호스트 침입 방지 시스템의 호스트 침입 방화벽 시스템

이러한 공격은 CERT, SANS, CSI 등 국제 네트워크 보안 기구의 가장 위협적인 공격 유형 목록에 자주 등장한다. 버퍼 오버플로를 통한 공격은 모든 시스템 공격의 80% 이상을 차지하는 것으로 집계됐다. 이것은 시스템에 침투하는 공격 기술이다. 한 프로그램의 입력 데이터가 프로그램 버퍼가 처리할 수 있는 길이를 초과하면 오버플로우되어 프로그래머의 통제를 받지 않는다는 것이 기본 원리입니다. 침입자가 코드를 교묘하게 편성할 때, 공격받는 서버도 침입자가 지정한 프로그램 코드를 실행할 수 있어 공격자가 시스템의 수퍼유저의 권한을 얻을 수도 있다. 예를 들어, 1980 년대 모리스 웜 사건으로 인해 당시 인터넷에서 1/3 대의 컴퓨터가 마비되었습니다. UNIX 의 Finger 서비스를 이용하는 버퍼 오버플로우 취약점이었습니다. 200 1 code red 바이러스가 단 몇 시간 만에 전 세계에 퍼지면서 수십억 달러의 손실이 발생했으며 Windows server 플랫폼에서 IIS 서비스를 사용하는 버퍼 오버플로 취약점이 발생했습니다. 2003 년 SQL Slammer 웜과 2004 년 충격파도 이 허점을 이용했다. 왜 이렇게 많은 공격이 있었을까? 주된 이유는 현재 시스템 프로그래밍에서 널리 사용되고 있는 C 언어의 일부 함수에 허점이 있어 이러한 허점이 널리 퍼져 있어 철저히 조사하기가 어렵기 때문이다.

현재 이런 공격을 막을 수 있는 방법은 여러 가지가 있다. 첫째, 프로그램에 빈틈을 넘긴 패치를 하는 것이다. 이것은 가장 일반적인 예방 방법이며, 효력을 발휘하기 위해서는 프로그램 공급업체가 제공하는 해당 패치에 의존해야 합니다. 그러나 사이버 공격이 잦아짐에 따라 취약점 발견부터 대규모 공격에 적용하는 데 걸리는 시간이 크게 단축됩니다. 종종 프로그램 공급업체가 적절한 패치를 발표하기 전에 공격이 이미 발생했다. 그래서 이 방법은 매우 수동적이어서 새로운 허점의 침입을 막을 수 없다. 둘째, 운영 체제 설정을 통해 버퍼를 실행할 수 없게 하여 공격자가 공격 코드를 이식하는 것을 방지합니다. 이 접근법의 주요 문제점은 처음에는 기존 어플리케이션과 충돌이 발생할 수 있으며 오버플로우 공격에 대한 예방도 포괄적이지 않다는 것입니다. 일부 공격에는 공격 코드의 이식 과정이 필요하지 않기 때문이다. 셋째, 전용 컴파일러를 사용하여 오버플로를 방지하여 검사 프로그램을 컴파일합니다. 이것은 비교적 완벽한 보호 조치이지만, 매우 높은 시간과 비용의 대가를 치러야 한다.

이러한 방법 중 어느 것도 실제 비즈니스 시스템에서 원활하게 사용할 수 없습니다. 호스트 침입 방지 시스템은 스택 오버플로우 공격을 방지하는 또 다른 실행 가능하고 구현하기 쉬운 방법을 제공합니다. 호스트 침입 방지 시스템에는 이러한 침입을 방지하고 사용자나 프로그램이 수퍼유저 권한을 획득하는 것을 방지하는 STOP (스택 오버플로우 보호) 기술이 있습니다.

