 길고"고유성"을 충족시키기 위해 패턴의 일부만 필요한 경우에 유용하므로 빠른 패턴 일치자(matcher)에 전체 패턴을 저장하는 데 필요한 메모리가 줄어듬.
fast_pattern:<offset>,<length>;
<형식>
노트:
선택적 인수<offset>, <length>는 상호 배타적임.
이 규칙은"IJKLMNO"패턴이 이전 패턴"ABCDEFGH"보다 짧더라도fast_pattern일치자와 함께 사용되도록 함. alert tcp any any -> any 80 (content:"ABCDEFGH"; content:"IJKLMNO"; fast_pattern;)
이 규칙은fast_pattern일치자에content:"IJKLMNO";를 사용하고content가fast_pattern일치자만 사용되어야 하며content규칙 옵션으로 평가되지 않아야 함. alert tcp any any -> any 80 (content:"ABCDEFGH"; content:"IJKLMNO"; nocase; fast_pattern:only;)
이 규칙은"JKLMN"을fast_pattern content로 사용하지만content규칙 옵션을“IJKLMNO”로 평가함. alert tcp any any -> any 80 (content:"ABCDEFGH"; content:"IJKLMNO"; fast_pattern:1,5;)
기본적으로 문자열은 하나의 큰 문자 줄로 처리됨. ^및$는 문자열의 시작과 끝으로 일치함. m이 설정되면^및$는 버퍼의 모든 개행 바로 뒤 또는 바로 앞과 버퍼의 맨 처음과 맨 끝을 일치함.
x
패턴의 공백 데이터 문자는 이스케이프되거나 문자 클래스 내부의 경우를 제외하고 무시됨.
A
패턴은 버퍼의 시작 부분에서만 일치해야 함. (^와 동일)
E
제목 문자열의 끝에서만 일치하도록$를 설정하십시오. E가 없으면$는 개행 문자인 경우 최종 문자 바로 앞과도 일치함. (다른 개행 앞이 아님)
G
한정자(quantifier)의“탐욕”(greediness)을 반전하여 기본적으로 탐욕스럽지(greedy)않지만“?”가 뒤따르면 탐욕스러워짐.
R
마지막 패턴 일치의 끝을 기준으로 일치함. (distance:0;과 유사)
U
디코딩된URI버퍼를 일치시킴. (uricontent및http_uri와 비슷) 이 수정자는 동일한 컨텐츠에 대해 정규화되지 않은HTTP요청uri버퍼 수정자(I)와 함께 사용할 수 없음.
I
정규화되지 않은HTTP요청uri버퍼와 일치함. (http_raw_uri와 유사) 이 수정자는 동일한 컨텐츠에 대해HTTP요청uri버퍼 수정자(U)와 함께 사용할 수 없음.
P
정규화되지 않은HTTP요청 본문과 일치함. (http_client_body와 유사) SIP메시지의 경우 요청 또는 응답에 대해SIP본문을 일치시킴. (sip_body와 유사)
H
정규화된HTTP요청 또는HTTP응답 헤더와 일치함. (http_header와 유사) 이 수정자는 동일한 컨텐츠에 대해 정규화되지 않은HTTP요청 또는HTTP응답 헤더 수정자(D)와 함께 사용할 수 없음. SIP메시지의 경우 요청 또는 응답에 대해SIP헤더를 일치시킴. (sip_header와 유사)
D
정규화되지 않은HTTP요청 또는HTTP응답 헤더와 일치함. (http_raw_header와 유사) 이 수정자는 동일한 컨텐츠에 대해 정규화된HTTP요청 또는HTTP응답 헤더 수정자(H)와 함께 사용할 수 없음.
M
정규화된HTTP요청 방법과 일치함. (http_method와 유사)
C
정규화된HTTP요청 또는HTTP응답 쿠키와 일치함. (http_cookie와 유사) 이 수정자는 동일한 컨텐츠에 대해 정규화되지 않은HTTP요청 또는HTTP응답 쿠키 수정자(K)와 함께 사용할 수 없음.
K
정규화되지 않은HTTP요청 또는HTTP응답 쿠키와 일치함. (http_raw_cookie와 유사) 이 수정자는 동일한 컨텐츠에 대해 정규화된HTTP요청 또는HTTP응답 쿠키 수정자(C)와 함께 사용할 수 없음.
S
HTTP응답 상태 코드와 일치함. (http_stat_code와 유사)
Y
HTTP응답 상태 메시지와 일치함. (http_stat_msg와 유사)
B
디코딩된 버퍼를 사용하지 마십시오. (rawbytes와 유사)
O
이 표현식에 대해 구성된pcre일치 제한 및pcre일치 제한 재귀를 재정의함. 지정된pcre패턴을 평가하는 동안 제한을 완전히 무시함.
< pcre용Perl호환 수정자>
노트:
수정자R(상대)과B(원시 바이트)는U, I, P, H, D, M, C, K, S및Y와 같은HTTP수정자와 함께 허용되지 않음.
이 예제는HTTP URI foo.php?id=<some numbers>에 대해 대소문자를 구분하지 않는 검색을 수행함.
alert tcp any any -> any 80 (content:"/foo.php?id="; pcre:"/\/foo.php?id=[0-9]{1,10}/iU";)
<사용예>
노트:
pcre를 사용하는 규칙에 하나 이상의content키워드가 있는 것이 좋음.
이를 통해fast_pattern일치자가 일치하지 않는 패킷을 필터링하여 회선을 통해 들어오는 각 패킷에 대해pcre평가가 수행되지 않도록 할 수 있음.
노트:
Snort가PCRE를 사용하여 여러URI를 처리하는 것이 예상대로 작동하지 않음.
uricontent없이 사용되는PCRE는 첫 번째URI만 평가함.
pcre를 사용하여 모든URI를 검사하려면content또는uricontent를 사용해야 함.
5.27 pkt_data
이 옵션은 감지에 사용되는 커서(cursor)를 원시 전송 페이로드로 설정함.
규칙에서pkt_data뒤에 오는 상대 또는 절대 컨텐츠 일치(HTTP수정자 또는 원시 바이트 없음)및 기타 페이로드 감지 규칙 옵션은 커서(탐지에 사용)가 다시 설정될 때까지 원시TCP/UDP페이로드 또는 정규화된 버퍼(telnet,정규화된smtp경우)에 적용됨.
이 규칙 옵션은 규칙에서 여러 번 사용할 수 있음.
pkt_data;
<형식>
alert tcp any any -> any any(msg:"Absolute Match"; pkt_data; content:"BLAH"; offset:0; depth:10;)
alert tcp any any -> any any(msg:"PKT DATA"; pkt_data; content:"foo"; within:10;)
alert tcp any any -> any any(msg:"PKT DATA"; pkt_data; content:"foo";)
alert tcp any any -> any any(msg:"PKT DATA"; pkt_data; pcre:"/foo/i";)
<사용예>
5.28 file_data
이 옵션은 감지에 사용되는 커서를 다음 버퍼 중 하나로 설정함.
