Knoppix-NSMÀº CD¿¡¼ ³×Æ®¿öÅ© º¸¾È°¨½Ã ½Ã½ºÅÛÀ» ¿Ï¼º½Ãų ¼ö ÀÖ´Ù.
½º³ëÆ®(Snort)´Â À¯¿ëÇÑ ³×Æ®¿öÅ© ¹æÇØ Å½Áö½Ã½ºÅÛÀÌÁö¸¸ º¸¾È´ã´çÀÚµéÀº ½º³ëÆ®¸¦ ³×Æ®¿öÅ© º¸¾ÈÀåºñ·Î »ç¿ëÇϱ⸦ ²¨¸°´Ù. ½º³ëÆ® Àåºñ¸¦ ÅëÇÕÇØ »ç¿ëÇÒ ¶§ ±â¼úÀûÀÎ À§Çè¿äÀÎÀÌ ÀÖÀ»Áö ¸ð¸£°í Á÷¿øµéÀÇ ½Ã°£°ú ¿¡³ÊÁö¸¦ ¿ä±¸ÇÒ ¼öµµ Àֱ⠶§¹®ÀÌ´Ù.
½º³ëÆ®¿¡ ¿Ïº®ÇÑ º¸¾È°¨½Ã ÀåÄ¡°¡ ¾ø±â ¶§¹®¿¡ Àåºñ¸¦ ÅëÇÕÇØ »ç¿ëÇϴµ¥ ¾î·Á¿òÀÌ ÀÖ´Â °ÍÀº »ç½ÇÀÌ´Ù. ½º³ëÆ®´Â º£À̽º Äְܼú ÇÔ²² »ç¿ëµÇ°í ÀÖÁö¸¸, À¥¿¡ ±âÃÊÇÑ ´Ù¸¥ Äֵܼéó·³ ¼Óµµ°¡ ¶³¾îÁö°í ½Ç½Ã°£ °æ°í¸¦ Á¦°øÇÏÁö ¾ÊÀ¸¸ç, ºÐ¼®À» Á¦ÇÑÇϱ⵵ ÇÑ´Ù.
ÀÌ·¯ÇÑ ¹®Á¦¸¦ ÇØ°áÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀÌ ÀÖ´Ù. ½ÃÅ¥¸¯½º¶óÀ̺ê(Securixlive.com)ÀÇ ÀÚ·á°³¹ßÆÀÀº ½º³ëÆ®¿¡ ±Ù°ÅÇÑ ÅëÇÕ ³×Æ®¿öÅ© º¸¾È°¨½Ã ÆÐÅ°Áö ¡®³ëÇȽº-¿£¿¡½º¿¥(Knoppix-NSM)¡¯À» ³»³ù´Ù. Knoppix-NSMÀº ¶óÀ̺êCD¿Í µð½ºÆ®·Î¸¦ ÀÌ¿ëÇØ ºü¸£°í ¾ÈÀüÇÏ°Ô ¼³Ä¡ÇÒ ¼ö ÀÖÀ¸¸ç, ÇÏµå µå¶óÀÌºê ¼³Ä¡¸¦ ¼±ÅÃÇϱâ Àü¿¡ ¸ðµç ÀåÄ¡¸¦ ½ÃÇèÇÏ´Â CD¿¡¼ ¶óÀ̺꼼¼ÇÀ» ¼öÇàÇÑ´Ù.
