[논문]공개 보안 도구를 이용한 리눅스 기반 통합 보안 시스템의 설계 및 구현

전용희; 김민수; 장정숙

doi:10.3745/kipstc.2004.11c.4.485

문제 정의

cgi를 스크립트로 작성 후 추가한다((그림 8) 참조, Fcheck와 sXid의 세부적인 동작 설명을 위해서는 각각 (그림 3), (그림 4)를 참조할 수 있다). Data.dbf와 Fcheck.cfg에 등록된 디렉터리와 Checksum 비교를 통하여 Fcheck는 파일의 추가, 변경, 삭제 여부를 체크하여 그 결과를 알려 주고, sXid는 설정 파일에 등록된 디렉터리의 s 비트 존재 여부와, SUID나 SGID 가 설정된 디렉터리 또는 파일에 어떤 변화가 있는지 체크하여 보고한다.
현재 중등학교 학사관리시스템은 대부분 C/S(클라이언트/서버) 체제이며 보안 관리자를 학교별로 배정해야 하기 때문에 예산이 많이 들고 보안이 취약한 점이 있다. 그러나 현재 실정으로 중등학교 환경에서 상용제품의 전사적 보안 관리(ESM: Enterprise Security Management) 시스템을 도입하는 것은 경제적인 부담으로 작용하고, 고성능의 시스템이 굳이 아니더라도 상당 부분 보안 문제를 해결할 수 있다고 판단되기 때문에, 본 논문에서는 학교의 전산 환경을 염두에 두고, 공개 보안 도구를 이용한 통합보안시스템을 개발하고자 한다.
SUID/SGID는 보통 프로그램을 설치할 경우 생길 수 있기 때문에 관리자가 유의하지 않으면 불법침입자가 쉽게 SUID/SGID가 설정되어 있는 파일을 찾아 실행을 통해서 루트의 권한을 획득할 수 있다. 이러한 상황을 미연에 방지하기 위해서 웹에서 쉽게 확인할 수 있도록 구현하였다.
있는지 체크한다. 이전에 's'비트가 설정되지 않았던 파일이나 디렉터리에 새롭게, s'비트가 설정되거나 또는 비트나 다른 모드로 변경되었을 경우 sXid는 그 내용에 대해 쉽게 알 수 있도록 이메일이나 다른 명령 라인으로 이를 보고한다. sXid는 시스템에서 SUID/SGID가 있는 모든 파일이나 디렉터리를 자동으로 찾아서 보고해 준다.