1.탐지되는 트래픽이HTTP일 때 버퍼를 설정함:
a. HTTP응답 본문(chunking/압축/정규화 제외)
b. HTTP dechunked응답 본문
c. HTTP압축해제 응답 본문(inspect_gzip이 켜져 있는 경우)
d. HTTP정규화된 응답 본문(normalized_javascript가 설정된 경우)
e. HTTP UTF정규화된 응답 본문(normalized_utf가 설정된 경우)
f.모두 포함(All of the obove)
2.감지되는 트래픽이SMTP/POP/IMAP인 경우 버퍼를 다음으로 설정함:
a. SMTP/POP/IMAP데이터 본문(디코딩이 해제된 이메일 헤더 및MIME포함)
b. Base64디코딩된MIME첨부 파일(b64_decode_depth가-1보다 큰 경우)
c.인코딩되지 않은MIME첨부 파일(bitenc_decode_depth가-1보다 큰 경우)
d.인용 인쇄 가능한(Quoted-Printable)디코딩된MIME첨부 파일(qp_decde_depth가-1보다 큰 경우)
e. Unix-to-Unix디코딩된 첨부 파일(uu_decode_depth가-1보다 큰 경우)
3. 1과2번 항목으로 설정하지 않으면 페이로드로 설정됨.
상대 또는 절대 컨텐츠 일치(HTTP수정자 또는rawbytes없음)및 규칙에서file_data를 따르는 페이로드 감지 규칙 옵션은 다른 규칙 옵션에 의해 명시적으로 재설정될 때까지 이 버퍼에 적용됨.
이 규칙 옵션은 규칙에서 여러 번 사용할 수 있음.
file_data에 대한mime인수는 더 이상 사용되지 않음.
규칙 옵션file_data는 자체적으로 디코딩된MIME첨부를 가리킴.
file_data;
<형식>
alert tcp any any -> any any(msg:"Absolute Match"; file_data; content:"BLAH"; offset:0; depth:10;)
alert tcp any any -> any any(msg:"FILE DATA"; file_data; content:"foo"; within:10;)
alert tcp any any -> any any(msg:"FILE DATA"; file_data; content:"foo";)
alert tcp any any -> any any(msg:"FILE DATA"; file_data; pcre:"/foo/i";)
다음 규칙은file_data버퍼 내에서 컨텐츠"foo"를 검색하고 전체 패킷 페이로드 내에서 컨텐츠"bar"를 검색함. 규칙 옵션pkt_data는 탐지에 사용되는 커서를TCP페이로드로 재설정함. alert tcp any any -> any any(msg:"FILE DATA"; file_data; content:"foo"; pkt_data; content:"bar";)
bytes = 1 - 10 offset = -65535 to 65535 mult_value = 0 - 65535 post_offset = -65535 to 65535 bitmask_value = 1 to 4 bytes hexadecimal value
<형식>
옵션
설명
bytes_to_convert
패킷에서 가져올 바이트 수임. dce없이 사용할 경우 허용되는 값은1-10임. dce와 함께 사용하는 경우 허용되는 값은1, 2및4임. from_end인수와 함께 사용하면bytes_to_convert는0이 될 수 있음. bytes_to_convert가0이면 추출된 값은0임.
offset
처리를 시작할 페이로드의 바이트 수임.
relative
마지막 패턴 일치에 상대적인 오프셋을 사용함.
multiplier <value>
계산된 바이트 수에<value>을 곱하고 해당 바이트 수를 앞으로 건너뜀.
big
데이터를 빅 엔디안으로 처리함. (기본값)
little
데이터를 리틀 엔디안으로 처리함.
string
데이터는 패킷에 문자열 형식으로 저장됨.
hex
변환된 문자열 데이터는16진수로 표시됨.
dec
변환된 문자열 데이터는10진수로 표시됨.
oct
변환된 문자열 데이터는8진수로 표시됨.
align
변환된 바이트 수를 다음32비트 경계까지 반올림함.
from_beginning
패킷의 현재 위치에서가 아니라 패킷 페이로드의 시작 부분부터 앞으로 건너뜀.
from_end
점프는 페이로드의 끝에서 시작됨.
post_offset <value>
다른 점프 옵션이 적용된 후<value>바이트 수만큼 앞으로 또는 뒤(음수 값의 양수)로 건너뜀.
dce
DCE/RPC 2전처리기(preprocessor)가 변환할 값의 바이트 순서를 결정하게 하십시오.
bitmask
bytes_to_convert인수에AND연산자를 적용함. 결과는 마스크의 후행0수와 동일한 비트 수만큼 오른쪽 시프트됨.
alert udp any any -> any 32770:34000 (content:"|00 01 86 B8|"; \ content:"|00 00 00 01|"; distance:4; within:4; \ byte_jump:4, 12, relative, align; \ byte_test:4, >, 900, 20, relative; \ msg:"statd format string buffer overflow";)
alert tcp any any -> any any (content:"Begin"; \ byte_jump:0, 0, from_end, post_offset -6; \ content:"end.."; distance:0; within:5; \ msg:"Content match from end of the payload";)
alert tcp any any -> any any (content:"catalog"; \ byte_jump:2, 1, relative, post_offset 2, bitmask 0x03f0; \ byte_test:2, =, 968, 0, relative; \ msg:"Bitmask applied on the 2 bytes extracted for byte_jump";)
alert tcp any any -> any any (content:"catalog"; \ byte_jump:1, 2, from_end, post_offset -5, bitmask 0x3c; \ byte_test:1, =, 106, 0, relative; \ msg:"Byte jump calculated from end of payload after bitmask applied";)
<사용예>
5.33 byte_extract
byte_extract키워드는 길이 인코딩 프로토콜에 대한 규칙을 작성하는 데 유용한 또 다른 옵션임.
bytes_to_extract = 1 - 10 operator = ’<’ | ’=’ | ’>’ | ’<=’ | ’>=’ | ’&’ | ’ˆ’ value = 0 - 4294967295 offset = -65535 to 65535 bitmask_value = 1 to 4 byte hexadecimal value
<형식>
옵션
설명
bytes_to_convert
패킷에서 가져올 바이트 수임.
offset
처리를 시작할 페이로드의 바이트 수임.
name
변수의 이름임. 다른 규칙 옵션에서 변수를 참조하는 데 사용됨.
relative
마지막 패턴 일치에 상대적인 오프셋을 사용함.
multiplier <value>
패킷에서 읽은 바이트에<value>을 곱하고 그 숫자를 변수에 저장함.
big
데이터를 빅 엔디안으로 처리함. (기본값)
little
데이터를 리틀 엔디안으로 처리함.
dce
DCE/RPC 2전처리기(preprocessor)가 변환할 값의 바이트 순서를 결정하십시오. 이 옵션이 작동하려면DCE/RPC 2전처리기가 활성화되어야 함.
string
데이터는 패킷에 문자열 형식으로 저장됨.
hex
변환된 문자열 데이터는16진수로 표시됨.
dec
변환된 문자열 데이터는10진수로 표시됨.
oct
변환된 문자열 데이터는8진수로 표시됨.
align <value>
변환된 바이트 수를 다음<value>바이트 경계까지 반올림함. <value>은2또는4일 수 있음.
bitmask
인수를 추출하기 위해 바이트 값에AND연산자를 적용함. 결과는 마스크의 후행0수와 동일한 비트 수만큼 오른쪽 시프트함.
byte_extract규칙 옵션은 자체적으로 아무것도 감지하지 않음.