ƯÈ÷ ¿Ï¼ºµÈ ¿ÀǼҽº ħÀÔº¸È£ ½Ã½ºÅÛ ±â¹ÝÀ» Á¦°øÇØ ½º³ëÆ®¸¦ ¼³Ä¡Çϱâ Àü¿¡ ³×Æ®¿öÅ©ÀÇ È帧°ú ³×Æ®¿öÅ© º¸¾È»óŸ¦ ¹Ì¸® ºÐ¼®ÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù. ¶ÇÇÑ ÄÁ¼³Æà ±â¾÷ Ÿ¿À½ÃÅ¥¸®Æ¼(TaoSecurity) ¼³¸³ÀÚÀÎ ¸®Â÷µå º£Ã÷¸®Ã÷(Richard Bejtlich)°¡ ¡®Å¸¿ÀÀÇ ³×Æ®¿öÅ© º¸¾È ¸ð´ÏÅ͸µ¡¯¿¡¼ ¹ßÇ¥ÇÑ ¹ì ºñ¼Å(Bamm Visscher)ÀÇ ºÐ¼®ÄÜ¼Ö ¡®½º±Ð(Sguil)¡¯µµ Æ÷ÇԵŠÀÖ´Ù.
¿Ï¼ºµÈ ÆÐÅ°Áö
Knoppix-NSMÀº Sguil, ½º³ëÆ®¿¡ Ntop, SANCP, Wireshark, BASE µîÀÇ ÀåÄ¡µµ Æ÷ÇԵȴÙ. µ¥ºñ¾È(Debian)À» ¼±È£ÇÏ´Â »ç¶÷µéÀº µ¥ºñ¾È°ú ¸ðÁú¶ó(Mozila)ÀÇ ½ºÆÖ¿¡¼ ½ÃÀÛµÈ »õ ÆÄÀ̾îÆø½º ºê¶ó¿ìÀúÀÎ ¡®µ¥ºñ¾È ¾ÆÀ̽º¿þ½½(Debian Iceweasel)À» »ç¿ëÇÏ¸é µÈ´Ù.
Knoppix-NSM ÆÐÅ°Áö¿¡ ¾î¶² ±â´ÉÀÌ Æ÷ÇÔµÆÀ¸¸ç, ´ã´çÀÚµéÀÌ ½º³ëÆ®¸¦ È°¿ëÇØ ³×Æ®¿öÅ© º¸¾È°¨½Ã¸¦ ¼öÇàÇÒ ¼ö ÀÖ´ÂÁö »ìÆ캸µµ·Ï ÇÑ´Ù.
½º³ëÆ®(Snort)
IDS¿¡ Àͼ÷ÇÑ »ç¶÷À̶ó¸é ´©±¸³ª ½º³ëÆ®°¡ º¸¾È´ã´çÀÚ¿¡°Ô Ä£¼÷ÇÑ ±âÁØÀÌ µÉ ¼ö ÀÖ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. Knoppix-NSMÀº Barnyard¿Í SANCP¸¦ ÀÌ¿ëÇØ ½º³ëÆ®ÀÇ ±â´ÉÀ» Çâ»ó½ÃŲ´Ù. Barnyard´Â µ¥ÀÌÅÍÀÇ ¼Õ½ÇÀ» ¸·±â À§ÇØ ½º³ëÆ®ÀÇ ÅëÇÕµÈ Ãâ·Â½ÅÈ£¸¦ ÀÐ¾î µ¥ÀÌÅͺ£À̽º ¿¬°á¼ºÀ» Áï°¢ °¨½ÃÇÏ´Â ÀåÄ¡ÀÌ´Ù. ÅëÇÕµÈ Ãâ·Â½ÅÈ£¶õ ½º³ëÆ®¿¡ º¸³»´Â ¼¼ °³ÀÇ Ãâ·Â½ÅÈ£ ±â´É Áß Çϳª·Î, ÆäÀ̷εå(payload)°¡ À̵¿ÇÏ´Â °æ·ÎÀÇ ½º³ëÆ® ¿£ÁøÀ» °æ°¨½ÃÄÑ ÁøÇà¼Óµµ¸¦ Çâ»ó½ÃŲ´Ù.