모든 버퍼 취약성 마이닝 프로그램은 프로그램이 실행될 때마다 스택에 푸시되는 문제가 있는 매개변수의 데이터 주소 공간 오프셋이 일정하거나 차이가 적다는 가정을 기반으로 합니다. 운영 체제가 프로그램이 실행 중일 때 애플리케이션에 무작위 오프셋을 정의하고 할당한 경우, 이 결함 프로그램용으로 특별히 설계된 오버플로우 프로그램은 악성 구조의 셸 코드로 점프하는 대신 잘못된 ret 주소를 반환합니다. 대부분의 버퍼 오버플로우 프로그램도 조정 가능한 오프셋 변수를 제공할 수 있지만 결함이 있는 각 프로그램은 런타임 시 무작위화된 오프셋을 가지므로 마지막으로 실패한 오버플로우 추측을 통해 얻은 주소 공간과 내용은 다음 조정의 오프셋 수정을 안내하지 않습니다. 호스트 침입 방지 시스템은 운영 체제 커널을 변경하지 않고 같은 수준에서 작동하는 STOP 기술을 제공하여 시스템 커널을 수정하지 않고 이러한 기능을 동적으로 구현하는 임의 오프셋을 정의하고 할당하는 데 도움이 됩니다.

이러한 예방 조치를 통해 사용자는 알려진 유형과 알 수 없는 유형의 푸시 스택 오버플로우 공격에 대해 강도 높은 예방 조치를 취할 수 있을 뿐만 아니라 기존 운영 체제와 어플리케이션을 수정할 필요가 없으므로 기존 시스템의 지속적인 운영을 보장하고 투자를 보호할 수 있습니다. 정보 변조는 정보의 무결성을 훼손하며 침입자의 공격 목적이다. 정보 변조는 주로 정보 전송에서의 변조와 정보 저장소에서의 변조의 두 가지 형태로 이루어집니다. 정보 전달의 변조는 주로 온라인 거래 과정에서 발생하며 거래 쌍방에 심각한 경제적 손실을 초래할 수 있다. 네트워크 디바이스의 제어 정보를 조작하면 네트워크 작업 이상이 발생할 수 있으며 정보 전송 채널이 변경되어 누출될 수도 있습니다. 이런 공격의 예방은 주로 쌍방이 정보를 교환하는 암호화, 디지털 서명, 강력한 검증에 의존한다. 정보 스토리지 변조는 가장 일반적인 공격 수단이며, 중요한 비즈니스 서버의 데이터 변경으로 인해 업무 운영이 제대로 되지 않는 경우가 많습니다. 웹사이트의 홈페이지와 같은 핵심 문건을 변조하면 공격받는 사람의 이미지 손실과 잠재적인 경제적 손실을 초래할 수 있다. 예를 들어, 온라인 거래 단위의 웹 페이지가 변조되면 침입이 중요한 거래 데이터를 위협하지 않더라도 많은 고객이 손실될 수 있습니다. 또 다른 가장 위협적인 공격 수단은 실행 가능한 프로그램을 변조하는 것이다. 침입자는 시스템의 원본 실행 파일을 조작하여 많은 파괴적인 목적을 달성할 수 있다. 예를 들어, 증권 거래 시스템이나 은행 시스템을 불법적으로 수정하는 절차를 통해 막대한 이익을 얻을 수 있습니다. 일부 주요 어플리케이션을 조작하여 시스템이 제대로 작동하지 않습니다. 그러나 가장 일반적인 변조 목적은 관리자나 사용자가 자주 사용하는 일부 어플리케이션을 조작하여 침입자가 배치한 트로이 목마 프로그램을 정상 작동 외부에서 실행하도록 하는 것입니다. 이렇게 하면 관리자나 사용자의 눈에는 시스템이 정상적으로 작동하지만 트로이 목마 프로그램이 무의식적으로 실행되어 뒷문이 열리게 됩니다. 이러한 침입의 결과는 매우 심각하여 심각한 정보 유출을 초래할 수 있다.