다른 규칙 옵션에서 사용할 패킷 데이터를 추출하는 데 사용됨.
다음은byte_extract변수를 사용할 수 있는 위치 목록:
규칙 옵션
변수를 취하는 인수
content/uricontent
offset, depth, distance, within
byte_test
offset, value
byte_jump
offset
isdataat
offset
<바이트 추출 변수를 사용하는 기타 옵션>
이 예에서는 두 개의 변수를 사용하여 다음을 수행함.
• 오프셋0의 바이트에서 문자열의 오프셋을 읽음. • 오프셋1의 바이트에서 문자열의 깊이를 읽음. • 이 값을 사용하여 패턴 일치를 더 작은 영역으로 제한함.
alert tcp any any -> any any (byte_extract:1, 0, str_offset; \ byte_extract:1, 1, str_depth; \ content:"bad stuff"; offset:str_offset; depth:str_depth; \ msg:"Bad Stuff detected within field";)
alert tcp any any -> any any (content:"|04 63 34 35|"; offset:4; depth:4; \ byte_extract: 2, 0, var_match, relative, bitmask 0x03ff; \ byte_test: 2, =, var_match, 2, relative; \ msg:"Byte test value matches bitmask applied on bytes extracted";)
<사용예>
5.34 byte_math
추출된 값과 지정된 값 또는 기존 변수에 대해 수학적 연산을 수행하고 결과를 새 결과 변수에 저장함.
bytes_to_extract = 1 - 10 operator = ’+’ | ’-’ | ’*’ | ’/’ | ’<<’ | ’>>’ r_value = 0 - 4294967295 | byte extract variable offset_value = -65535 to 65535 bitmask_value = 1 to 4 byte hexadecimal value result_variable = Result Variable name
<형식>
옵션
설명
bytes_to_extract
패킷에서 가져올 바이트 수임. dce없이 사용할 경우 허용되는 값은1-10임. dce와 함께 사용하는 경우 허용되는 값은1, 2및4임. <<또는>>연산자와 함께 사용하는 경우 허용되는 값은1-4임.
oper
추출된 값에 대해 수행할 수학적 연산이 허용된 연산자: +, -, *, /, <<, >>
rvalue
수학적 연산을 사용할 값임.
offset
처리를 시작할 페이로드의 바이트 수임.
relative
마지막 패턴 일치에 상대적인 오프셋을 사용함.
endian
읽고 있는 번호의 엔디안 유형: •big -데이터를 빅 엔디안으로 처리함. (기본값). •little -데이터를little endian으로 처리함.
string
데이터는 패킷에 문자열 형식으로 저장됨.
number type
읽을 번호 유형: •hex -변환된 문자열 데이터가16진수로 표시됨. •dec -변환된 문자열 데이터가10진수로 표시됨. •oct -변환된 문자열 데이터가8진수로 표시됨.
dce
DCE/RPC 2전처리기(preprocessor)가 변환할 값의 바이트 순서를 결정하게 하십시오.
bitmask
추출된 바이트에AND연산자를 적용함. 결과는 마스크의 후행0수와 동일한 비트 수만큼 오른쪽 시프트됨.
규칙 옵션
결과 변수를 받는 인수
content
offset, depth, distance, within
byte_test
offset, value
byte_jump
offset
isdataat
offset
<바이트 수학 결과 변수를 사용하는 기타 규칙 옵션>
alert udp $EXTERNAL_NET any -> $HOME_NET any \ (msg:"Perform Arithmetic Operation on the extracted bytes"; \ content:"|00 04 93 F3|"; \ content:"|00 00 00 07|"; distance:4; within:4; \ byte_math:bytes 4, offset 0, oper +, rvalue 248, result var, relative; \ byte_test:4, >, var, 2, relative;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any \ (msg:"Bitwise shift operator"; \ content:"|00 00 00 07|"; distance:4; within:4; \ byte_extract: 1, 0, extracted_val, relative; \ byte_math: bytes 1, offset 2, oper >>, rvalue extracted_val, result var, relative; \ byte_test:2, =, var, 0, relative;)
alert udp any any -> any 1234 \ (content: "Packets start"; \ byte_math: bytes 2, offset 0, oper -, rvalue 100, result var, relative, bitmask 0x7FF0; \ content: "Packets end"; distance: 2; within var; \ msg:"Content match with bitmask applied to the bytes extracted";)
alert udp any any -> any 1235 \ (byte_extract: 4, 3, extracted_val, relative; \ byte_math: bytes 5, offset 0, oper +, rvalue extracted_val, result var, string hex; \ byte_test:5, =, var, 4, string, hex; \ msg:"String operator used with math rule option";)
<사용예>
5.35 ftpbounce
ftpbounce키워드는FTP bounce공격을 감지함.
ftpbounce;
<형식>
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP PORT bounce attempt"; \ flow:to_server,established; content:"PORT"; nocase; ftpbounce; pcre:"/ˆPORT/smi";\ classtype:misc-attack; sid:3441; rev:1;)
표준 버퍼보다 큰 이중ASCII인코딩을 감지함. 이것은Microsoft에서 악용 가능한 기능으로 알려져 있지만 현재 어떤 서비스가 악용될 수 있는지는 알 수 없음.
oversize_length <value>
ASN.1유형 길이를 제공된 인수와 비교함. 구문은"oversize_length 500"과 같음. 즉, ASN.1유형이500보다 크면 이 키워드가true로 평가됨. 이 키워드에는 비교할 길이를 지정하는 하나의 인수가 있어야 함.
absolute_offset <value>
이것은 패킷 시작으로부터의 절대 오프셋임. 예를 들어snmp패킷을 디코딩하려면"absolute_offset 0"이라고 말하면 됨. absolute_offset에는 오프셋 값이라는 하나의 인수가 있음. 오프셋은 양수 또는 음수일 수 있음.
relative_offset <value>
이것은 마지막 컨텐츠 일치, pcre또는byte_jump의 상대적 오프셋임. relative_offset에는 오프셋 번호라는 하나의 인수가 있음. 따라서 콘텐츠"foo"바로 다음에ASN.1시퀀스 디코딩을 시작하려면'content:"foo"; asn1:bitstring_overflow, relative_offset 0'를 지정함. 오프셋 값은 양수 또는 음수일 수 있음.
alert udp any any -> any 161 (msg:"Oversize SNMP Length"; \ asn1:oversize_length 10000, absolute_offset 0;)
alert tcp any any -> any 80 (msg:"ASN1 Relative Foo"; content:"foo"; \ asn1:bitstring_overflow, relative_offset 0;)
<사용예>
5.37 cvs
CVS감지 플러그인은Bugtraq-10384, CVE-2004-0396, "Malformed Entry Modified and Unchanged flag insertion"를 감지하는 데 도움이 됨.