SANCP´Â º¸¾ÈºÐ¼®, ³×Æ®¿öÅ© ¿¬°á ºÐ¼®ÀåÄ¡·Î, ½º³ëÆ®¿Í µ¿½Ã¿¡ ¼¼¼ÇÁ¤º¸·Î ¼³¸íµÈ Ç¥½Ã¹®ÀÚ¿Í ±â·Ï, Á¤Ã¼ ±ÔÄ¢À» »ç¿ëÇÏ´Â ÀÎÅÍÆäÀ̽º¿¡ ´ëÇÑ ³×Æ®¿öÅ© ¼ÒÅëÀ» ȸº¹½ÃŲ´Ù. SANCP´Â ½º³ëÆ® À¯Ãâ 4 ¿¹ºñó¸®ÀåÄ¡°¡ TCP ¼ÒÅëÀ» ´Ù½Ã ¸ðÀ¸´Â °÷À¸·Î, UDP¿Í ICMP ¼ÒÅëÀ» Áõ°¡½ÃÄÑ ¼¼¼Ç Á¤º¸¸¦ Áõ°¡½ÃŲ´Ù. ÀÌ°ÍÀº ºÐ¼® ÄܼÖÀÇ ³ª¸ÓÁö·ÎºÎÅÍ SguilÀ» ºÐ¸®ÇÏ´Â ±â´ÉÀÌ´Ù. ½º³ëÆ®¿Í Äֿܼ¡¼ °ËÅäÇÒ ¼ö ÀÖ´Â ¸ðµç SANCP ±â·ÏÀ» Æ÷ÇÔÇÏ´Â ½ÇÁ¦ Å×À̺íÀº Sguil¿¡¼ DBÅ×À̺íÀ» ÇÕÃļ ¸¸µç´Ù.
½º±Ð(Sguil)
±¹Á¦ °ø°³¼ÒÇÁÆ®¿þ¾î ÇÁ·ÎÁ§Æ® µî·Ï»çÀÌÆ®(Sourceforge.net)´Â Sguil¿¡ ´ëÇØ ¡°³×Æ®¿öÅ© º¸¾È ºÐ¼®°¡¸¦ À§ÇØ, ³×Æ®¿öÅ© º¸¾È ºÐ¼®°¡¿¡ ÀÇÇØ ¸¸µé¾îÁ³´Ù¡±°í ¸»ÇÑ´Ù. SguilÀº NSM »ç¿ëÀÚ¸¦ À§ÇÑ ÄܼÖÀ̸ç, ¡®NSMWiki¡¯À» ÅëÇØ Áö¼ÓÀûÀ¸·Î ±â´ÉÀ» Çâ»ó½ÃÅ°°í ÀÖ´Ù. ÀϺΠ»ç¿ëÀÚµéÀº SguilÀ» ¼³Ä¡ÇÏ°í ¼³Á¤ÇÑ ÈÄ °íÁ¤½Ãų ¼ö ÀÖ´Â °ÍÀ» ¿ä±¸ÇßÀ¸¸ç, Knoppix-NSMÀº Áï°¢ÀûÀÎ ºÐ¼®À» ÅëÇØ ¿ÏÀüÈ÷ ¼³Á¤ÇÒ ¼ö ÀÖµµ·Ï ÇØÁÖ¾ú´Ù. À¥À» ±â¹ÝÀ¸·Î ÇÑ ÄܼÖÀº À§ÇùÀÇ ½É°¢¼ºÀÌ ¾Æ´Ï¶ó °è¼ö¿¡ ÀÇÇØ °æ°í¸¦ Çϱ⠶§¹®¿¡ ÇÑ µÎ ¹øÀÇ °æ°í¸¦ ÇØ°áÇϴµ¥ ¾î·Á¿òÀ» °Þ°Ô µÇ´Â °æ¿ì°¡ ÀÖ´Ù. ÀÌ·¯ÇÑ ¹®Á¦µµ Sguil¿¡¼ ÇØ°áÇÒ ¼ö ÀÖ´Ù. ¸®Â÷µå º£Ã÷¸®Ã÷ÀÇ ¡®The Tao of Network Security Monitoring¡¯Àº SguilÀ» Æò°¡ÇÏ¸é¼ ¡°¸ðµç Á¾·ùÀÇ µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÒ ¶§ °ü·ÃÁ¤º¸¸¦ ºü¸£°Ô °Ë»öÇÒ ¼ö ÀÖÀ¸¸ç, Áï°¢ÀûÀÌ°í »óÈ£ ¿¬°áÇÒ ¼ö ÀÖ´Ù¡±°í ¹àÇû´Ù.
