리눅스 방화벽

 * 들어가며..  스노트 규칙을 항상 깔끔하게 변활할 수는 없으며, 스노트 규칙 언어는 매우 복잡하기 때문에 fwsnort는 스노트 버전 2.3.3 에 포함된 규칙의 약 60% 정도를 변환할 수 있다.  fwsnort가 전체 스노트 서명 집합을 iptables 규칙으로 변활할 수는 없지만 fwsnort 는 항상 네트워크 트래픽에 인라인으로 배치된다. 스노트는 주로 수동적 전략으로 배치되며 네트워크 트래픽에서 수상한 활동을 감시하는 […]

Continue reading about 9.스노트 규칙을 iptables 규칙으로 변환

pchero on July 5th, 2010

 * 침입 방지와 능동적 응답  오늘날 나와 있는 다양한 보안 제품, 기술, 솔루션에서 침입 탐지라는 용어는 큰 주목을 받아왔다. 이러한 주목의 대다수는 이 용어가 주는 지나치게 강한 의미에서 나온것으로 보인다. 물론 보안 침부를 사전에 방지한다는 개념 자체가 장점이 없다는 뜻은 아니다. 다만 침입 탐지 기술은 호스트 수준 스택 강화 기법(http://pax.grseurity.net 의 PaX 프로젝트 참조)에서부터 악의적인 […]

Continue reading about 8.psad를 이용한 능동적 응답

 * 스노트 규칙을 사용한 공격 탐.  iptables 로깅 형식은 매우 완전하기 때문에 psad는 애플리케이션 계층 기준이 없는 스노트 규칙과 매칭되는 트래픽을 탐지할 수 있다. 예를 들어 다음과 같은 스노트 규칙을 생각해보자. 이 규칙은 출발지 포트가 10101이고 승인 값이 0이며 SYN 플래그가 설정됐고, IP 헤더의 TTL 값이 220보다 큰 TCP 패킷을 찾는다. alert tcp $EXTERNAL_NET 10101 […]

Continue reading about 7.psad 고급 주제: 서명 매칭에서 OS 핑거프린팅까지

pchero on July 1st, 2010

 * psad를 이용한 포트 스캔 탐지.  TCP/IP 슈트 전체를 모두 구현하면 대규모의 복잡한 코드가 되며, 이러한 복잡도는 정탐 시도에서 서비스 거부 공격에 이르는 모든 공격의 좋은 목표가 된다.  포트 스캔은 원격 목표에서 정보를 얻기 위한 중요한 기술로 psad는 기본적으로 리눅스 시스템을 위한 고급 포트 스캔 탐지 기능을 제공할 목적으로 개발됐다.  3장에서와 마찬가지로 시스템을 포트 스캔하기 […]

Continue reading about 6.psad 동작: 수상한 트래픽 탐지.

pchero on October 14th, 2009

 * 역사  psad 소프트웨어 프로젝트는 1999년 가을, 바스티유 개발팀이 바스티유가 경량의 네트워크 침입 탐지 컴포넌트를 제공해야 한다고 결정했을 때 Bastille 리눅스의 일부로 시작했다. 당시 피터 왓킨스는 지금까지도 Bastille 와 함께 제공되는 매우 뛰어난 방화벽 스크립트를 개발 중이었으므로 방화벽 로그가 제공하는 정보에 기반한 IDS 도구를 개발하는 것은 자연스러운 다음 작업이었다. 또 당시 PortSentry(http://sourceforge.net/projects/sentrytools 참조)에는 기본 버리기 […]

Continue reading about 5. psad 소개