기본CVS서버 포트는2401및514이며 스트림 재조립을 위한 기본 포트에 포함됨.
노트:
이 플러그인은 암호화된 세션은 감지할 수 없음.
예를 들어SSH서비스와 일반적으로 포트22번에 대해서 감지할 수 없음.
cvs:<option>;
<형식>
옵션
설명
invalid-entry
CVS 1.11.15및 이전 버전에서 힙 오버플로우 및 잘못된 포인터 역참조를 유발하는 잘못된 항목 문자열을 찾음. (CVE-2004-0396참조)
alert tcp any any -> any 2401 (msg:"CVS Invalid-entry"; \ flow:to_server,established; cvs:invalid-entry;)
<사용예>
5.38 dce_iface
생략
5.39 dce_opnum
생략
5.40 dce_stub_data
생략
5.41 sip_method
생략
5.42 sip_stat_code
생략
5.43 sip_header
생략
5.44 sip_body
생략
5.45 gtp_type
생략
5.46 gtp_info
생략
5.47 gtp_version
생략
5.48 ssl_version
생략
5.49 ssl_state
생략
5.50 Payload Detection Quick Reference
키워드
설명
content
content키워드를 통해 사용자는 패킷 페이로드에서 특정 컨텐츠를 검색하고 해당 데이터를 기반으로 응답을 트리거하는 규칙을 설정할 수 있음.
rawbytes
rawbytes키워드를 사용하면 규칙에서 전처리기가 수행한 디코딩을 무시하고 원시 패킷 데이터를 볼 수 있음.
depth
depth키워드를 사용하면 규칙 작성기가 패킷Snort가 지정된 패턴을 검색해야 하는 거리를 지정할 수 있음.
offset
offset키워드를 사용하면 규칙 작성기가 패킷 내에서 패턴 검색을 시작할 위치를 지정할 수 있음.
distance
distance키워드를 사용하면 규칙 작성자가 이전 패턴 일치의 끝을 기준으로 지정된 패턴을 검색하기 전에Snort가 무시해야 하는 패킷의 거리를 지정할 수 있음.
within
within키워드는content키워드를 사용하여 패턴 일치 사이에 최대N바이트가 있는지 확인하는 내용 수정자임.
uricontent
Snort규칙 언어의uricontent키워드는 정규화된 요청URI필드를 검색함.
isdataat
isdataat키워드는 페이로드의 지정된 위치에 데이터가 있는지 확인함.
pcre
pcre키워드를 사용하면perl호환 정규식을 사용하여 규칙을 작성할 수 있음.
byte_test
byte_test키워드는 특정 값(연산자 포함)에 대해 바이트 필드를 테스트함.
byte_jump
byte_jump키워드를 사용하면 규칙이 데이터 일부의 길이를 읽은 다음 패킷에서 해당 길이를 건너 뛸 수 있음.
ftpbounce
ftpbounce키워드는FTP bounce공격을 감지함.
asn1
asn1탐지 플러그인은 패킷 또는 패킷의 일부를 디코딩하고 다양한 악성 인코딩을 찾음.
cvs
cvs키워드는 유효하지 않은 항목 문자열을 감지함.
dce_iface
생략
dce_opnum
생략
dce_stub_data
생략
sip_method
생략
sip_stat_code
생략
sip_header
생략
sip_boy
생략
gtp_type
생략
gtp_info
생략
gtp_version
생략
<페이로드 감지 규칙 옵션 키워드>
( 6 ) Non-Payload감지 규칙 옵션
6.1 fragoffset
fragoffset키워드를 사용하면IP조각 오프셋 필드를10진수 값과 비교할 수 있음.
IP세션의 모든 첫 번째 조각을 포착하려면fragbits키워드를 사용하고fragoffset 0과 함께More fragments옵션을 찾을 수 있음.
fragoffset:[!|<|>]<number>;
<형식>
alert ip any any -> any any \ (msg:"First Fragment"; fragbits:M; fragoffset:0;)
이 키워드는 특정 흐름에 대해 지정된 비트를 지우거나 그룹의 모든 비트를 지움. (그룹이 있어야 함)
이 키워드는 항상true를 반환함.
flowbits:unset,bats flowbits:unset,all,group
<형식>
bit1을 지움. flowbits: unset, bit1
bit1및bit2를 지움. flowbits: unset, bit1&bit2
doc그룹의 모든 비트가 지워짐. flowbits: unset, all, doc
<사용예>
toggle
flowbit가 설정되어 있으면 설정을 해제함.
설정되지 않은 경우 설정하십시오.
지정된 모든 비트를 토글(toggle)하거나1그룹의 모든 비트를 토글함. (그룹이 있어야 함)
이 키워드는 항상true를 반환함.
flowbits:toggle,bats flowbits:toggle,all,group
<형식>
이 규칙 이전에bit1이0이고bit2가1이면 이 규칙 이후에bit1은1이고bit2은0임. flowbits: toggle, bit1&bit2
위에서 설명한대로doc그룹의 모든 비트를 토글함. flowbits:toggle,all,doc
<사용예>
isset
이 키워드는 설정되었는지 확인하기 위해 비트 또는 여러 비트를 확인함.
다음 구문에 따라true또는false를 반환함.
flowbits:isset, bits =>비트가 설정되었는지 확인 flowbits:isset, bats =>모든 비트가 설정되었는지 확인 flowbits:isset, any, group =>그룹의 비트가 설정되었는지 확인 flowbits:isset, all, group =>그룹의 모든 비트가 설정되었는지 확인
<형식>
flowbits:isnotset, bit1|bit2 => bit1또는bit2가 설정되면true를 반환 flowbits:isnotset, bit1&bit2 => bit1과bit2가 모두 설정된 경우true를 반환하고 그렇지 않으면false를 반환 flowbits:isnotset, any, doc => doc그룹의 비트가 설정되면true를 반환 flowbits:isnotset, all, doc => doc그룹의 모든 비트가 설정되면true를 반환
<사용예>
noalert
이 키워드는 항상false를 반환함.
이를 통해 사용자는 경고를 생성하지 않고 비트를 설정,설정 해제 및 토글하는 규칙을 작성할 수 있음.
이는 정상적인 트래픽에 비트를 설정하고 원치 않은 경고를 크게 줄이는flowbit규칙을 작성하는 데 가장 유용함.
이 키워드에 지정된 비트가 없음.
flowbits:noalert;
<형식>
reset
이 키워드는 지정된 그룹이 없는 경우 지정된 흐름의 모든 상태를 재설정하고 그렇지 않으면 그룹의 모든 비트를 재설정함.
