19
2
목 차 Digital Forensics Network Forensics Network Forensics Process
필요성
Incident(사고)와 Forensics의 관련성 E-evidence를 위한 네트워크 트래픽 수집
Network Forensics System 주요 기능 Network Forensics 제한 요소들
Forensics Service 동향
3
Digital Forensics
PC or Computer Forensics Network Forensics
For Network Security
For Network Troubleshooting
사용자또는네트워크에서처리하고전송하는디지털소스들을수집, 확인, 비교및분석하여 디지털증거또는원인분석자료로사용하는과학적인기술
Forensics는내부침입또는장애가발생한이후에적용되는기술이며, 정보를분석하고증거를수집하여사고발생시점에서어떤동작이있었는지를확인하는것
Forensics 분석결과는유사한침입이나장애가다시발생하지않도록자취및원인을제공
4
Network Forensics
Network ForensicsNetwork Forensics
IP 주소, 경로 및 세션에 대한 상세 정보 수집- Network forensics은 네트워크 통신 상태와 라우터, 스위치 및 IDS와 같은 네트워크 시스템들에대한 정보를 측정
로그 정보와 실제 패킷 저장- 로그와 관련된 트래픽 정보 및 패킷 추출, 재생- 사고가 발생했던 과거 시점에서의 상황 분석 및 증거, 흔적 수집
Network Forensics 시스템이 가능한 이유- 하드 디스크의 저장 기술이 발전하여 수백 기가 또는 수 테라 바이트의 공간 사용 가능
저장 공간 계산 예- 평균 100Mbps의 대역폭에서는 최대 초당 약 12Mbytes의 트래픽이 발생- 24시간 동안 12M x 60초 x 60분 x 24시간 = 약 1Tbytes (1.037Tbyes) 필요
Network Forensics Process
지속적인패킷저장
침입또는서비스중지시점확인
해당시점의트래픽통계및패킷추출
Firewall logHIDS logNIDS alert etc.
서비스지연및장애발생시점
확인
For Security
For Troubleshooting
트래픽패턴및상세데이터분석
패턴및증거수집
(HTTP, Telnet, SMTP 등)
해당시점의트래픽통계및패킷추출
커넥션별응답시간및패킷흐름
분석
응답시간지연또는커넥션종료원인제시
Distributed AgentPacket CapturePacket FilterPacket Mining
IP TracebackTCP/UDP Connection Protocol AnalysisPayload Reconstruction
6
필요성
•기존 현황• 실시간 트래픽 모니터링 및 로그 분석 장비 보유 (트래픽 폭주 및 로그 기록 정보 보유)• 프로토콜 분석기를 보유하고 있는 경우, 백본이나 일반 스위치에서 패킷들을 수집 및 분석
•문제점• IP 주소나 TCP/UDP 포트에 대한 실시간 측정이 가능하지만 주 원인 분석을 위한 패킷 수집이 어려움• 트래픽이 폭주하는 경우, 스위치 자체의 접속도 힘겹기 때문에 패킷 추출이 어려움• 네트워크 서비스가 중단된 시점에서는 트래픽 측정 및 패킷 수집이 불가능
•해결 방안• 상시 트래픽 및 패킷 수집, 분석 시스템 구축• 전산실 스위치에 접속하지 않고 원격으로 패킷을 분석할 수 있는 원격 분석 체제 구축
•기존 현황• 실시간 트래픽 모니터링 및 로그 분석 장비 보유 (트래픽 폭주 및 로그 기록 정보 보유)• 프로토콜 분석기를 보유하고 있는 경우, 백본이나 일반 스위치에서 패킷들을 수집 및 분석
•문제점• IP 주소나 TCP/UDP 포트에 대한 실시간 측정이 가능하지만 주 원인 분석을 위한 패킷 수집이 어려움• 트래픽이 폭주하는 경우, 스위치 자체의 접속도 힘겹기 때문에 패킷 추출이 어려움• 네트워크 서비스가 중단된 시점에서는 트래픽 측정 및 패킷 수집이 불가능
•해결 방안• 상시 트래픽 및 패킷 수집, 분석 시스템 구축• 전산실 스위치에 접속하지 않고 원격으로 패킷을 분석할 수 있는 원격 분석 체제 구축
갑작스런 트래픽 폭주나 네트워크 서비스가 중단된 경우갑작스런 트래픽 폭주나 네트워크 서비스가 중단된 경우
•기존 현황• 트래픽 로그 저장 및 침입 탐지/방지 장비 보유 (모든 트래픽 및 침입 현황에 대한 로그 기록 )• 요청이 있거나 보고가 필요한 경우에만 보고서 형태로 추출하여 검토
•문제점• 로그 기록만 있기 때문에 해당 로그와 관련된 트래픽의 정상적인 통신 내역인지 파악하기 어려움.• 특정 로그와 관련된 패킷들만 저장하도록 기준을 설정하는 것은 매우 복잡함