º£À̽º(BASE)
º£À̽º´Â ±âÃÊ ºÐ¼®°ú º¸¾È ±â´ÉÀ» °¡Áø ¿£ÁøÀ¸·Î, À¥¿¡ ±âÃÊÇÑ ÄܼÖÀÇ ±âÁØÀÌ µÇ°í ÀÖ´Ù. À¥À» ±â¹ÝÀ¸·Î ÇÏ´Â ÄܼÖÀº ±âº»ÀûÀ¸·Î ¼Óµµ°¡ ´À¸®±â ¶§¹®¿¡ ±â¾÷¿¡¼´Â º£À̽ºÀÇ »ç¿ëÀ» ²¨¸°´Ù. Knoppix-NSM°¡ Barnyard¸¦ À§ÇØ ÅëÇÕµÇ°í º£À̽º¸¦ À§ÇÑ ·Î±×¸¦ °®Áö ¾ÊÀ¸¸é ½º³ëÆ®¸¦ ´À¸®°Ô ÇÒ ¼ö ÀÖ´Ù. º£À̽º´Â À§ÇèÀ» Áõ¸íÇϰųª ±³À°À» À§ÇØ »ç¿ëÇÒ ¼ö ÀÖÁö¸¸, À̸¦ ¼öÇàÇϴµ¥ µå´Â ºñ¿ëµµ ¸¸¸¸Ä¡ ¾Ê´Ù. º£À̽º´Â Äֿܼ¡¼ ÀÌ¿ëÇÒ ¼ö ÀÖ´Â ±â´ÉÀÌ Sguilº¸´Ù Àû´Ù. ±×·¯³ª À¥À» ±â¹ÝÀ¸·Î ÇÏ´Â ÄܼÖÀÇ ÆíÀǼºÀº ÀÎÁ¤ÇØ¾ß ÇÑ´Ù. ¿©±â¿¡¼ ÁöÀûÇÑ º£À̽ºÀÇ ´ÜÁ¡Àº Sguil°ú ÇÔ²² ÀÛµ¿ÇÏ´Â °æ¿ì¿¡ ´ëÇÑ ¿©·¯ °¡Áö °ßÇØ Áß ÇϳªÀÌ´Ù.
¿£Å¾(Ntop)
ºê¶ó¿ìÀú¿¡ ±âÃÊÇÑ ¿£Å¾À̳ª ³×Æ®¿öũžÀº ³×Æ®¿öÅ©¿¡¼ÀÇ ´Ù¾çÇÑ »óȲÀ» ¼³¸íÇÑ´Ù. ½º³ëÆ®¿¡¼ ºÐ¸®µÅ ÀÛµ¿ÇÏ´Â ¡®µ¶¸³Çü Àû¿ë ¿£Å¾¡¯Àº Knoppix-NSM¿¡¼ Åë°èºÐ¼® ±â´ÉÀ» ¼öÇàÇÑ´Ù. À̸¦ ÅëÇØ ÇÁ·ÎÅäÄÝ°ú ±âÁØ¿¡ µû¸¥ ³×Æ®¿öÅ© ¼ÒÅëÀ» Á¤¸®ÇØ º¸¿©ÁÖ°í ¼ÒÅë Åë°è¸¦ ¹è¿, ÀúÀåÇϸç, ¼Ò½º¿Í ¸ñÀû¿¡ µû¸¥ ³×Æ®¿öÅ© ¼ÒÅëÀ» Á¤¸®ÇØ º¸¿©ÁØ´Ù. ¶ÇÇÑ ¼ÒÅëÅë°è¸¦ ¹è¿, ÀúÀåÇÑ ÈÄ ¼Ò½º¡¤¸ñÀû¿¡ µû¸¥ OS, IP ÇÁ·ÎÅäÄÝ »ç¿ëÀ» ±â·ÏÇÑ´Ù. ÀÌ´Â ÅõÀÚ¸¦ ȸ¼öÇÏ°í, »ç¿ë°ú ¼³Ä¡¸¦ ¿ëÀÌÇÏ°Ô ÇØ ¿£Å¾ ÀÚü¸¸À¸·Î ¼³Ä¡±âÁØÀÌ µÉ ¼ö ÀÖ´Ù.