이것은 항상true를 반환함.
이 키워드에 지정된 비트가 없음.
flowbits:reset[,group]
<형식>
flowbits:reset =>흐름의 모든 비트 재설정 flowbits: reset, doc => doc그룹의 모든 비트 재설정
<사용예>
6.11 seq
seq키워드는 특정TCP시퀀스 번호를 확인하는 데 사용됨.
seq:<number>;
<형식>
이 예에서는TCP시퀀스 번호0을 찾음.
seq:0;
<사용예>
6.12 ack
ack키워드는 특정TCP승인 번호를 확인하는 데 사용됨.
ack:<number>;
<형식>
이 예에서는TCP승인 번호0을 찾음.
ack:0;
<사용예>
6.13 window
window키워드는 특정TCP창 크기를 확인하는 데 사용됨.
window:[!]<number>;
<형식>
이 예에서는TCP창 크기55808를 찾음.
window:55808;
<사용예>
6.14 itype
itype키워드는 특정ICMP유형 값을 확인하는 데 사용됨.
icode:min<>max; icode:[<|>]<number>;
<형식>
이 예에서는30보다 큰ICMP유형을 찾음.
itype:>30;
<사용예>
6.15 icode
icode키워드는 특정ICMP코드 값을 확인하는 데 사용됨.
itype:min<>max; itype:[<|>]<number>;
<형식>
첫 번째 형식의<>연산자는 지정된 범위(배타적)내에서ICMP코드를 확인함.
즉,최소값보다 크거나 최대값보다 작음.
최소값은-1이 될 수 있으므로ICMP코드0이 범위에 포함될 수 있음.
숫자 값은0에서255사이의 허용되는ICMP코드 값 및 기타 기준과 관련하여 검증됨.
icode:min<>max
-1 <= min <= 254
1 <= max <= 256
(max - min) > 1
icode:number
0 <= number <= 255
icode:<number
1 <= number <= 256
icode:>number
0 <= number <= 254
이 예에서는30보다 큰ICMP코드를 찾음. icode:>30; 이 예에서는0보다 크고30보다 작은ICMP코드를 찾음. icode:-1<>30;
<사용예>
6.16 icmp_id
icmp_id키워드는 특정ICMP ID값을 확인하는 데 사용됨.
이것은 일부 비밀 채널 프로그램이 통신 할 때 정적ICMP필드를 사용하기 때문에 유용함.
이 특정 플러그인은stacheldraht DDoS에이전트를 감지하기 위해 개발됨.
icmp_id:<number>;
<형식>
이 예에서는ICMP ID 0을 찾음.
icmp_id:0;
<사용예>
6.17 icmp_seq
icmp seq키워드는 특정ICMP시퀀스 값을 확인하는 데 사용됨.
이것은 일부 비밀 채널 프로그램이 통신 할 때 정적ICMP필드를 사용하기 때문에 유용함.
이 특정 플러그인은stacheldraht DDoS에이전트를 감지하기 위해 개발됨.
icmp_seq:<number>;
<형식>
이 예에서는ICMP시퀀스0을 찾음.
icmp_seq:0;
<사용예>
6.18 rpc
rpc키워드는SUNRPC CALL요청에서RPC애플리케이션,버전 및 프로시저 번호를 확인하는 데 사용됨.
• 선택적noalert매개 변수를 사용하면 규칙이 일치할 때 경고를 생성하지 않음. • 선택적fastpath매개 변수를 사용하면Snort가 나머지 연결을 무시함.
<형식>
예를 들어, HTTP 200 Ok응답 메시지가 표시 될 때 클라이언트 트래픽에 대한TCP재조립을 비활성화하려면 다음을 사용함. alert tcp any 80 -> any any (flow:to_client, established; content:"200 OK"; stream_reassemble:disable,client,noalert;)
<사용예>
6.22 stream_size
stream_size키워드를 사용하면 규칙이TCP시퀀스 번호에 의해 결정된 대로 관찰된 바이트 수에 따라 트래픽을 일치시킬 수 있음.
노트:
stream_size옵션은 스트림 전처리기(Stream preprocessor)가 활성화된 경우에만 사용할 수 있음.
또한,규칙에packets이외의 메트릭을 사용하는 태그 옵션이 있는 경우seconds또는bytes개수에 관계없이 태그가 지정된 패킷 수를 제한하는 데tagged_packet_limit가 사용됨.
기본tagged_packet_limit값은256이며snort.conf파일에서 구성 옵션을 사용하여 수정할 수 있음.
태그 옵션에packets메트릭을 추가하고 개수를0으로 설정하여 특정 규칙에 대해 이 패킷 제한을 비활성화 할 수 있음. (이는snort.conf의tagged_packet_limit옵션을0으로 설정하여 글로벌 규모로 수행할 수 있음)
이렇게하면 패킷이seconds또는bytes의 전체 양에 대해 태그가 지정되고tagged_packet_limit에 의해 잘리지 않음. (tag_packet_limit는seconds또는bytes카운트가 높은 태그 규칙에 대해 고대역폭 센서에서DoS상황을 피하기 위해 도입됨)
이 예는 텔넷 세션의 처음10초 또는 태그가 지정된 패킷 제한(둘 중 먼저 오는 쪽)을 기록함. alert tcp any any -> any 23 (flags:S,CE; tag:session,10,seconds;)
tag:host에는 하나 이상의 개수와 메트릭이 필요하지만 메트릭없이 배타적인tag:session을 사용하여 이와 같은 전체 세션을 얻을 수 있음. pass tcp any any -> 192.168.1.1 80 (flags:S; tag:session,exclusive;)
<사용예>
7.6 replace
replace키워드는Snort가 이전에 일치하는 컨텐츠에 주어진 문자열로 바꾸도록 하는 기능으로 인라인 모드에서 사용함.
새 문자열과 교체할 내용은 모두 길이가 같아야 함.
규칙 내에서 컨텐츠당 하나번 여러 개의 교체가 있을 수 있음.
replace:"<string>";
<형식>
7.7 detection_filter
탐지 필터는 규칙이 이벤트를 생성하기 전에 소스 또는 대상 호스트가 초과해야 하는 비율을 정의함.
이 규칙은SID에서10개 이상의 이벤트가 발생하는 경우60초마다 최대 하나의 이벤트를 기록함. alert tcp $external_net any -> $http_servers $http_ports \ (msg:"web-misc robots.txt access"; flow:to_server, established; \ uricontent:"/robots.txt"; nocase; reference:nessus,10302; \ classtype:web-application-activity; threshold:type both, track \ by_dst, count 10, seconds 60; sid:1000852; rev:1;)
<사용예>
옵션
설명
type limit|threshold|both
시간 간격 동안 첫 번째m이벤트에 대해limit경고를 입력한 다음 나머지 시간 간격 동안 이벤트를 무시함. 시간 간격 동안이 이벤트를 볼 때마다threshold경고를 입력함. m개의 이벤트 발생을 확인한 후 시간 간격당 한 번씩both경고를 입력 한 다음 시간 간격 동안 추가 이벤트를 무시함.
track by_src|by_dst
속도는 소스IP주소 또는 대상IP주소로 추적됨. 즉,각 고유 소스IP주소 또는 각 고유 대상IP주소에 대해 개수가 유지됨. 포트 또는 기타 항목은 추적되지 않음.
count c
event_filter한계를 초과하게 만드는s초 단위의 규칙 일치 수임. c는0이 아닌 값이어야 함.
seconds s
실사가 발생하는 기간임. s는0이 아닌 값이어야 함.
