| 유용한 네트워크 방해 탐지시스템인 ┖Snort┖ 활용하기 | 2008.01.30 | ||||
Knoppix-NSM은 CD에서 네트워크 보안감시 시스템을 완성시킬 수 있다.
스노트에 완벽한 보안감시 장치가 없기 때문에 장비를 통합해 사용하는데 어려움이 있는 것은 사실이다. 스노트는 베이스 콘솔과 함께 사용되고 있지만, 웹에 기초한 다른 콘솔들처럼 속도가 떨어지고 실시간 경고를 제공하지 않으며, 분석을 제한하기도 한다. 이러한 문제를 해결할 수 있는 방법이 있다. 시큐릭스라이브(Securixlive.com)의 자료개발팀은 스노트에 근거한 통합 네트워크 보안감시 패키지 ‘노픽스-엔에스엠(Knoppix-NSM)’을 내놨다. Knoppix-NSM은 라이브CD와 디스트로를 이용해 빠르고 안전하게 설치할 수 있으며, 하드 드라이브 설치를 선택하기 전에 모든 장치를 시험하는 CD에서 라이브세션을 수행한다. 특히 완성된 오픈소스 침입보호 시스템 기반을 제공해 스노트를 설치하기 전에 네트워크의 흐름과 네트워크 보안상태를 미리 분석할 수 있도록 한다. 또한 컨설팅 기업 타오시큐리티(TaoSecurity) 설립자인 리차드 베츠리츠(Richard Bejtlich)가 ‘타오의 네트워크 보안 모니터링’에서 발표한 뱀 비셔(Bamm Visscher)의 분석콘솔 ‘스귈(Sguil)’도 포함돼 있다. 완성된 패키지 Knoppix-NSM은 Sguil, 스노트에 Ntop, SANCP, Wireshark, BASE 등의 장치도 포함된다. 데비안(Debian)을 선호하는 사람들은 데비안과 모질라(Mozila)의 스팻에서 시작된 새 파이어폭스 브라우저인 ‘데비안 아이스웨슬(Debian Iceweasel)을 사용하면 된다. Knoppix-NSM 패키지에 어떤 기능이 포함됐으며, 담당자들이 스노트를 활용해 네트워크 보안감시를 수행할 수 있는지 살펴보도록 한다. 스노트(Snort) IDS에 익숙한 사람이라면 누구나 스노트가 보안담당자에게 친숙한 기준이 될 수 있다는 것을 알 수 있다. Knoppix-NSM은 Barnyard와 SANCP를 이용해 스노트의 기능을 향상시킨다. Barnyard는 데이터의 손실을 막기 위해 스노트의 통합된 출력신호를 읽어 데이터베이스 연결성을 즉각 감시하는 장치이다. 통합된 출력신호란 스노트에 보내는 세 개의 출력신호 기능 중 하나로, 페이로드(payload)가 이동하는 경로의 스노트 엔진을 경감시켜 진행속도를 향상시킨다. SANCP는 보안분석, 네트워크 연결 분석장치로, 스노트와 동시에 세션정보로 설명된 표시문자와 기록, 정체 규칙을 사용하는 인터페이스에 대한 네트워크 소통을 회복시킨다. SANCP는 스노트 유출 4 예비처리장치가 TCP 소통을 다시 모으는 곳으로, UDP와 ICMP 소통을 증가시켜 세션 정보를 증가시킨다. 이것은 분석 콘솔의 나머지로부터 Sguil을 분리하는 기능이다. 스노트와 콘솔에서 검토할 수 있는 모든 SANCP 기록을 포함하는 실제 테이블은 Sguil에서 DB테이블을 합쳐서 만든다. 스귈(Sguil) 국제 공개소프트웨어 프로젝트 등록사이트(Sourceforge.net)는 Sguil에 대해 “네트워크 보안 분석가를 위해, 네트워크 보안 분석가에 의해 만들어졌다”고 말한다. Sguil은 NSM 사용자를 위한 콘솔이며, ‘NSMWiki’을 통해 지속적으로 기능을 향상시키고 있다. 일부 사용자들은 Sguil을 설치하고 설정한 후 고정시킬 수 있는 것을 요구했으며, Knoppix-NSM은 즉각적인 분석을 통해 완전히 설정할 수 있도록 해주었다. 웹을 기반으로 한 콘솔은 위협의 심각성이 아니라 계수에 의해 경고를 하기 때문에 한 두 번의 경고를 해결하는데 어려움을 겪게 되는 경우가 있다. 이러한 문제도 Sguil에서 해결할 수 있다. 리차드 베츠리츠의 ‘The Tao of Network Security Monitoring’은 Sguil을 평가하면서 “모든 종류의 데이터에 접근할 때 관련정보를 빠르게 검색할 수 있으며, 즉각적이고 상호 연결할 수 있다”고 밝혔다.