´Ù¿ëµµ ÀåÄ¡
IDS¸¦ »ç¿ëÇÏ´Â Á¶Á÷Àº È¿À²ÀûÀÎ »ç¿ëÀ» À§ÇØ Knoppix-NSMÀ» »ç¿ëÇÑ´Ù.
ºü¸¥ Àü°³
À§ÇùÀÌ µÇ´Â »çÀÌÆ®¸¦ Á¦°ÅÇϱâ À§ÇØ ½º³ëÆ®°¡ ºü¸£°Ô Àü°³µÅ¾ß ÇÑ´Ù. ÀÌ´Â À§ÇèÀ» ¸·±â À§ÇÑ ÃÖ¼ÒÇÑÀÇ º¸¾È½Ã½ºÅÛÀ¸·Î ¹æȺ®À» ²Å´Â °Í°ú °°Àº ±âº»ÀûÀÎ ³»¿ëÀÌ´Ù. °ü¸®Çã°¡¿Í ³×Æ®¿öÅ© ±â¼úÀ» ÀÌ¿ëÇØ Knoppix-NSMÀ» ÀÛµ¿½ÃÅ°°í ÄÚ¾î ³×Æ®¿öÅ© ½ºÀ§Ä¡¿¡¼ SPAN Æ÷Æ®¿¡ ¿¬°áÇÑ´Ù. º¸È£¡¤°¨½Ã¡¤À¯Áö°¡ ¿øÈ°ÇÏ°Ô ÀÌ·ç¾îÁö´Â ³×Æ®¿öÅ©¸¦ ¸¸µé±â À§ÇØ ½Ã½ºÅÛ Àü¹ÝÀÇ °³¼±ÀÌ ¿ä±¸µÈ´Ù¸é, ºü¸¥ °áÁ¤ÀÌ ÇÊ¿äÇÏ´Ù.
Áï°¢ÀûÀÎ ÄܼÖ
½º³ëÆ®¸¦ Àß °ü¸®ÇØ ¿øÈ°ÇÏ°Ô ¼öÇàµÇµµ·Ï Çϱâ À§ÇØ ÄܼÖÀ» Ãß°¡ÇØ¾ß ÇÒ ¶§°¡ ÀÖ´Ù. ÄܼÖÀÇ Æ¯¼ºÀ» ºñ±³ÇØ ´õ ³ªÀº ¹æ¹ýÀ» ãÀ» ¶§ ¸¹ÀÌ ÀÌ¿ëµÈ´Ù. NSMÀ» »ç¿ëÇÏ´Â »ç¶÷µéÀº ´Ù¸¥ ÄܼÖÀ» »ç¿ëÇÒ ¶§ º¸´Ù SguilÀ» ÀÌ¿ëÇÒ ¶§ ´õ À¯¿ëÇÏ´Ù°í ¸»ÇÑ´Ù.
¹è¿ì±â ±×¸®°í ½ÃÇè
Knoppix-NSMÀ» ÀÍÈ÷°í Å×½ºÆ®Çϸç, ±³À°ÇϱⰡ ½±´Ù. Knoppix-NSMÀ» ¼¼ÆÃÇÒ ¶§ Çϵå¿þ¾î¸¦ ºñ·ÔÇØ °í·ÁÇØ¾ß ÇÏ´Â ¿©·¯ °¡Áö ¿ä¼Ò°¡ ÀÖ´Ù. Knoppix-NSMÀº ÀÛµ¿ÇÏ´Â Áß¾Ó¼¹ö¿¡ °ø°ÝÀÌ °¡ÇØÁö°í, À̸¦ ¹æ¾îÇÏ´Â ¹æ¹ýÀ» Å×½ºÆ®ÇØ º¼ ¼ö ÀÖ´Ù. Å×½ºÆ®¿¡ Âü¿©ÇÏ´Â ÆÀÀÇ Àý¹ÝÀº Knoppix-NSMÀ» °ÅÃÄ Sguil ÄܼÖÀ» ÀÛµ¿ÇÏ°í, ´Ù¸¥ »ç¶÷µéÀº ½ÇÁ¦ °ø°ÝÀ» °¡ÇÑ´Ù. ¸î ´ëÀÇ ³ëÆ®ºÏ°ú ÄÄÇ»Å͸¸ ÀÖ´Ù¸é, ³×Æ®¿öÅ©¸¦ ¾ÈÀüÇÏ°Ô º¸È£ÇÏ´Â ¹æ¹ýÀ» ¾Æ·§»ç¶÷µé¿¡°Ô ½±°Ô º¸¿©ÁÙ ¼ö ÀÖ´Ù.
½ÃÅ¥¸¯½º¶óÀ̺ê´Â Knoppix-NSMÀ» ¸Å¿ì À¯¿ëÇÑ ¶óÀ̺êCD¶ó°í Æò°¡ÇÑ´Ù. ½ÃÅ¥¸¯½º¶óÀ̺ê´Â SIM/SEM°¡ Securix-NSMÀ¸·Î ¹Ù²ð ¶§ ±îÁö ´õ ¸¹Àº ºÐ¼®Àåºñ¸¦ ³»³õÀ» °ÍÀÌ´Ù. ÇÁ·ÎÁ§Æ® °³¹ßÀÚµéÀº °í°´µéÀÇ ¿ä±¸¿¡ µû¶ó Á¦Ç°À» »ý»êÇÑ´Ù. À̵éÀº À¯¿¬¼ºÀÌ ¶Ù¾î³ ¸ðµâ·¯ ¶óÀ̺êCD ȯ°æ¿¡¼ ÀÛ¾÷ÇØ ¿Ô´Ù.
½ÃÅ¥¸¯½º¶óÀ̺ê´Â Knoppix-NSM v1.2¿¡¼ ´õ ¹ßÀüµÈ ¸ð½ÀÀ» º¸¿©ÁÙ ¼ö ÀÖÀ» °ÍÀ̶ó°í ¾à¼ÓÇÏ°í ÀÖÀ¸¸ç, ÆÐÄ¡°ü¸®¿Í ÇÏµå µå¶óÀÌºê ¼³Ä¡¸¦ º¸´Ù ½±°Ô ÇÏ°í ºü¸£°Ô ÅëÇÕÇÒ ¼ö ÀÖÀ» °ÍÀ̶ó°í ÇÑ´Ù. ¶ÇÇÑ Knoppix-NSM¸¦ ½Å¼ÓÇÏ°Ô ¹èÄ¡ÇÏ°í ½±°Ô »ç¿ëÇÒ ¼ö ÀÖ¾î À§Çù ³×Æ®¿öÅ© ȯ°æ¿¡ ´ëÇØ ¾Ë ¼ö ÀÖ´Ù.
<±Û: ·¯½º ¸Æ¸®(Russ Mcree)>
Copyright ¨Ï 2006 Information Security and TechTarget
[Á¤º¸º¸È£21c (info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>