< Post-Detection규칙 옵션 키워드>
( 9 )좋은 규칙 작성
효율성과 속도를 극대화하기 위해Snort규칙을 개발할 때 염두에 두어야 할 몇 가지 일반적인 개념이 있음.
9.1컨텐츠 매칭
Snort는 프로토콜(ip, tcp, udp, icmp),포트(ip와icmp는 약간 다른 로직 사용), content가 있는 것과 없는 것 별로 규칙을 그룹화함.
content가 포함 된 규칙의 경우 단일 컨텐츠를 기준으로 일치 가능성이 있는 규칙을 선택하기 위해 다중 패턴 매처(multi-pattern matche)가 사용됨.
이"빠른"패턴 일치기("fast" pattern matcher)를 통해 평가할 규칙을 선택하면 특히HTTP와 같은 대규모 규칙 그룹에 적용될 때 성능이 향상되는 것으로 나타남.
content가 길고 고유할수록 해당 규칙과 모든 규칙 옵션이 불필요하게 평가 될 가능성이 줄어듬. -일반적으로"나쁜"트래픽보다"좋은"트래픽이 더 많다고 말하는 것이 안전함(safe).
content가 없는 규칙은 항상 평가되어(상주하는 프로토콜 및 포트 그룹과 관련하여)잠재적으로 성능에 영향을 줌.
pcre및byte_test와 같은 검색 옵션은 패킷의 페이로드 섹션에서 검색을 수행하지만 고속 패턴 일치 엔진(fast pattern matching engine)에서는 사용되지 않음.
가능하면 규칙에 하나 이상의content(또는uricontent)규칙 옵션을 사용하십시오.
9.2익스플로잇이 아닌 취약점 파악(Catch the Vulnerability, Not the Exploit)
특정 익스플로잇 대신 취약점을 표적으로 삼는 규칙을 작성하십시오.
예를 들어,쉘을 바인딩하는 쉘코드 대신 인수가 너무 큰 취약한 명령어를 찾으십시오.
취약점에 대한 규칙을 작성하면 공격자가 익스플로잇을 약간 변경할 때 규칙이 회피에 덜 취약함.
9.3규칙에서 프로토콜의 이상한 점 파악
많은 서비스는 일반적으로 대문자로 명령어을 모냄.
FTP가 좋은 예임.
FTP에서 사용자 이름을 보내기 위해 클라이언트는 다음을 보냄.
user username_here
FTP root로그인 시도를 찾는 간단한 규칙은 다음과 같음.
alert tcp any any -> any any 21 (content:"user root";)
사용자 이름root를 찾는 규칙을 작성하는 것은 사소한 것처럼 보일 수 있지만,좋은 규칙은 사용자 명령을 수락할 때 프로토콜이 처리 할 수 있는 모든 이상한 일을 처리함.
예를 들어,다음은 대부분의FTP서버에서 허용됨.
user root
user root
user root
user root
user<tab>root
FTP서버가 처리 할 수 있는 모든 경우를 처리하려면 규칙에 단순한 문자열 일치보다 더 스마트 한 것이 필요함.
ftp에서 루트 로그인을 찾는 좋은 규칙은 다음과 같음.
alert tcp any any -> any 21 (flow:to_server,established; \
content:"root"; pcre:"/user\s+root/i";)
이 규칙에서 유의해야 할 몇 가지 중요한 사항이 있음:
• 규칙에는 설정된 세션에서 서버로 이동하는 트래픽인지 확인하는flow옵션이 있음.
• 규칙에는 공격에서 가장 길고 고유 한 문자열 인root를 찾는content옵션이 있음.이 옵션은 페이로드에서root컨텐츠가 발견되는 경우에만 평가를 위해 빠른 패턴 일치자가 이 규칙을 선택할 수 있도록 추가됨.
• 규칙에는pcre옵션이 있으며user를 찾고 적어도 하나의 공백 문자(탭 포함)와root가 이어짐. (대소문자 무시)
9.4규칙 최적화
검색 엔진의 컨텐츠 일치 부분에는 몇 가지 회피 사례를 처리하기 위한 재귀가 있음.
제대로 작성되지 않은 규칙으로 인해Snort가 검사를 복사하는(duplicationg)데 시간을 낭비 할 수 있음.
이제 재귀가 작동하는 방식은 패턴이 일치하는 경우이고 해당 패턴 이후의 검색 옵션이 실패하면 이전에 발견된 위치에서 다시 패턴을 찾음.
패턴이 다시 발견되지 않거나opt기능이 모두 성공할 때까지 반복하십시오.
처음 읽을 때,그것은 현명한 생각처럼 들리지 않을 수도 있지만 필요함.
예를 들어,다음 규칙을 따르십시오:
alert ip any any -> any any (content:"a"; content:"b"; within:1;)
이 규칙은"a"를 찾고 바로 뒤에"b"를 찾음.
재귀가 없으면 페이로드"aab"에"a"바로 뒤에"b"가 있음이 분명하더라도"aab"페이로드가 실패함.
왜냐하면 첫 번째"a"다음에"b"가 바로 뒤따르지 않기 때문임.
재귀는 탐지에 중요하지만 재귀 구현은 그리 똑똑하지 않음.
예를 들어 다음 규칙 옵션은 최적화되지 않음.
content:"|13|"; dsize:1;
이 규칙 스니펫(snippet)을 보면 규칙이 단일 바이트가0x13인 패킷을 찾는 것이 분명함.
그러나 재귀로 인해1024바이트의0x13패킷은1023너무 많은 패턴 일치 시도와1023너무 많은dsize검사를 유발할 수 있음.
왜?
컨텐츠0x13이 첫 번째 바이트에서 발견되면dsize옵션이 실패하고 재귀로 인해 컨텐츠0x13이 이전0x13이 발견된 위치부터 다시 발견되고 일단 발견되면dsize를 다시 확인함.페이로드에서0x13이 다시 발견되지 않을 때까지 반복함.
불연속 검사(예: dsize)가 규칙의 시작 부분으로 이동되도록 규칙 옵션을 재정렬하면Snort속도가 빨라짐.
최적화 된 규칙 스니핑(snipping)은 다음과 같음:
dsize:1; content:"|13|";
1024바이트0x13패킷은dsize검사가 첫 번째 옵션이고dsize가 재귀 없는 개별 검사이므로 즉시 실패함.