호스트 침입 방지 시스템의 솔루션은 근본 원인부터 시작하여 자원의 제어 세분성을 크게 구체화하는 것입니다. UNIX 든 Windows server 운영 체제든 파일 및 디렉토리에 대한 보안 권한은 매우 제한적입니다. 그러나 호스트 침입 방지 시스템을 통해 파일 및 디렉토리에 대한 액세스 제어를 크게 향상시킬 수 있습니다. 그림과 같이 읽기, 쓰기, 실행 외에도 라이센스 유형에 삭제, 이름 바꾸기, 모드 변경, 소유자 변경, 시간 업데이트, ACL 변경, 작성, 디렉토리 변경 등 8 가지 라이센스가 추가되어 관리자에게 각 계정에 가장 적합한 방식으로 리소스를 허가하여 과도한 권한 부여로 인한 것을 방지할 수 있는 충분한 권한 부여 공간을 제공합니다 동시에, 동일한 계정은 서로 다른 응용 프로그램을 사용하여 리소스에 액세스하며 다양한 수준의 액세스 권한을 얻을 수 있으므로 일부 업계의 특수한 요구에 큰 편의를 제공합니다.

파일 사용 권한을 세부적으로 제어함으로써 권한 부여로 인한 정보 변조 이벤트를 크게 줄일 수 있습니다. 그러나 중요한 정보가 변조되는 것을 철저히 방지하기 위해 호스트 침입 방지 시스템은 일반 파일, 데이터 파일 및 실행 파일의 무결성을 검사할 수 있는 디지털 서명 기능도 제공합니다. 특히 UNIX 의 suid 및 sgid 유형 프로그램은 침입자 공격의 주요 목표입니다. 일반 파일 및 데이터 파일이 예기치 않게 변경되면 호스트 침입 방지 시스템이 경고합니다. 실행 파일이 예기치 않게 변경되면 호스트 침입 방지 시스템이 자동으로 실행 파일 실행을 거부하고 경고를 보냅니다. 이런 식으로 불법 침입자가 대상 파일을 조작해도 그 목적은 성공하기 어렵다. 물론 이러한 중요한 파일이 호스트 침입 방지 시스템의 파일 보호 기능에 의해 보호된다면 침입자는 불법 변조의 목적을 달성할 수 없습니다. 트로이마 (이하 트로이마) 영어 이름은 트로이마인데, 이름은 고대 그리스의 트로이마 포위 이야기에서 따온 것이다. 모두가 잘 알고 있다고 믿습니다. 바로 이런 오래된 포위 공격 방식이 흥미진진한 인터넷 침입 방식이 되었다.

첫째, 호스트 침입 방지 시스템에는 동일한 사용자가 서로 다른 응용 프로그램을 사용하여 동일한 리소스에 액세스할 때 서로 다른 권한을 얻을 수 있는 PACL (프로그램 액세스 제어 목록) 기능이 있습니다. 즉, 몇 가지 중요한 자원에 대해서는 호스트 침입 방지 시스템의 기능을 활용하여 서로 다른 애플리케이션에 대한 액세스를 제한하고 알려진 합법적인 애플리케이션만 이러한 리소스에 액세스할 수 있도록 할 수 있습니다. 따라서 침입자가 공격받는 서버에서 트로이 목마 프로그램을 실행하더라도 트로이 목마 프로그램은 중요한 정보를 훔칠 필요가 있을 때 호스트 침입 방지 시스템의 보안 검증을 통과해야 합니다. PACL 은 트로이 목마 프로그램을 정의할 수 있는 액세스 권한이 없기 때문에 기본 권한으로 액세스할 수 없어 트로이 목마 정보 도용을 방지하는 역할을 합니다.