•해결 방안• 24시간 모든 트래픽 및 패킷을 수집, 저장해야 함 (대용량 저장 시스템 필요)• 언제라도 원하는 시간대의 특정 IP나 TCP/UDP 어플리케이션에 대한 패킷들을 추출할 수 있어야 함• 지난밤 또는 비 업무시간 동안의 트래픽 흐름 변화에 대해 신속하게 파악할 수 있어야 함
•기존 현황• 트래픽 로그 저장 및 침입 탐지/방지 장비 보유 (모든 트래픽 및 침입 현황에 대한 로그 기록 )• 요청이 있거나 보고가 필요한 경우에만 보고서 형태로 추출하여 검토
•문제점• 로그 기록만 있기 때문에 해당 로그와 관련된 트래픽의 정상적인 통신 내역인지 파악하기 어려움.• 특정 로그와 관련된 패킷들만 저장하도록 기준을 설정하는 것은 매우 복잡함
•해결 방안• 24시간 모든 트래픽 및 패킷을 수집, 저장해야 함 (대용량 저장 시스템 필요)• 언제라도 원하는 시간대의 특정 IP나 TCP/UDP 어플리케이션에 대한 패킷들을 추출할 수 있어야 함• 지난밤 또는 비 업무시간 동안의 트래픽 흐름 변화에 대해 신속하게 파악할 수 있어야 함
수 시간 전 네트워크 트래픽 발생 상태를 검사해야 하는경우수 시간 전 네트워크 트래픽 발생 상태를 검사해야 하는경우
7
필요성 (계속)
•기존 현황• 서버 성능 및 서비스 관리 시스템을 보유하여 서버의 서비스 상태를 상시 모니터링하고 있음• 서비스 장애에 대한 로그 검출 시스템에 의존하여 서비스 성능 분석
•문제점• 서버 자체의 장애는 튜닝으로 해결 방안을 모색하지만, 특정 네트워크 구간에서의 장애는 검출하기 어려움• 일정 시간 지속적인 서비스 장애는 검출이 용이하지만, 비정기적으로 발생하는 서비스 장애는 검출 및분석이 어려움• 로그 자체가 장애를 의미하지만, 명확한 장애의 원인 분석은 어려움
•해결 방안• 구간별 상시 트래픽 및 패킷 수집, 분석 시스템 구축• 각 구간에서의 패킷을 상호 비교하여 명확한 장애의 원인을 규명할 수 있는 장비 설치
•기존 현황• 서버 성능 및 서비스 관리 시스템을 보유하여 서버의 서비스 상태를 상시 모니터링하고 있음• 서비스 장애에 대한 로그 검출 시스템에 의존하여 서비스 성능 분석
•문제점• 서버 자체의 장애는 튜닝으로 해결 방안을 모색하지만, 특정 네트워크 구간에서의 장애는 검출하기 어려움• 일정 시간 지속적인 서비스 장애는 검출이 용이하지만, 비정기적으로 발생하는 서비스 장애는 검출 및분석이 어려움• 로그 자체가 장애를 의미하지만, 명확한 장애의 원인 분석은 어려움
•해결 방안• 구간별 상시 트래픽 및 패킷 수집, 분석 시스템 구축• 각 구간에서의 패킷을 상호 비교하여 명확한 장애의 원인을 규명할 수 있는 장비 설치
어플리케이션 서비스에 장애가 발생한경우어플리케이션 서비스에 장애가 발생한경우
•기존 현황• 라우터 뒷 단에서 IP를 기준으로 원격 지사나 WAN 트래픽 측정 및 분석• 일반 트래픽 로그 분석기 및 IDS 로그를 통하여 장애 및 보안 현황 측정
•문제점• 특정 지점의 IP 주소만 측정하여 분석하기 때문에 WAN 전체가 문제인지, 특정 지사만 문제인지 확실하게규명하기 어려움• 지사 네트워크와 본사 네트워크에서 동시에 패킷을 추출하여 분석해야 함
•해결 방안• 원격 지사와 사내 어플리케이션 서비스 간의 상호 비교 분석 가능한 시스템 구축• WAN 선로 전체 패킷 및 트래픽을 측정하여 특정 IP에 대한 정보만 추출 분석
•기존 현황• 라우터 뒷 단에서 IP를 기준으로 원격 지사나 WAN 트래픽 측정 및 분석• 일반 트래픽 로그 분석기 및 IDS 로그를 통하여 장애 및 보안 현황 측정
•문제점• 특정 지점의 IP 주소만 측정하여 분석하기 때문에 WAN 전체가 문제인지, 특정 지사만 문제인지 확실하게규명하기 어려움• 지사 네트워크와 본사 네트워크에서 동시에 패킷을 추출하여 분석해야 함
•해결 방안• 원격 지사와 사내 어플리케이션 서비스 간의 상호 비교 분석 가능한 시스템 구축• WAN 선로 전체 패킷 및 트래픽을 측정하여 특정 IP에 대한 정보만 추출 분석
해외나 국내 지사에대한 서비스에 장애가 발생한 경우해외나 국내 지사에대한 서비스에 장애가 발생한 경우
8
Incident와 Forensics의 관련성 사고의 유형과 수집되어야 하는 정보
호스트: 액세스 로그와 파일 및 저장 장치 상태네트워크: IP 주소, 프로토콜 사용현황, 데이터 내용 및스위치 포트 상태
비공개 자료의 누설과 통신가로채기
정보 누설