다음 규칙 옵션은 개별적이며 일반적으로 규칙의 시작 부분에 배치해야 함.
•dsize
•flags
•flow
•fragbits
•icmp id
•icmp seq
•icode
•id
•ipopts
•ip proto
•itype
•seq
•session
•tos
•ttl
•ack
•window
•resp
•sameip
9.5숫자값 테스트
규칙 옵션byte_test및byte_jump는 길이 인코딩 데이터가 있는 프로토콜에 대한 쓰기 규칙을 지원하기 위해 작성됨.
RPC는 데이터 전달에 간단한 길이 기반 인코딩을 사용하기 때문에RPC는 이 두 가지 규칙 옵션에 대한 요구 사항을 생성한 프로토콜임.
byte_test및byte jump가 유용한 이유를 이해하기 위해sadmind서비스에 대한 공격 시도를 살펴봄.
# $Id: local.rules,v 1.11 2004/07/23 20:15:44 bmc Exp $ # ---------------- # LOCAL RULES # ---------------- # This file intentionally does not come with signatures. Put your local # additions here.
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SQL Injection"; content:"1' and '1'='1'"; nocase; sid:3000001; rev:1;)
① 하나의 애플리케이션 장비에 여러 가지의 보안 기능의 솔루션을 탑재하여 대응하고 관리할 수 있는 솔루션 시스템이다. ② 다양한 보안솔루션(Firewall, IDS, IPS, VPN 등) 기능을 하나로 통합하여 보안 문제를 쉽고 편리하게 관리 및 해결하는 통합 보안 관리 시스템이다.
1xx (조건부 응답) : 요청을 받았으며 작업을 계속한다. 2xx (성공) : 이 클래스의 상태 코드는 클라이언트가 요청한 동작을 수신하여 이해했고 승낙했으며 성공적으로 처리했음을 가리킨다. 3xx (리다이렉션 완료) : 클라이언트는 요청을 마치기 위해 추가 동작을 취해야 한다. 4xx (요청 오류)(클라이언트 오류) : 4xx 클래스의 상태 코드는 클라이언트에 오류가 있음을 나타낸다. 5xx (서버 오류) : 서버가 유효한 요청을 명백하게 수행하지 못했음을 나타낸다.
HTTP 200(OK) : 클라이언트의 요청(Request)이 성공적으로 수행되었다는 것을 의미한다. 클라이언트가 요청한 방법에 대해서 메시지가 출력된다. HTTP 400(Bad Request) : 클라이언트의 요청 메시지의 구문(Syntax)이 잘못되어 서버가 요청을 처리할 수 없다. 재접속에는 클라이언트가 반드시 올바른 요청 메시지를 보내야 한다. 문법상 오류가 있어서 서버가 요청 사항을 이해하지 못함. HTTP 401(Unauthorized) : 권한 없음-접속실패, 이 에러는 서버에 로그온 하려는 요청 사항이 서버에 들어있는 권한과 비교했을 시 맞지 않을 경우 발생. 클라이언트의 요청 메시지가 사용자 인증을 필요로 한다는 것을 응답 메시지로 보내주는 것이다. 이 코드를 전달받은 클라이언트는 다시 올바른 인증 메시지를 서버에 전달해야 한다. HTTP 403(Forbidden) : 클라이언트의 요청을 서버가 거절하는 것을 나타낸다. 클라이언트가 동일한 요청 메시지를 반복으로 보냈을 경우 서버는 무조건 거절 메시지를 보내게 된다. HTTP 404(Not Found) : 클라이언트의 요청된 자원을 찾을 수 없거나 가지고 있지 않을 때 응답 메시지로 보내는 것이다. 서버는 이 메시지와 함께 어떠한 정보도 클아이언트로 보내지 않는다. HTTP 500(Internal) : 서버 프로그램에서 예기치 않은 오류가 발생하여서 요청에 대한 메시지나 오류 메시지를 보낼 수 없음을 의미한다. 웹서버가 요청사항을 수행할 수 없을 경우에 발생함. HTTP 501(Not Implemented) : 클라이언트의 요청 메시지를 처리하기 위해서 서버가 필요한 기능을 가지고 있지 못한다. HTTP 502(Bad Gateway) : 게이트웨이나 프록시로 동작하는 서버가 사용하는 Status Code로 자신의 게이트웨이의 위쪽에 있는 서버로부터 잘못된 응답 메시지를 전송받았다는 것을 의미한다. HTTP 503(Service Unavailable, 서비스를 사용할 수 없음) : 클라이언트의 요청 메시지에 대해서 현재 서버의 과부하나 서버의 오류 동작 때문에 서버가 잠시 동안 요청을 받을 수 없거나 처리할 수 없는 상태임을 나타내는 Status Code이다. 서버가 오버로드 되었거나 유지관리를 위해 다운되었기 때문에 현재 서버를 사용할 수 없다. 이는 대개 일시적인 상태이다.
IP(Internet Protocol)에는 오로지 패킷을 목적지에 도달시키기 위한 내용들로만 구성되어 있음. 따라서 정상적으로 목적지 호스트에 도달하는 경우에는 IP로서 통신을 성공하고 종료되므로 아무런 문제가 없음. 그러나 만일 전달해야 할 호스트가 꺼져 있거나 선이 단절될 경우 같은 비정상적인 경우에 이 패킷 전달을 의뢰한 출발지 호스트에 이러한 사일을 알려야 하지만 IP에는 그러한 에러에 대한 처리 방법이 명시되어 있지 않음. 이러한 IP의 부족한 점을 보안하기 위하여 사용되는 것이 바로 ICMP 임.
ICMP는 해당 호스트가 없거나 해당 포트에 대기 중인 서버 프로그램이 없는 등 에러 상황이 발생할 경우 IP 헤더에 기록되어 있는 출발지 호스트로 이러한 에러에 대한 상황을 보내주는 역할을 수행함. 물론 이 외에도 메시지를 제어하는 추가적인 기능들이 있음.
( 2 ) ICMP 패킷 구조
8 바이트의 헤더와 데이터 부분으로 구성됨.
