|
:: 게시판
:: 이전 게시판
|
- PGR21 관련된 질문 및 건의는 [건의 게시판]을 이용바랍니다.
- (2013년 3월 이전) 오래된 질문글은 [이전 질문 게시판]에 있습니다. 통합 규정을 준수해 주십시오. (2015.12.25.)
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
18/03/15 22:37
(수정됨) IPS는 수백 수천개의 패턴을 장비가 저장하고 있구요. 이 탐지패턴과 임계치를 가지고 네트워크상에 지나가는 패킷들을 검사합니다.
그리고 특별히 출발지나 대상을 예외처리 하지 않았다면 IPS를 지나가는 모든 패킷이 검사대상입니다. 간단히 예를 들자면 아래와 같습니다. 예1) A라는 탐지패턴과 일치하는 패킷이 5초안에 1회 지나가면 차단 혹은 탐지한다. 예2) TCP Syn flag의 패킷이 5초에 100회 지나가면 차단 혹은 탐지한다. (탐지의 경우는 로그만 발생시키고 아무 조치를 취하지 않습니다.) (차단의 경우는 출발지와 목적지 1:1로 n분동안 차단한다. 출발지 1: 목적지N으로 n분동안 차단한다. 해당 패킷만 드랍시킨다. 등등 몇가지 방법이 있습니다.) IPS는 기본적으로 패턴 기반이기 때문에 오탐의 발생 가능성이 항상 존재합니다. 그리고 오탐이 발생하면 탐지 패턴 설정에 따라 차단이 발생할 수도 있구요. 그래서 모니터링을 하면서 오탐이 발생하면 1. 즉시 차단을 해제시켜준다던가 2. 예외처리를 해준다던가 3. 임계치를 조절해준다던가 4. 우리 환경에는 필요없는 패턴이라면 off시켜준다던가 5. 우리 환경에는 요런 사용자 정의 패턴을 넣어줘야겠어 라는 식의 최적화 작업이 필수적입니다. 장비 설치후 모든 패턴을 '탐지' 로만 설정한다면 차단은 발생하지 않겠습니다만 IPS 로그에 대한 모니터링을 통해 실제 공격을 구분해 내는 작업들은 필요할것으로 생각됩니다. 탐지모드인데 모니터링까지 하지 않는다면 사실상 장비 설치의 의미가 없는거라서요.
18/03/15 23:20
댓글 감사합니다. 그럼 혹시 hts 거래도 기본적으로 탐지대상이 되는건가요? 웹사이트만 해당되는건지.. hts는 예외인지.. 궁금합니다 댓글감사드려요
18/03/15 23:35
(수정됨) ips를 통과하는 모든 패킷(인/아웃 전부)이 탐지 대상이 됩니다
ips는 설정에 따라 기계적으로 탐지 차단을 할뿐 지나가는 데이터의 용도를(hts 데이터인지 웹사이트 데이터인지) 구분하진 못합니다
18/03/15 23:58
감사합니다.. 그럼 hts를 이용해서 매매를 하다가 공격으로 오인(?) 해서 IPS에 의해 시스템 기능이 정지할 수도 있는거라고 보면 될까요?
18/03/16 00:05
(수정됨) 네 차단될 가능성이 있습니다.
방화벽처럼 영구적으로 막는건 아니고 1분, 10분 이런식으로 잠깐씩 차단될수가 있습니다. 그런 경우를 줄이기 위해 모니터링을 통해 패턴에 대한 설정을 최적화하는 작업이 필수적입니다.
18/03/16 00:18
답변 달아주셔서 많은 도움이 되고 있습니다.. 그러면 차단 패턴 리스트를 수동적으로 수정할 수 있다는 말씀이신가요?
지속적으로 특정 데이터 패턴이 발생하는데 이를 공격으로 오인한다면, 이 데이터 패턴을 차단 리스트에서 제외할 수 있나요? 그렇다면 보안상의 문제가 생기는 건지.. 어렵습니다. 댓글은 잘 보고 있습니다.
18/03/16 00:26
(수정됨) 각 탐지패턴별로 설정을 할수가 있습니다.
1. '탐지만' or '탐지+차단' 설정을 할 수 있습니다. 2. IP 예외처리가 가능합니다. (출발지 1 : n 목적지 / 출발지 n : 1 목적지 / 출발지 1:1 목적지 등등) 3. 탐지패턴 자체를 On/Off 할수있습니다. 4. '외부->내부', '내부->외부' 이런식으로 각 방향에 대해서만 탐지를 On/Off할수 있습니다. 5. 임계치를 조절할수가 있습니다. (5초동안 1회만 발생해도 탐지-> 5초동안 10회 발생할 경우 탐지) 탐지가 되면 RawData라고 해서 탐지된 패킷 1개를 증거로 보관합니다. 남겨진 RawData를 보고 정탐, 오탐을 판단해야하는데 전, 후 없이 딱 탐지된 패킷 1개만 보고는 판단하기 애매한 경우도 사실 많습니다. 결국 사람이 판단해야할 문제죠
18/03/16 00:31
그럼 지속적으로 어떤 프로그램을 이용하다가 특정 패턴이 계속 탐지되어 차단될 경우, 이걸 off시키면 더이상 차단되지 않겠네요.. 그런데 통상적으로 보안시스템의 탐지 패턴 리스트?는 계속 업데이트되나요? 그럼 하나의 패턴을 off시켰다고 해서 또 차단되지 말라는 법은 없다고 이해하면 될지.. 이게 마지막 질문이 될 것 같습니다. 탐지 패턴 리스트는 회사의 정책상 혹은 규정상 정해져 있고 임의로 수정하면 안 되는 건지, 자동적으로 보안시스템 등을 통해 업데이트 및 추가되고 하나의 패턴을 off시켜도 또다른 패턴에 미래에 걸릴 가능성이 존재하는건지.. 마지막 질문입니다! 답변정말 감사합니다
18/03/16 00:37
(수정됨) 1.네, 해당 패턴을 off 시키면 탐지 자체가 되지 않습니다.
(보통은 IP 예외처리를 많이 합니다.) 2. 유지보수 계약이 되어있다면 업데이트 서버를 통해 자동으로 신규 패턴 업데이트가 됩니다. 3. 하나의 패턴을 off 시켜도 다른 패턴에서 오탐이 발생할 가능성도 있습니다. 4. 패턴에 대한 수정은 보통은 보안담당부서에서 하는 경우가 많습니다. 5. 보안 취약점이 발생하면 제조사에서 새로운 패턴을 업데이트 시켜주는 경우가 있습니다. 새로운 패턴이 업데이트 되면 거기서 오탐이 발생할 가능성 또한 있습니다. 누군가는 지속적으로 로그를 모니터링하고 관리해줄 필요성이 있습니다.
18/03/16 00:42
썰렁쇠 님// 감사합니다!! IP예외를 시키면 발생하는 보안문제가 있겠지만 어쟀든 IP예외를 시키면 차단되는 일은 없겠네요.. 감사합니다
|
||||||||||