또한 컴퓨터가 네트워크에 접속하면 하나로 융합되어 전반적인 보안에 대한 책임을 져야 한다. 위의 분석을 통해 트로이 목마는 로컬 정보를 훔칠 뿐만 아니라 침입자가 로컬 컴퓨터를 통해 DDoS 공격과 같은 네트워크의 다른 컴퓨터에 침입할 수 있다는 사실을 알게 되었습니다. 미국 정부법에 따르면 보안 문제가 있는 컴퓨터 소유자는 한 컴퓨터의 보안 문제로 인해 직접 발생하는 다른 네트워크로 연결된 컴퓨터의 침입에 대해 책임을 져야 합니다. 현재 다른 나라들도 점차 관련 규정을 내놓고 있다. 따라서 인터넷에서 명철 보신의 자기보호 전략만으로는 충분하지 않다. 트로이 목마에 이식된 서버가 침입자의 발판과 꼭두각시가 되는 것을 막기 위해 호스트 침입 방어 시스템은 네트워크 액세스 제어 기능도 갖추고 있다. 네트워크 액세스 제어 규칙은 누가 언제, 언제, 언제, 어디서 어떤 서비스에 액세스할 수 있는지 정의할 수 있을 뿐만 아니라, 더 중요한 것은, 그 시스템이 어떤 유형의 네트워크 연결을 보낼 수 있는지를 정의할 수 있다. 이렇게 하면 규칙에 맞지 않는 어떤 링크도 이 기계에서 발송되지 않을 것이다. 예를 들어, 레드 팀이 범람하면 IIS 서비스를 실행하는 많은 서버가 바이러스에 감염된 후 네트워크를 광범위하게 스캔하여 TCP 80 포트가 열려 있는 상태에서 잠재적인 공격자를 찾습니다. 하지만 웹 서버의 이런 행동은 분명히 매우 비정상적이다. 따라서 호스트 침입 방어 시스템에 체인 유형을 정의함으로써 트로이 목마가 일으키는 외부 공격, 특히 DDoS 공격의 꼭두각시가 되는 것을 근본적으로 피할 수 있다. 많은 주요 비즈니스 환경에서는 몇 가지 더 중요한 서비스가 실행되고 있을 것입니다. 예를 들어, 서버의 HTTP 서비스 또는 데몬이 중요한 전자 상거래 거래 웹 사이트입니다. 백그라운드 지원 환경에서 실행되는 데이터베이스 서버에서 데이터베이스 데몬은 이 서버의 영혼입니다. 마찬가지로, 새로운 유료 사서함 서비스 공급자의 경우 백그라운드 메일 서버에서 SMTP 서비스가 갑자기 중지되면 사용자를 유치하기가 더 어려워집니다. 따라서 정보사회의 초석은 핵심 서버에서 실행되는 각종 서비스다. 서비스가 중지되면 상위 응용 프로그램에는 기초가 없습니다. 운영 체제에서 이러한 주요 서비스는 백그라운드 프로세스로 존재합니다.

현재 가장 많이 공격받고 있는 서비스는 HTTP, SMTP 및 데이터베이스 프로세스이며, 물론 다른 주요 서비스 프로세스도 있습니다. 침입자가 이러한 프로세스를 중지하는 방법에는 일반적으로 두 가지가 있습니다. 하나는 이러한 서비스의 일부 취약점을 사용하여 침입하는 것이고, 다른 하나는 운영 체제에서 프로세스를 중지할 수 있는 권한을 먼저 얻는 것입니다. 일반적으로 수퍼유저의 권한입니다. 그런 다음 프로세스를 중지합니다.

프로세스의 보안은 전적으로 운영 체제에서 제공하는 보안 수준에 따라 달라집니다. 일반적으로 워치독 기술은 주로 프로세스가 중단되는 것을 방지하는 데 사용된다. 소위 Watchdog 는 감시견이라는 뜻으로, 주요 역할은 프로세스를 관리하고 프로세스가 예기치 않게 중단되는 것을 방지하는 것이다. 일부 예상치 못한 요인으로 인해 프로세스가 비정상적으로 중단된 경우 Watchdog 는 모니터링되는 프로세스를 짧은 시간 내에 신속하게 다시 시작할 수 있습니다.