Type 필드 : ICMP 메시지 타입
Code 필드 : ICMP 메시지 타입별로 추가적인 코드 제공
Checksum 필드 : ICMP 헤더의 손상여부 확인
Data Section 필드 : 오류보고 및 질의에 따라서 다름
( 3 ) ICMP Type 유형
Type
Name
0
Echo Reply (Echo응답)
1
Unassigned
2
Unassigned
3
Destination Unreachable (목적지 도달 불가)
4
Source Quench (Deprecated) (출발지 억제)
5
Redirect (경로 변경)
6
Alternate Host Address (Deprecated)
7
Unassigned
8
Echo Request (Echo 요청)
9
Router Advertisement
10
Router Solicitation
11
Time Exceeded (시간 초과)
12
Parameter Problem (파라미터 문제)
13
Timestamp (타임스탬프 요청)
14
Timestamp Reply (타임스탬프 응답)
15
Information Request (Deprecated) (정보 요청)
16
Information Reply (Deprecated) (정보 응답)
17
Address Mask Request (Deprecated)
18
Address Mask Reply (Deprecated)
19
Reserved (for Security)
20-29
Reserved (for Robustness Experiment)
30
Traceroute (Deprecated)
31
Datagram Conversion Error (Deprecated)
32
Mobile Host Redirect (Deprecated)
33
IPv6 Where-Are-You (Deprecated)
34
IPv6 I-Am-Here (Deprecated)
35
Mobile Registration Request (Deprecated)
36
Mobile Registration Reply (Deprecated)
37
Domain Name Request (Deprecated)
38
Domain Name Reply (Deprecated)
39
SKIP (Deprecated)
40
Photuris
41
ICMP messages utilized by experimental mobility protocols such as Seamoby
42-252
Unassigned
253
RFC3692-style Experiment 1
254
RFC3692-style Experiment 2
255
Reserved
참고로 Type 은 그 기능에 따라 Qurey 와 Error 로 나뉘지며 몇몇 Type 은 고유의 필드 구조를 가짐.
① Record Protocol : 데이터 암호화, 무결성을 위한 MAC 생성, 상호 인증서 교환 및 검증의 역할, 상위계층 프로토콜의 캡슐화, MD5, SHA-1를 사용한다. ② Handshake Protocol : 세션 정보와 연결 정보를 공유, 보안인수의 결정, 인증, 협상된 보안인수의 설명 및 에러 조건의 보고를 위한 프로토콜이다. ③ Alert Protocol : 메시지의 암호화 오류, 인증서 오류 등을 전달하는데 사용된다. ④ Change Chiper Spec Protocol : 서버와 클라이언트 상호 간의 cipher spec 확인을 위해 메시지를 교환하는데 사용된다.
주 DNS(Domain Name System) 서버와 보조(Secondary) DNS 서버가 존재할 때 주 도메인의 Zone 정보를 보조 도메인으로 효과적으로 동기화 시킬 수 있는 방법이다. 주 DNS 서버의 Zone 정보가 변한 부분만 보조 DNS 서버로 복사할 수 있도록 하여 네트워크의 트래픽을 줄이고 더 빨리 DNS 정보가 업데이트 되도록 할 수 있다.
Zone Transfer 는 네임서버의 Master 와 Slave 간에 또는 Primary와 Secondary DNS 간에 Zone 파일을 동기화하기 위한 용도로 사용되는 기술이다. Slave 서버는 정기적으로 Master 서버에 접속을 시도해 해당 Zone 파일의 시리얼을 서로 비교해 보고 상황에 따라 Zone 파일을 전송받는다. 그런데 별도의 설정을 하지 않은 경우 기본적으로 Zone Tranfer는 모든 IP에 대해 허용되어 있어 누구나 접근 가능하다.
① 스크리닝 라우터(Screening Router) IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷 프래픽을 Perm/Drop하는 라우터이다.
② 배스천호스트(Bastion Host) 내부 네트워크 전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치한다. Lock Down(폐쇄) 된 상태에 있으며 인터넷에서 접근이 가능한 서버이다.
③ 듀얼 홈드 호스트(Dual-Homed Host) 2개의 네트워크 인터페이스를 가진 배스천호스트로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결된다. 방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 떄문에 프록시 기능을 부여한다.
④ 스크린드 호스트(Screened Host) 패킷 필터링 호스트와 배스천호스트로 구성되어 있다. 패킷 필터링 라우터는 외부 및 내부 네트워크에서 발생하는 패킷을 통과시킬 것인지를 검사하고 외부에서 내부로 유입되는 패킷에 대해서는 배스천호스트로 검사된 패킷을 전달한다. 배스천호스트는 내부 및 외부 네트워크 시스템에 대한 인증을 담당한다.
⑤ 스크린드 서브넷(Screened Subnet) 스크린드 호스트의 보안상 문제점을 보완한 모델이다. 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 분리하기 위한 구조이다.
L2F(Layer 2 Forwarding) ① Cisco에서 제안하였다. ② 원격 사용자의 홈 사이트에 주소가 할당, 사용자 인증은 홈 사이트의 게이트웨이에서 이루어진다. ③ 접속 서버(Access Server)는 주어진 도메인과 사용자 ID가 VPN 사용자인지 여부만을 검정한다.
PPTP(Point-to-Point Tunneling Protocol) ① Microsoft에서 개발하였다. ② PPTP 터널에 다이얼 업(Dial-Up) PPP 패킷을 캡슐화하였다. ③ 두 게이트웨이 또는 사용자와 게이트웨이 사이에서 사용자 패스워드 확인을 통한 인증과 암호화된 통신을 지원하기 위해 개발되었다. ④ PPTP 인증 중 사용자 인증은 MS-CHAP(PPP) 인증을 사용한다. ⑤ 하나의 터널에 하나의 연결만을 지원한다. ⑥ TCP 연결을 사용하여 IP, IPX, NetBEUI 트래픽 암호화 및 IP 헤더를 캡슐화하고 인터넷을 경유하여 전송한다. ⑦ RC4 알고리즘을 사용한다. ⑧ 주소 부분은 암호화 하지 않는다. ⑨ 6 Byte 헤더를 사용한다.
특정 Web Application을 위한 보안 프로토콜이 아닌 일반적인 인터넷 환경에서 웹 브라우저와 웹 서버 사이에서 연결형식으로 동작하는 전자상거래 보안 프로토콜이다. 넷스케이프사에서 전자상거래 등의 보안을 위해 개발하였으며 특히 전송계층(Transport Layer)의 암호화 방식이기 때문에 HTTP, FTP, Telnet, NNPT, XMPP 등 응용계층(Application Layer) 프로토콜의 종류와 관계없이 사용할 수 있다.
Netscape에서 개발한 프로토콜이다. 암호문 전송을 위해 RSA 공개키 알고리즘을 사용하고, X.509 인증서를 지원, 443번 포트를 사용하고, Transport Layer ~ Application Layer에서 동작(http, FTP, telnet, mail)한다. 비밀성, 무결성, 인증의 3가지 보안 서비스를 제공한다.
사용되는 프로토콜 ① Record Protocol : 데이터 암호화, 무결성을 위한 MAC 생성, 상호 인증서 교환 및 검증의 역할, 상위계층 프로토콜의 캡슐화, MD5, SHA-1을 사용한다. ② Handshake Protocol : 세션 정보와 연결 정보를 공유, 보안인수의 결정, 인증, 협상된 보안인수의 설명 및 에러조건을 보고하기 위한 프로토콜이다. ③ Alert Protocol : 메시지의 암호화 오류, 인증서 오류 등을 전달하는 데 사용된다. ④ Change Chiper Spec Protocol : 서버와 클라이언트 상호 간의 Cipher Spec 확인을 위해 메시지를 교환하는데 사용된다.
