IDS(침입 탐지 시스템)
관제
host based ids -> 백신과 유사
passive한 특성이 있음
특정 시스템의 상태를 면밀히 검사함
취약성이 알려진 패키지의 설치 여부 등을 검사
시스템 보안 패치의 적용 여부 등을 검사
사용자 패스워드 검사
특정 시스템에 대한 매우 상세한 검사 결과를 얻을 수 있음
network-based 도구에서 얻을 수 없는 취약점을 발견
host-based 취약점 분석 도구 ex) tripwire.NMAP
단점
특정 기기 또는 기관의 정확한 시스템 구성을 알아야 함
툴의 기능 향상이나 다른 시스템에 적용이 어려움
network based ids ->
일반적으로 Active한 특성이 있음
이미 알려진 다양한 공격 시나리오를, 점검하고자 하는 시스템에 적용하여 취약점을 검사
다양한 시스템에 대한 취약점 분적이 가능함
특정 기기에 의존하지 않으므로 설치 및 시험이 용이
검사 대상 시스템에 설치할 필요가 없다(현실적으로 중요)
단점
특정 시스템에 대한 정보가 부족하므로 host-based 도구보다 부정확한 결과를 얻을 수 있음
네트워크 동작과 성능에 영향을 줄 수 있다 (dos 등의 점검 시)
침입을 위한 사전 공격 도구로 사용될 가능성 존재
hybrid ids
낮은 버전의 패키지인지 아닌지 탐지
---------
호스트 기반 H-IDS
단점 여러 호스트 설치에 따른 비용 증가
dos 공격에 취약
os종류에 따른 ids제품설치
장점 nids보다 정확한 탐지
backdoor 탐지 가능
서버의 로그 직접 참조
암호화 공격 탐지 가능
특징 감시하고자 하는 호스트에 설치되며, 감사(audit)에 의해서 생성되는 로그를 감시
--------------
네트워크 기반 N-IDS
단점 backdoor탐지 불가
대용량의 네트워크에서 packet 누수현상
암호화 공격 탐지 불가능
장점 네트워크 별 또는 backbone에 설치 함으로써 설치비용 절감
실시간 탐지와 대응
os독립적 구현 및 관리
특징 감시하고자 하는 네트워크에 설치되며, 흘러가는 패킷을 보며 감사를 수행
backbone -> 네트워크에 있는 최상위 스위치
--------
hybrid-IDS
시스템 보호 및 네트워크 보호를 동시에 수행하며 많은 리소스가 필요하기 때문에
대용량 네트워크 맞지 않는 시스템
----------------
snort의 특징
source 크기가 작다
여러 시스템에 porting되어 있다
configuration 기능이 많다
rule based 로 탐지 엔진을 갖춘다
rule signature를 형성한다
rule 시스템이 유연하고 새로운 rule의 생성 적용이 간단하다
시그니처 기반 바이러스, 악성코드 탐지 -> 오탐의 가능성이 있다
스노트설치사용법.txt-------------
IPS
'Network' 카테고리의 다른 글
| limitations and Evasion techniques for IDS (0) | 2015.03.27 |
|---|---|
| 802.11 weakness (0) | 2014.10.20 |
| many types of dos attacks (0) | 2014.09.30 |
| sidejacking and hping3 (0) | 2014.09.29 |
| SSL sniffing in a console and https status (0) | 2014.09.26 |