호스트 침입 방지 시스템은 이런 감시견 기능을 가지고 있다. 실제로 호스트 침입 방지 시스템 자체에서 제공하는 서비스는 세 가지 프로세스를 기반으로 합니다. 운영 체제를 보호하기 위해 호스트 침입 방지 시스템은 먼저 자신의 프로세스가 예기치 않게 종료되는 것을 방지하기 위해 자신을 보호해야 합니다. 실제 작업에서 이 세 가지 프로세스는 각자의 기능을 완성하고 서로 지켜주는 관계를 가지고 있다. 즉, 프로세스 1 은 프로세스 2 의 감시견, 프로세스 2 는 프로세스 3 의 감시견, 프로세스 3 은 프로세스 1 의 감시견이다. 이렇게 하면 프로세스 중 하나가 예기치 않게 중지되면 항상 한 프로세스가 다시 시작됩니다. 비상시 두 프로세스가 동시에 예기치 않게 중단되더라도 나머지 프로세스는 다른 프로세스를 시작한 다음 마지막 프로세스를 시작할 수 있습니다. 따라서 호스트 침입 방어 시스템의 이 보안 메커니즘은 자기 보호뿐만 아니라 핵심 서비스 프로세스의 보안에도 매우 엄격합니다. 수퍼유저의 존재는 관리자에게 큰 편리함을 가져다 주었다. 로그인하면 모든 관리 작업을 완료하고 모든 명령을 실행하며 모든 시스템 유지 관리를 수행할 수 있습니다. 그러나 동시에, 수퍼유저가 할 수 있는 모든 것을 할 수 있는 슈퍼권한 때문에 많은 번거로움을 초래했다.

첫째, 침입자의 공격에 관계없이 관리자가 정상적인 작업을 수행할 때만 수퍼 권한이 많은 문제를 야기합니다. 수퍼유저를 사용하여 로그인한 후에는 관리자가 다양한 작업을 수행할 때 주의해야 합니다. 시스템의 많은 동작은 되돌릴 수 없으며, 관리자가 사람의 실수로 부적절하게 작동하면 돌이킬 수 없는 손실을 초래할 수 있습니다. 특히 중요한 비즈니스 서버 시스템에서는 이러한 치명적인 오류가 자주 발생하며, 언론에서도 관련 보도를 자주 볼 수 있습니다. 통계에 따르면 관리자의 인적 실수는 전체 네트워크 시스템에서 가장 큰 보안 위협 중 하나입니다. 사실, 일부 작업은 수퍼유저의 허가 없이 할 수 있지만, 대부분의 사람들은 슈퍼유저 계정으로 로그인하기로 합니다. 가장 근본적인 원인은 아마도 편의를 위해 큰 잘못을 초래한 것 같다.

둘째, 운영 체제에 수퍼유저를 설정하는 것은 무리다. 일반적으로 관리자는 시스템의 정상적인 작동을 유지 관리하고, 다양한 계정을 설정 및 유지 관리하며, 자원에 대한 액세스 권한을 할당하는 등의 작업을 담당합니다. 일반적으로 서버에 저장된 일부 기밀 정보를 읽거나 수정하거나 삭제할 권한이 없습니다. 그러나 실제로 수퍼 유저 권한을 가진 사람들은 이러한 데이터를 자유롭게 처리할 수 있으며 암호화된 데이터도 쉽게 파기되거나 삭제될 수 있습니다. 이것은 정상적인 보안 정책에 부합하지 않으며, 몇 가지 조치를 통해 통제해야 한다.

마지막으로, 침입자의 세계에서는 새로운 중요한 시스템의 수퍼사용자 신분을 얻는 것보다 더 좋은 것은 없을 것이다. 거의 모든 공격의 궁극적인 목적은 시스템 수퍼유저의 계정 이름과 비밀번호를 얻는 것과 거의 동일한 공격받는 시스템에 대한 완전한 제어권을 얻는 것입니다. 암호 해독, 스택 오버플로, 네트워크 도청 등 , 모두 이것을 겨냥한 것이다. 일단 슈퍼유저 권한이 부여되면 침입자는 이러한 일련의 동작을 수행할 수 있을 뿐만 아니라 비밀번호 인증 없이도 다른 사람의 신분으로 자유롭게 전환할 수 있습니다. 자신의 행동에 대한 모든 감사 기록을 마음대로 지워서 감사원이 조사할 수 없게 할 수 있다. 물론, 수퍼유저의 존재도 사이버 보안 인원을 난처한 상황에 처하게 한다. 방화벽이 얼마나 견고하든, IDS 가 얼마나 잘 관찰하든, 암호화 알고리즘이 얼마나 진보했든 간에, 침입자가 수퍼유저의 허가를 받으면 이 모든 것은 쓸모가 없다.