제안 방법

(그림 10)에서는 LISS가 설치된 컴퓨터에서의 Fcheck의설정되어 있는 디렉터리의 파일의 추가, 변경, 삭제 등 변경이 있을 경우에 그 변경사항을 각 설정된 디렉터리와 해당파일이름, 변경시간, 파일의 접근 권한, 파일의 크기를 파악할 수 있도록 설계하였다. 관리자가 해당 설정된 디렉터리에서 파일을 추가, 변경, 삭제 한 것이 아니라면 침입자에 의해변경되어있을 수 있기 때문에 관리자는 확인 후 그 시각에접속 또는 접속을 시도한 것을 logcheck를 통하여 확인하고확인된 IP를 iptables에 등록하면 2차 침입을 막을 수 있게설계하였다.
나뉜다. NIDS는 네트워크 패킷을 캡처하여 감사 자료로사용하며 침입탐지 여부를 분석한다. 구현이 쉽고 하나의시스템으로 여러 시스템을 보호할 수 있는 등의 많은 장점때문에 현재 상업용 제품이 가장 많이 나와 있는 침입탐지모델이다 [6-81
/usr/local/src/ ESM/openssl-engine-096g/의 하위 디렉터리에 접근모드가 SUID/SGID로 되어있는 파일 또는 디렉터리를 한눈에 볼 수가 있다. SUID/SGID를 체크한 시간과 체크한 호스트 이름, 디렉터리를 보여주며, 해당파일의 접근모드와 소유자와 소유그룹, 그리고 위치를 표현하였으며 관리자가 판단하여 해당 파일의 접근모드에 대한 변경을 유도하도록 하였다. SUID/SGID는 보통 프로그램을 설치할 경우 생길 수 있기 때문에 관리자가 유의하지 않으면 불법침입자가 쉽게 SUID/SGID가 설정되어 있는 파일을 찾아 실행을 통해서 루트의 권한을 획득할 수 있다.
Snort는 정해진 룰셋(rule set)에 의하여 프로토콜 분석과 패킷의 내용을 조사하고 패턴 매칭을 통하여, 버퍼 오버플로우나 스텔스 포트스캔, CGKCommon Gateway Interface) 공격, SMB(Server Message Block) 탐지, OS (Operating System) fingerprinting 시도 등 다양한 공격의 탐지를 수행한다. Snort가침입탐지를 하면 관리자가 LISS를 통하여 iptables에 해당공격자 호스트에 대한 추가여부를 판단하여 등록하게 된다. ((그림 7) 참조).
관리자가 로그인한 시각이 아니라면 바로 비밀번호를 변경할 수 있도록 하여 제 2차 접속을 막기 위한 방안으로 설계하였다.
수 있도록 설계하였다. 관리자가 해당 설정된 디렉터리에서 파일을 추가, 변경, 삭제 한 것이 아니라면 침입자에 의해변경되어있을 수 있기 때문에 관리자는 확인 후 그 시각에접속 또는 접속을 시도한 것을 logcheck를 통하여 확인하고확인된 IP를 iptables에 등록하면 2차 침입을 막을 수 있게설계하였다. 그리고 변경사항이 없을 경우에는 필요한 정보만을 표시하기 위해서 표시되지 않게 하였다.
특정 호스트에 대한 침입 탐지를 위하여 HDDS에서는 파일의 추가, 삭제, 변조 등의 파악과 시스템로그를 분석한다. 또한 Webmin 으로 시스템의 사용 환경 및 웹 서버와 데이터베이스, Logcheck, PortSentry등의 도구들을 설정할 수 있도록 하였다.
본 논문에서 제시한 LISS는 공개용 프로그램을 이용하여 구현하였고 침 입 탐지 시스템의 대부분이 규칙 기 반에 근거 하여 탐지하기 때문에 규칙의 업데이트를 관리자가 일일이 하여야 하는 번거로움을 해결하였다. 또한 시스템 설정은 Webmin을 연동함으로써 웹에서 직접 시스템에 대한 설정을 할 수 있으며 SUID/SGID를 주기적으로 검사하게 구현하였다. 또한 사용자 인터페이스를 쉽게 설계함으로서 사용자의 추가적인 교육이 필요 없도록 하였다.
로그인을 하면 (그림 9)와 같이 그 동안의 관리자가 언제 로그인을 하고 로그아웃을 하였는지를 접속한 ID와 접속한 컴퓨터의 IP, 로그인 시각, 로그아웃시각을 세션에 저장하여 그 세션의 내용을 로그인과 로그아웃 할 때에 데이터베이스에 자동으로 입력되게 하여 다른 사람이 로그인을 하였는지를 로그인, 로그아웃 시간을 통하여 알 수 있도록 하였다. 관리자가 로그인한 시각이 아니라면 바로 비밀번호를 변경할 수 있도록 하여 제 2차 접속을 막기 위한 방안으로 설계하였다.
위부분에 NIDS 기능 수행을 위한 모듈들이 있고, 그 아래에 HIDS 모듈들을 탑재하였다. 먼저 NIDS에서 네트워크 상의 패킷을 분석하여 침입 탐지 및 대응을 수행한다. 특정 호스트에 대한 침입 탐지를 위하여 HDDS에서는 파일의 추가, 삭제, 변조 등의 파악과 시스템로그를 분석한다.
이에 따라 본 논문에서는 중등학교 전산망 환경을 염두에두고, 아울러 최근 침입탐지시스템의 추세와 맞추어 네트워크 기반 시스템과 호스트 기반 시스템을 합친 혼합형(hybrid) 침입탐지 및 차단 시스템인 리눅스 기반 통합 보안시스템(LISS)을 설계하고 구현하였다. 주요한 구현 특징으로 공개용 보안 도구의 각기 다른 출력 인터페이스를 한곳으로 통합하여 그 결과를 암호화된 웹을 통하여 보다 편리한 사용자 인터페이스가 되게 하였고, 보안 관리 정책 및절차의 정립과 예방적 보안관리 체계를 수립할 수 있다는점이 있다.
최근 침입탐지시스템이 침입탐지 효율을 좋게 하기 위하여 네트워크 기반 침입탐지시스템과 호스트 기반 침입 탐지시스템의 혼합형을 사용하는 추세에 따라, LISS에서도 HIDS 와 NIDS의 모듈들을 통합하여 (그림 6)과 같이 네트워크보안과 호스트보안을 동시에 관리할 수 있도록 하였다. 위부분에 NIDS 기능 수행을 위한 모듈들이 있고, 그 아래에 HIDS 모듈들을 탑재하였다.
보여주는 화면이다. 화면을 통하여 시스템에 대한 로그와 로그인 시도를 몇 번하였는지 그리고 어떠한 파일을 어느 계정이 업로드하고 다운로드를 하였는지, 데몬들의 종료와 재시작의 여부를 볼 수 있도록 하였고 Port Sentry에 의한 탐지 여부 또한 볼 수 있도록 설계 하였다. 그림에 나와 있는 메시지는 infocom인 서버에서 PorSentry가 advanced 모드로 2개가 시작되었다는 것을 보여주고 있고, Stealth scan이 TCP와 UDP의 해당 포트에서 탐지되었다는 것을 알 수 있다.

