서버 보안 SW 설치 및 운영

서버 보안 SW 설치 및 운영

취약점 분석 도구

취약점 분석

취약점 분석은 일정한 보안 수준을 유지하기 위해서 정기적으로 수행해야 하며, 새로운 소프트웨어나 서비스가 추가되는 경우 혹은 새로운 장비를 구매하여 네트워크를 확장했을 때도 취약점 분석을 실시해야 함

취약점 분석 도구

SATAN(Security Analysis Tool for Auditing Networks)

• 해커와 똑같은 방식으로 시스템에 침입, 보안상의 약점을 찾아 보완할 수 있는 네트워크 분석용 보안 관리 도구. 해커에게 노출될 수 있는 약점을 사전에 발견, 이에 대한 보완 조치를 하도록 해주는 소프트웨어

SARA

• SATAN이 업데이트 되지 않는 상황에서 SATAN을 기반으로 개발된 취약점 분석 도구로 네트워크 기반의 컴퓨터, 서버, 라우터, IDS에 대한 취약점 분석, 유닉스 플랫폼에서의 동작, HTML 형식의 보고서 기능이 있음

SAINT

• 유닉스 플랫폼에서 동작하는 네트워크 취약점 분석 도구로서 HTML 형식의 보고서 기능이 있음. 원격 취약점 점검 기능이 있음

COPS

• 유닉스 플랫폼에서 동작하며 시스템 내부에 존재하는 취약점을 점검하는 도구로서 취약한 패스워드를 체크함

Nessus

• 클라이언트-서버 구조로 클라이언트의 취약점을 점검하는 기능이 있음. 사용이 자유롭고 플러그인 업데이트 등이 쉬움. HTML 등 여러 형태로 결과를 리포트 해줌

nmap

• 포트 스캐닝 도구로 TCP connect 방식뿐만 아니라 stealth 모드로 포트 스캐닝하는 기능을 포함함

무결성 점검

개요

파일 무결성 점검 도구는 정상적인 상태의 디렉터리 및 파일 정보를 백업하고 있다가 점검 수행 시점의 정보와 백업한 정보를 비교하여 변경된 사항을 점검하는 도구임

트립와이어(Tripwire)는 유닉스/리눅스 환경에서 파일시스템 무결성을 점검하는 대표적인 도구로 오픈소스 버전과 상용 버전이 있음

MD5, SHA, CRC-32 등의 다양한 해시 함수를 지원하고, 파일에 대한 데이터베이스를 만들어 이를 통해 공격자들에 의한 파일들의 변조 여주를 판별함

특징

한 가지 더 고려해야 할 사항은 시그니처 역시 공격의 대상이 된다는 점임. 공격자는 컴퓨터상의 시그니처 베이스를 찾아서 파괴하려고 하므로 반드시 보호되어야 함. 이를 위해서 다른 장치에 시그니처 베이스를 처장하거나 복사본을 둘 수 있음

파일 무결성 검사기는 데이터 파일의 보호에는 적절하지 않음. 데이터 파일은 자주 변경되기에 데이터 파일의 시그니처는 자주 재계산되어야 함. 이때 어떤 파일변환이 정상적인 것이고 어떤 것이 공격에 의한 것인지의 구분이 모호해지게 됨

동작 방식

최초 설정 파일에 등록된 파일 및 디렉터리의 해시값을 생성하여 데이터베이스에 저장함

주기적으로(스케줄링) 트립와이어가 동작하면서 기존 데이터베이스에 저장된 해시값과 현재 각 파일 및 디렉터리의 해시값을 비교함

비교 결과 값이 다를 경우 변경 내역을 출력하여(리포트) 관리자가 이를 확인함

스캔 탐지

스캔 탐지 도구

mscan

• 메인 전체를 스캔하여 그 도메인 안에 있는 wingate, test-cgi, NFS exports, statd, named, ipopd, imapd 등 최근 많이 이용되는 주요 취약점을 한 번에 스캔할 수 있는 해킹 도구임

sscan

• mscan을 업데이트하여 개발한 유닉스/윈도우 시스템에 대해 네트워크를 통하여 취약점 점검을 수행할 수 있는 도구로, 공격용으로 많이 활용되고 있음

portsentry

• 실시간으로 포트 스캔을 탐지하고 대응하기 위한 프로그램으로 정상적인 스캔과 stealth 스캔을 탐지할 수 있으며, 스캔 로그 남기기, 공격호스트를 /etc/hosts.deny 파일에 기록하여 자동 방어, 공격 호스트를 경유하여 오는 모든 트래픽을 자동 재구성하는 기능이 있음

침입탐지 및 방화벽

네트워크 모니터링 및 침입탐지 도구

Snort

• 실시간 트래픽 분석과 IP 네트워크에서의 패킷 처리를 담당하는 공개 소스 네트워크 침입탐지시스템(IDS)임
• 프로토콜 분석, 콘텐츠 검색 및 조합 작업을 할 수 있으며, 버퍼 오버플로우, 은폐형 포트 스캔, CGI 공격, SMB(Server Message Block) 프로브, OS 핑거프린팅 시도와 같은 다양한 공격을 감지할 수 있음
• 유연한 언어 사용으로 트래픽을 분석하며 모듈화된 탐지 엔진을 지원하고 실시간 경고 기능도 지원함

방화벽

TCP-Wrapper

• TCP-Wrapper는 네트워크 서비스에 관한 트래픽을 제어하고 모니터링할 수 있는 UNIX 기반의 방화벽 툴임
• 임의의 호스트가 서비스를 요청해 오면 실제 데몬을 구동하기 전에 접속을 허용한 시스템인지 여부를 확인하여 호스트명 및 서비스명을 로그에 남긴 다음, 허가된 시스템에는 서비스를 제공하고 허가되지 않은 경우에는 접속을 차단해 주는 도구임

IPchain/IPtable

• IPtable은 패킷 필터링 방화벽으로, 패킷 필터란 네트워크를 통과하는 모든 것이 패킷의 형태를 가지며, 패킷의 앞부분에는 패킷이 어디서 왔는지 어디로 향하는지, 어떤 프로토콜을 이용하는지 등과 같은 정보를 가지고 있음