이러한 상황에 대처하기 위해 호스트 침입 방지 시스템은 운영 체제 수준에서 수퍼유저의 권한을 재할당하고 모든 사용자를 동등하게 취급하여 수퍼유저의 개념이 시스템에 더 이상 존재하지 않도록 합니다. 분권화 후 각 관리자는 다른 특권 없이 자신의 책임 범위 내에서 일할 수 있습니다. 예를 들어, 보안 관리자는 자원을 할당할 수 있는 권한을 가질 수 있지만 로그를 임의로 삭제할 수는 없습니다. 보안 감사자의 역할은 로그를 분석하여 모든 사용자의 의심스러운 행동을 발견하지만 다른 모든 시스템 권한은 갖지 않는 것입니다. 그것은 금고에 세 개의 자물쇠를 넣는 것과 같다. 너는 열쇠 하나만으로 금고 안의 물건을 가져갈 수 없다. 사용자가 원하는 대로 중앙 집중화할 수 있도록 호스트 침입 방지 시스템은 작업 위임 인터페이스를 제공하여 일반 사용자가 일부 수퍼유저만 수행할 수 있는 권한을 가질 수 있도록 보다 세밀하게 구성합니다. 권한 할당과 미세 조정을 통해 관리자의 인위적인 조작을 크게 방지할 수 있으며 침입자가 한 계정의 소유권을 얻으면 횡포할 수 있는 것을 막을 수 있습니다.

시스템의 활동을 보다 신중하고 정확하게 추적하기 위해 호스트 침입 방지 시스템은 원래 로그인 ID 를 기준으로 감사를 수행하는 기능을 제공합니다. 즉, 등록자가 나중에 su 를 통해 전환한 로그인 ID 번호에 관계없이 활동은 항상 원래 로그인 ID 로 로그에 기록되며 침입자는 루트 비밀번호를 받아도 로그를 파괴할 수 없습니다. 또한 호스트 침입 방지 시스템은 ID 사용 권한을 하나의 자원으로 관리합니다. 즉, 한 계정에 su 에서 다른 계정으로 이동해야 하는 경우 호스트 침입 방지 시스템의 승인을 받아야 합니다. 그렇지 않으면 성공하지 못할 것입니다. 루트 사용자가 su 를 다른 계정으로 갖고 싶어도. 이로 인해 ID 전환을 통한 허위 공격이 크게 줄어듭니다.

호스트 침입 방지 시스템은 견고한 보안 시스템과 새로운 보안 설계 개념을 기반으로 안정적인 운영 기능, 강력한 보안, 다양한 UNIX 플랫폼 및 Windows 서버 플랫폼에 큰 보안을 제공하며 메인프레임 보안 메커니즘과 호환됩니다. 이 시스템은 중요한 서버 자원을 보호하는 중요한 보안 도구이며, 점점 더 사용자의 중시를 받고 있다.

물론 호스트 침입 방지 시스템이 제공하는 보호 조치는 주로 서버 자원 및 행동 보호에 초점을 맞추고 있으며 모든 보안 제품을 대체할 수는 없습니다. 방화벽, 안티바이러스, 네트워크 침입 탐지 시스템, VPN 등 호스트 침입 방지 시스템을 보완하는 것입니다. 핵심 서버의 보호와 전체 네트워크 아키텍처의 보호를 합리적으로 결합해야만 우리의 네트워크 공간에 가장 완벽한 보장을 제공할 수 있다. 바이러스, 웜, 침입 및 기타 위협의 혼합 위협을 감안할 때 호스트 침입 방지 시스템은 의심 할 여지없이 핵심 자원에 대한보다 적극적인 방어 방법을 제공 할 것입니다.

上篇: 중고 컴퓨터를 사려면 무엇을 어떻게 보는지 주의해야 한다 下篇: 고속도로 교량 충돌 가드레일?