성능/효과

2(X)1 년 우리나라에서 운영하고 있는 운영체제별 피해 현황을 보면 전체 324건 중에서 리눅스와 Windows '95/98이 모두 %건으로 상대적으로 많은 것으로 나타났다. 일반적으로 Windows '95/98의 사용자수에 비해 리눅스는 월등히 피해가 많은 것으로 나타났는데, 그 이유로는 리눅스의 시스템 운영 미숙에 의한 것과, 해킹 대응 보안 전문 인력의 부족이라고 분석된다[3].
구현하였다. 본 논문에서 제시한 LISS는 공개용 프로그램을 이용하여 구현하였고 침 입 탐지 시스템의 대부분이 규칙 기 반에 근거 하여 탐지하기 때문에 규칙의 업데이트를 관리자가 일일이 하여야 하는 번거로움을 해결하였다. 또한 시스템 설정은 Webmin을 연동함으로써 웹에서 직접 시스템에 대한 설정을 할 수 있으며 SUID/SGID를 주기적으로 검사하게 구현하였다.
이에 따라 본 논문에서는 전문적이고 세분화되고 있는 보안 제품 개발과 공공기관의 공개 소프트웨어 본격 도입 추세에 따라 공개용 운영체제인 리눅스를 기반으로 공개용 보안 도구 툴을 통합한 통합보안 시스템인 LISS(Linux-based Integrated Security System)를 설계 및 구현함으로서 리눅스 기반 서버의 보안관리에 있어서 효과적임을 보인다. 최근 국내의 교육행정정보시스템으로 NEIS(National Education Information System)의 도입 계획에 따라 개별학교 전산망의 보안 문제가 제기되고 있다.
설계하고 구현하였다. 주요한 구현 특징으로 공개용 보안 도구의 각기 다른 출력 인터페이스를 한곳으로 통합하여 그 결과를 암호화된 웹을 통하여 보다 편리한 사용자 인터페이스가 되게 하였고, 보안 관리 정책 및절차의 정립과 예방적 보안관리 체계를 수립할 수 있다는점이 있다.

후속연구

각 공개용 보안 도구들의 설정에 관한 부분이 없는데 이에 대한 설정을 웹에서 설정할 수 있도록 하여 보안 정책을 수립하는데 있어서 편리하도록 하고, Snort에서 출력된 이진 파일을 사람이 볼 수 있게 문서를 변환하여 보여주는 향후 연구가 필요하다. 또한 로그 분석에 필요한 로그들은 엄청난 양의 로그가 매일 매일 쌓이게 되는데 이는 곧 서버가 다운되는 현상을 초래할 수 있다.
또한 기술적인 측면에서 보면 시스템 운영에 대한 교육이 별도로 필요하며 부가적으로 보안 관련 툴의 운용에 대한 전문적인 교육이 필요하다. 그리고 보안 관련 툴의 설정과 실행을 한 곳에서 관리하고 사용이 편리한 중앙 집중적인 통합보안관리 시스템을 도입한다면 보안 관련 인력들의 대부분의 시간을 로그 분석하는데 보내지 않고 보안 대책과 대응에 따른 보안 정책을 마련하는데 많은 시간을 투자할 수 있을 것이고 그에 따른 기술적 측면과 인적 측면의 보안 문제점을 해결 할 수가 있을 것이다.
또한 로그 분석에 필요한 로그들은 엄청난 양의 로그가 매일 매일 쌓이게 되는데 이는 곧 서버가 다운되는 현상을 초래할 수 있다. 그에 따라 로그들을 압축하고 로그서버에 압축된 로그파일을 전송하는 백업 자동화에 대한 연구가 수반되어야 하겠다.
따라서 전산망의 해킹과 바이러스 침해사고 증가의 이유인 서버의 운영 미숙과 그에 따른 보안 대책 수립이 미흡한것을 LISS를 사용함으로써 상당 부분 해결할 수 있을 것으로 판단한다.
따라서 기술적 측면과 인적측면의 보안 문제점을 해결할 수 있을 것으로 기대된다. 또한 학교 교사들의 보안에 관련된 전문 지식에 대한 부족을 LISS를 활용함으로서 학교 정보 보안 관리체계의 미흡함을 채워 줄 수 있을 것으로 또한 기대한다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

공개 보안 도구를 이용한 리눅스 기반 통합 보안 시스템의 설계 및 구현
Design and Implementation of Linux-based Integrated Security System(LISS) Using Open Security Tools 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

참고문헌 (20)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

공개 보안 도구를 이용한 리눅스 기반 통합 보안 시스템의 설계 및 구현 Design and Implementation of Linux-based Integrated Security System(LISS) Using Open Security Tools 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

참고문헌 (20)

이 논문을 인용한 문헌

저자의 다른 논문 :

전용희 (53) 장정숙 (8)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

공개 보안 도구를 이용한 리눅스 기반 통합 보안 시스템의 설계 및 구현
Design and Implementation of Linux-based Integrated Security System(LISS) Using Open Security Tools 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper