침입탐지시스템 (IDS) - 이글X

침입탐지시스템 (IDS) - 이글X 

 침입탐지시스템(IDS)란?

: Computer 나 정보 System의 비정상적인 사용,오용,남용 등과 같은 잠재적인 침입 시도등을 총괄해

인가 받지 않는 사용자의 침입 시도나 잠재적인위협에 실시간으로 탐지가 가능한 System을 의미 합니다.

IDS 기능 

- 비정상 행위의 통계적분석

- 알려진 공격 패턴 인식

- 중요 데이터의 무결성 평가

- 환경 및 취약점 검사

- 시스템 감시 분석

- 정책 위반 행위의 인식 

IDS 작동 방식

1. 탐지 방식에 따른 분류

 (1) 오용탐지방식 (misuse detection)

- 알려진 공격이나 보안정책 위반하는 행위 패턴을 찾음

- Pattern Matching 기법을 사용

- 알려진 취약점 Data Base를 보유

- 취약점 DB의 업데이트 필수

- 새로운 침입 유형에 대한 탐지 불가능

(2) 이상탐지방식 (anomaly detection) 

- 과도한 False Positive 발생

- 알려지지 않는 공격 탐지 가능

- 특정한 공격이 아닌 '정상에서 벗어남'으로 탐지

- 비정상으로 보이는 행위 패턴을 찾음

- 정해진 Vector를 벗어난 행위를 탐지 

(3) Hybrid 방식

- 오용 탐지 방식과 이상 탐지 방식의 혼합

- 일반적으로 오용탐지(90%) + Anomaly(10%) 정도의 비율로 사용

2. 탐지 위치에 따른 분류 

(1) Host Bases Detection 

- System의 Data 를 이용해 침입 탐지

 - System Log 파일

 - 순차적인 System Call

 - 침입 성공 / 실패 탐지

 - System 의 활성화된 사용자나 프로세스 감시

 - 능동적인 대응 가능

[장 점]

: NIDS 가 탐지 하지 못한 공격 탐지 가능

 우회 가능성이 거의 없음

[ 단 점]

: 모든 개별 Hos에 설치해야 하는 관리의 부하 증가

  각 Host 의 부하 가중 

(2) Network Based Detection

- Network Based Detection

- Network 트래픽 수집

- 대상 시스템의 운영 환경과는 독립적으로 운영

[ 장 점 ]

: HIDS가 탐지하지 못하는 공격 탐지

[ 단 점 ] 

: 다양한 우회 가능성 존재

  탐지된 침입에 성공 여부 확인 불가 

침입탐지시스템(IDS) - Eagle X 설치 및 사용

▲ 이글X을 다운받아서 설치 합니다.

클릭만 하면 되니 설치는 간단 합니다.

▲ EagleX 기본설정을 해줍니다.

[ 옵션 설명 ] 

DNS / IP : 분석ㆍ보고용 웹 서버 주소로 로컬 Loopback 주소 사용

Port : Web Server 접속에 사용할 포트번호로 8877번 사용

Administrator E-mail Address : 관리자 E-mail 주소

Username / Password : 웹 서버 접속에 사용되는 계정 / 비밀번호

Home Network : 침입탐지 대상이 되는 Network 주소 명시

Primary / Secondary DNS Server : DNS 서버 명시

Interface Number : 침입 탐지용 패킷을 수집하는 NIC 선택  

▲  Hacker PC에서 ping 을 최대 크기로 보내봅니다.

ping -l 65500 -t 192.168.0.1  (뒤에 IP주소는 IDS가 설치된 시스템 IP)

▲  IDS에서 빨간색 게이지가 쭈~우욱 찬것을 확인 할 수 있습니다.

▲  상세 보고서로 확인이 가능 합니다.