'침입탐지'에 해당되는 글 3건

  1. 2011.04.08 Snort 2.9.0.5 is available for download!
  2. 2009.02.27 시스템 침입탐지 및 무결성 도구 (1)
  3. 2009.01.08 침입탐지 공격패턴 분석 특효약 허니팟(Honey Pot) / 허니넷(Honey Net)
2011.04.08 09:46

Snort 2.9.0.5 is available for download!


This is the changelog for Snort 2.9.0.5:

  * src/build.h:
      Increment Snort build number to 134
  * src/: decode.h, encode.c:
  * src/dynamic-plugins/sf_engine/: sf_snort_packet.h:
  * src/preprocessors/: spp_sfportscan.c, spp_frag3.c:
  * src/output-plugins/: spo_alert_fast.c:
  * src/preprocessors/Stream5/: stream5_common.c:
      Updated portscan to set protocol correctly in raw packet for
      IPv6 and changed the encoder to recognize portscan packets as pseudo
 packets so that the checksum isn't calculated
  * src/: sfdaq.c, util.c:
      Improve handling of DAQ failure codes when Snort is shutting down.
  * src/preprocessors/spp_perfmonitor.c:
      Update perfmonitor to create now files prior to dropping privs
  * src/build.h:
      Increment Snort build number to 132
  * src/snort.c:
  * src/preprocessors/: normalize.c, perf-base.c, perf-base.h,
    Stream5/snort_stream5_tcp.c:
      TCP timestamp options are only NOPed by the Normalization preprocessor
      if Stream5 has seen a full 3-way handshake, and timestamps weren't
      negotiated.

      The IPS mode reassembly policy has been refactored to do stream
      normalization within the first policy.

      Packets injected by the normalization preprocessor are now counted
      in the packet statistics.
  * doc/snort_manual.tex:
  * src/: parser.c, parser.h:
  * src/preprocessors/: spp_frag3.c, Stream5/snort_stream5_session.c:
      Added a "config vlan_agnostic" setting that globally disables Stream's
      use of vlan tag in session tracking.
  * src/: snort.c, preprocessors/normalize.c,
    preprocessors/spp_normalize.c, preprocessors/spp_normalize.h,
    preprocessors/perf-base.c, preprocessors/perf-base.h:
  * doc/: README.normalize, snort_manual.pdf, snort_manual.tex:
      Fixed the normalization preprocessor to call its post-initialization
      config functions during a policy reload.

      Packets can no longer be trimmed below the minimum ethernet frame
      length. Trimming is now configurable with the "normalize_ip4: trim;"
      option. TOS clearing is now configurable with "normalize_ip4: tos;".

      The "normalize_ip4: trim" option is automatically disabled if the
      DAQ can't inject packets. If the DAQ tries and fails to inject
      a given packet, the wire packet is not blocked.

      Updated documentation regarding these changes.
  * src/detection-plugins/sp_cvs.c:
      Fixed a false positive in the CVS detection plugin. It was incorrectly
      parsing CVS entries that had a '+' in between the 3rd and 4th slashes.
  * src/preprocessors/HttpInspect/: client/hi_client.c,
    server/hi_server.c:
      Changed a pointer comparison to a size check for code readability.
      Belated thanks to Dwane Atkins and Parker Crook for reporting a
      related issue that was fixed in Snort 2.9.0.4 build 111.

      Moved the zlib initialization such that gzipped responses are still
      inspected if the zipped data starts after the first Stream-reassembled
      packet is inspected.
  * src/decode.c:
      Fixed an issue with decoding too many IP layers in a single packet. The
      Teredo proto bit was not unset after hitting the limit on IP layers.
      Thanks to Dwane Atkins for reporting this issue.

      IPv6 fragmented packets are no longer inspected unless they have an
      offset of zero and the next layer is UDP. This behavior is consistent
      with IPv4 decoding.
      Thanks to Martin Schütte for reporting an issue where fragged ICMPv6
      packets were being inspected.

      The decoder no longer attempts to decode Teredo packets inside of
      IPv4 fragments, instead waiting for the reassembled packet.
  * src/encode.c:
      Fixed a problem where encoded packets had their lengths calculated
      incorrectly. This caused the active response feature to generate
      incorrect RST packets if the original packet had a VLAN tag.
  * preproc_rules/preprocessor.rules:
      Updated references to rule 125:1:1
  * src/preprocessors/spp_perfmonitor.c:
      Perfmonitor files are now created after Snort changes uid/gid.
  * src/dynamic-plugins/sf_preproc_example/sf_dynamic_preproc_lib.c:
      Fixed the size formatting of an error message argument when
      compiling with --enable-rzb-saac.
      Thanks to Cleber S. Brandão for reporting this issue.
  * etc/snort.conf:
      Updated the default snort.conf with max compress and decompress
      depths to enable unlimited decompression of gzipped HTTP responses.
  * snort.8:
      Fixed the man page's URL regarding the location of Snort rules.
      Thanks to Michael Scheidell for reporting an out-of-date man page section.
  * doc/README.http_inspect, doc/snort_manual.tex,
    src/preprocessors/snort_httpinspect.c:
      HTTP Inspect's "unlimited_decompress" option now requires that
      "compress_depth" and "decompress_depth" are set to their max values.
  * src/: fpcreate.c, dynamic-plugins/sf_dynamic_define.h,
    dynamic-plugins/sf_dynamic_engine.h,
    preprocessors/Stream5/snort_stream5_tcp.c:
      Fixed an error that prevented compiling with --disable-dynamicplugin.
      Thanks to Jason Wallace for reporting this issue.
  * src/dynamic-preprocessors/ftptelnet/: snort_ftptelnet.c,
    snort_ftptelnet.h, spp_ftptelnet.c:
      Changed the names of ProcessGlobalConf() and PrintGlobalConf() inside
      the ftp_telnet preprocessor to avoid a naming conflict with similar
      functions in HTTP Inspect.
      Thanks to Bruce Corwin for reporting this issue.
  * src/preprocessors/: perf.c, perf-base.c, perf-base.h, perf-flow.c,
    perf-flow.h:
      Fixed comparisons between signed and unsigned int, which lead to
      a faulty length check.
      Thanks to Cihan Ayyildiz and Jason Wallace for helping us debug this
      issue.

Download Snort v2.9.0.5 (snort-2.9.0.5.tar.gz/Snort_2_9_0_5_Installer.exe) here.



Trackback 0 Comment 0
2009.02.27 14:07

시스템 침입탐지 및 무결성 도구

1. Tripwire ( http://www.tripwiresecurity.com )

Tripwire은 자신의 linux시스템을 외부의 크래커 공격과 내부의 악의적인 사용자의 공격으로부터 자신의 linux시스템을 지켜내는 마지노선과 같은 역할을 하는 프로그램이다. 자신의 시스템이 방화벽과 다른 보안수단으로 보안을 강화하고 있다고 하더라도 어느 순간 크래커나 내부사용자에 의해 시스템이 침투되어 질 수 있다. 침투한 크래커나 악의적인 내부사용자들은 다음을 위해 백도어를 만들어 놓거나, 시스템 파일을 변경해 놓거나, 아니면 지난번 야후나 아마존등 유명한 사이트을 공격할 때 사용되어진 DoS attack 프로그램등과 같은 악의적인 프로그램을 설치하여 크래커의 중간공격기지 역할을 하게 할 수도 있다.

- 관련글 : 보안프로그램 tripwire을 돌려보자

               리눅스 파일시스템의「무결성 점검하기」 

 

2. aide ( http://sourceforge.net/projects/aide )

"AIDE (Advanced Intrusion Detection Environment)", Tripwire(tm)를 대신할 수 있는 도구로 파일의 무결성을 검사하는데 사용한다. 메시지 다이제스트 알고리즘을 사용하여 파일이 변조되었는지를 점검할 수 있다.

- 관련글 : AIDE를 이용한 시스템 무결성 구축

 

3. claymore  ( http://linux.rice.edu/magic/claymore )

침입탐지 및 무결성 모니터링 도구로 크론테이블을 이용하여 주기적으로 파일시스템의 변조유무를 확인하고 변조되었을 경우 관리지에게 메일로 통보해 주는 기능이 있다.

- 관련글 : 원격 침입탐지 시스템 - Claymore

 

4. samhain (http://la-samhna.de/samhain )

시스템의 무결성을 점검하는 도구로 여러 시스템을 관리할 수 있는 수단을 제공한다. 각 각의 호스트에서 실행되는 모니터링 에이전트와 이러한 에이전트로부터 정보를 수집하는 중앙 로그서버로 구성된다.

- 관련글 : 파일 무결성 체크/IDS 툴-Samhain

 

5. slipwire http://packet.node.to , freshmeat.net/projects/slipwire.pl )

"slipwire.pl", 파일시스템의 무결성을 검사하는 도구로 파일의 SHA-1 hashes값을 비교하여 변경될 경우 사용자에게 경고하는 기능이 있다. 또한 파일 사이즈, uid, 화일 변경시간등도 검사한다.

- 관련글 :http://www.securitymap.net/stm/stm_system.html

 

6. Fcheck (http://www.geocities.com/fcheck2000 )

유닉스 파일시스템의 변조유무를 점검하기 위한 PERL script 도구로 syslog. console 등로 관리자에게 파일시스템 변화를 경보해 준다. "tripwire"와 비슷한 도구로 보다 설치 및 운영이 쉽다.

- 관련글 : Fcheck 를 이용한 호스트 무결성 점검

               간단하면서도 막강한 파일 무결성 체크 프로그램 Fcheck

 

7. TAMU ( ftp://net.tamu.edu/pub/security/TAMU/ )

택사스의 A&M대학에서 개발된 넘이다. 특성은 트로이를 찾는것 외에도 네트웍 모니터링 및 팻킷필터링등도 제공한다.