베이스(BASE) 베이스는 기초 분석과 보안 기능을 가진 엔진으로, 웹에 기초한 콘솔의 기준이 되고 있다. 웹을 기반으로 하는 콘솔은 기본적으로 속도가 느리기 때문에 기업에서는 베이스의 사용을 꺼린다. Knoppix-NSM가 Barnyard를 위해 통합되고 베이스를 위한 로그를 갖지 않으면 스노트를 느리게 할 수 있다. 베이스는 위험을 증명하거나 교육을 위해 사용할 수 있지만, 이를 수행하는데 드는 비용도 만만치 않다. 베이스는 콘솔에서 이용할 수 있는 기능이 Sguil보다 적다. 그러나 웹을 기반으로 하는 콘솔의 편의성은 인정해야 한다. 여기에서 지적한 베이스의 단점은 Sguil과 함께 작동하는 경우에 대한 여러 가지 견해 중 하나이다. 엔탑(Ntop) 브라우저에 기초한 엔탑이나 네트워크탑은 네트워크에서의 다양한 상황을 설명한다. 스노트에서 분리돼 작동하는 ‘독립형 적용 엔탑’은 Knoppix-NSM에서 통계분석 기능을 수행한다. 이를 통해 프로토콜과 기준에 따른 네트워크 소통을 정리해 보여주고 소통 통계를 배열, 저장하며, 소스와 목적에 따른 네트워크 소통을 정리해 보여준다. 또한 소통통계를 배열, 저장한 후 소스·목적에 따른 OS, IP 프로토콜 사용을 기록한다. 이는 투자를 회수하고, 사용과 설치를 용이하게 해 엔탑 자체만으로 설치기준이 될 수 있다.
다용도 장치 IDS를 사용하는 조직은 효율적인 사용을 위해 Knoppix-NSM을 사용한다. 빠른 전개 위협이 되는 사이트를 제거하기 위해 스노트가 빠르게 전개돼야 한다. 이는 위험을 막기 위한 최소한의 보안시스템으로 방화벽을 꼽는 것과 같은 기본적인 내용이다. 관리허가와 네트워크 기술을 이용해 Knoppix-NSM을 작동시키고 코어 네트워크 스위치에서 SPAN 포트에 연결한다. 보호·감시·유지가 원활하게 이루어지는 네트워크를 만들기 위해 시스템 전반의 개선이 요구된다면, 빠른 결정이 필요하다. 즉각적인 콘솔 스노트를 잘 관리해 원활하게 수행되도록 하기 위해 콘솔을 추가해야 할 때가 있다. 콘솔의 특성을 비교해 더 나은 방법을 찾을 때 많이 이용된다. NSM을 사용하는 사람들은 다른 콘솔을 사용할 때 보다 Sguil을 이용할 때 더 유용하다고 말한다.
배우기 그리고 시험 Knoppix-NSM을 익히고 테스트하며, 교육하기가 쉽다. Knoppix-NSM을 세팅할 때 하드웨어를 비롯해 고려해야 하는 여러 가지 요소가 있다. Knoppix-NSM은 작동하는 중앙서버에 공격이 가해지고, 이를 방어하는 방법을 테스트해 볼 수 있다. 테스트에 참여하는 팀의 절반은 Knoppix-NSM을 거쳐 Sguil 콘솔을 작동하고, 다른 사람들은 실제 공격을 가한다. 몇 대의 노트북과 컴퓨터만 있다면, 네트워크를 안전하게 보호하는 방법을 아랫사람들에게 쉽게 보여줄 수 있다. 시큐릭스라이브는 Knoppix-NSM을 매우 유용한 라이브CD라고 평가한다. 시큐릭스라이브는 SIM/SEM가 Securix-NSM으로 바뀔 때 까지 더 많은 분석장비를 내놓을 것이다. 프로젝트 개발자들은 고객들의 요구에 따라 제품을 생산한다. 이들은 유연성이 뛰어난 모듈러 라이브CD 환경에서 작업해 왔다. 시큐릭스라이브는 Knoppix-NSM v1.2에서 더 발전된 모습을 보여줄 수 있을 것이라고 약속하고 있으며, 패치관리와 하드 드라이브 설치를 보다 쉽게 하고 빠르게 통합할 수 있을 것이라고 한다. 또한 Knoppix-NSM를 신속하게 배치하고 쉽게 사용할 수 있어 위협 네트워크 환경에 대해 알 수 있다. <글: 러스 맥리(Russ Mcree)> Copyright ⓒ 2006 Information Security and TechTarget
[정보보호21c (info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||||
 |