- 관련글 : IT보안해설서 유닉스 보안

 

8. ATP

Tripwire와 유사한 서비스를 제공한다.

 

9. Hobgoblin

파일 무결성과 시스템 무결성을 검사, COPS와 Tripwire 합쳐놓은 것과 유사, 프로그래밍 언어, 인터프리터 처럼 사용

- 관련내용 : Linux Security 



10. sXid ( http://www.phunnypharm.org/pub/sxid )

MD5 체크섬을 사용하여 suid, sgid파일을 추적 루트키트가 설치되어있는지 검사.
Cron작업형태로 수행 자동으로 파일을 추적 경고

- 관련글 : sXid 를 이용한 파일시스템 감시(퍼미션) 감시하기

               sxid - s(ug)id 파일검색 프로그램

 

참고 : SecurityMap, Google


Trackback 0 Comment 1
  1. 김종형 2017.03.17 10:49 신고 address edit & del reply

    제가 필요로 하던 정보라 요긴하게 활용하겠습니다.

2009.01.08 13:25

침입탐지 공격패턴 분석 특효약 허니팟(Honey Pot) / 허니넷(Honey Net)

허니팟은 해커나 스팸, 바이러스 등의 외부 침입에 대응하는 시스템인 동시에 역추적을 할 수 있는... 일명 낚시 죠.

허니팟을 구성하기 위해서는 필요한 조건이 있는데요,

그 조건은 아래와 같습니다.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

1. 허니팟의 조건

 1) 쉽게 해커에 노출되어야 한다.

 2) 쉽게 해킹이 가능할 것 처럼 구성해야 한다.

 3) 시스템을 구성하는 요소를 모두 갖추어야 한다.

 4) 시스템을 통과하는 모든 로그&패킷에 대한 분석이 가능해야 한다.

 5) 시스템 이벤트 발생시 관리자 및 모니터링 요원에게 즉각 연락이 취해져야 한다.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

2. 허니팟의 위치

 1) 방화벽 앞(front)

     - 장점 : 내부 네트워크 보호에 우수함.

     - 단점 : 쓸데없는 데이터가 많이 쌓임.(효율성 저하)

 2) 방화벽 뒤(back)

     - 장점 : 효율성이 높아짐.

     - 단점 : 내부 네트워크의 위험도 증가.

                  honey pot에서 많은 서비스를 제공하는 것처럼 설정되기 때문에, 패킷의 흐름 및 네트워크에 장애가 발생할 수 있음.

                  즉, 내부 보안 수준의 감쇠 효과.

 3) DMZ

      - 일반적인 DMZ의 장단점과 유사하나, 설치시 시간이 많이 걸리고 관리자의 피로도 급증.

      - 무엇보다 내부 Server/Network와의 연결을 철저히 막아야 함.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

3. 허니팟의 구성

 허니팟의 구성시 반드시 필요한 요소는 다음과 같습니다.

 1) IDS(침입탐지시스템)

       - IDS의 경우는 대부분 방화벽 다음에 위치하며 내부 네트워크 보호를 위해 작동됩니다.

 2) Log Server(로그 서버)

       - 방화벽 > IDS > 허브(network장비) 하단에 위치하며 로그를 기록합니다.

       - Log Server의 경우 Unix / Linux를 많이 사용함.(관리자의 요구에 따라 정밀한 로그를 남기기 쉽기 때문.

 3) Honey Pot(Server/PC 등)

       - Log Server와 같은 위치에 놓이며(허브 다음) 외부 침입/해킹에 샌드백 역할을 합니다.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

4. 허니팟의 핵심 요소

 1) Logging

       - Data Capture

       - Data Collection

       - Data Control

 2) '장치'와 '레벨'

       - Facility : 특정 분야의 로그와 관련.

       - Level : 장치의 상태를 나타냄.

       - etc/syslog.conf 에서 수정 가능함.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

5. 구현 방법

       - 장점 : 설치가 용이하며, 비용 절감 효과

       - 단점 : 먹통이 되면 허니넷 전체가 정지. (-_-;)

★ win svr 2008이 출시되면서 VMware보다 효과적인 방법 구현이 가능할 것 같습니다.

     실제 WMware보다 2008의 가상화가 더 효율적이라고(~카더라) 하더군요. 전 안써봐서 모르겠네요.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

이런 허니팟이 모여 허니넷(honey net)을 이루게 됩니다.

주 목적은 내부 중요 시스템의 보호, 해킹 기법 연구, 공격의 회비, 정보보호에 대한 경각심 등이 있겠구요,

기본적으로 네트워크의 규모가 좀 커야합니다.(대학교 정도 client가 있거나, 상위급 이상의 보안을 요구하는 서버들이 많거나 하면 됩니다.)


[출처]
《해커스컬리지/해커스칼리지/해커대학》커뮤니티。


Trackback 0 Comment 0