호스트: 액세스 로그, 파일과 저장 장치 상태, 환경파일의 내용 등네트워크: IP 주소, 프로토콜 사용현황, 데이터 내용, 스위치 포트의 상태
웹 페이지, 데이터 파일, 프로그램 파일 변조
데이터 손상 및 변조
네트워크: 송수신된 패킷 개수, IP 주소, 프로토콜사용현황 및 데이터 내용
네트워크 대역폭을 과도하게점유하여 통신 불안정 및중단
호스트: 프로세스 상태, CPU 사용률 및 비 정상적인패킷 로그네트워크: 회선 상태, 비 정상적인 패킷 개수, IP 주소 및비 정상적인 패킷의 내용
서버 자원들을 과도하게소모하여 서비스 불안정 및중단
DoS(denial of service)
호스트: 어플리케이션 로그와 프로세스 상태네트워크: IP 주소, 프로토콜 사용현황 및 데이터 내용
메일 및 프록시 서비스의불법 릴레이 (relay)
네트워크: 회선 상태, 송수신된 패킷 개수, IP 주소, 프로토콜 사용현황 및 스위치 포트 상태
네트워크 대역폭 불법 사용
호스트: 액세스 로그, 프로세스 상태, CPU 사용률과파일 및 저장 공간 상태
프로세스 및 저장 장치 불법사용
불법적인 자원 사용필요한 정보사고 (Incidents)사고의 유형
9
E-evidence를 위한 네트워크 트래픽 수집 Network Forensics System을 운영할 수 있는 위치
10
E-evidence를 위한 네트워크 트래픽 수집 (계속)
수집 데이터
Alert data 일반적인 IDS 로그 (보안 분석) Context 검사 또는 Signature나 Anomaly 적용에 의한 로그 (보안 분석) 임계 수치 기반의 트래픽 관련 알람 로그 (보안 및 장애 분석) 세션 또는 패킷 분석에 의한 알람 로그 (장애 분석)
Full content data 어플리케이션 데이터를 포함하고 있는 모든 상세 패킷들
대용량의 저장 공간이 필요하지만, 세부적인 정밀 분석에 반드시 필요 Statistical data
IP 주소, TCP/UDP 포트 또는 어플리케이션 별 트래픽 통계 특정 IP 주소, TCP/UDP 포트에 대한 시간 별 트래픽 발생 상태
Session data 시스템 간의 통신 내역에 대한 분석 자료
어플리케이션 데이터 또는 암호화된 데이터와 상관없는 TCP 커넥션 자체에대한 분석 자료
커넥션 설정 및 종료와 관련된 정보 (SYN, RST, FIN) 개별 커넥션 단위의 응답 시간 및 패킷 재전송 상태 등
11
Network Forensics System 주요 기능 Network Forensics System (NFS) 주요 기능
일반 기능 Capture the Network Packets Filter and Dump the Traffic Steam Forensics Database Mining Network Protocol Analysis Network Surveying Network Attack Analysis and Visualization
상세 기능 Switch의 미러 포트 또는 Tap을 이용하여 연결하여 네트워크에 영향 주지 않음 일정 시간 동안의 모든 패킷을 실시간 저장하도록 대용량 저장 장치 사용 저장 용량 확장 기능 (서버의 디스크 관리 기능) 로그가 발생한 시점의 트래픽 통계 및 변화 상황 분석 특정 로그를 발생시킨 IP, 세션에 대한 상세 패킷 분석 패턴 문자열을 이용한 패킷 검색 실제 침입 형태를 정밀 분석하기 위하여 Web, email, IM (Instant Messaging), Telnet,
VoIP 어플리케이션 및 특정 세션에 대한 재생
12
Network Forensics System (계속) NetWitness (윈도우 기반, IIS, MSSQL, 유료 )
기본 프로토콜 분석 기능 네트워크 보안 분석 용
NetIntercept (Linux 기반, 별도의 콘솔, 유료) 기본 패킷 분석 기능 네트워크 보안 증거 수집을 위해 설계 마우스 클릭으로 세션 정보 및 어플리케이션 데이터 재생
NetDetector (Linux 기반, 인터넷 브라우저, 유료) 자체 하드웨어 형 IDS 기능 (Snot, anomaly)을 기반으로 하는 Network Forensics System 인터넷 브라우저를 이용한 사용자 인터페이스 네트워크 보안 분석 로그 및 해당 세션 패킷 마이닝 및 어플리케이션 데이터 재생
nGenius (Linux 기반, 인터넷 브라우저, 유료) 자체 하드웨어 형 실시간 패킷, 트래픽 통계 파일 저장 실시간 패킷 저장 및 트래픽 통계, 세션 분석 후 상세 분석을 위한 데이터 마이닝 데이터 마이닝 (.cap) 이후, Sniffer를 사용하여 상세 분석
GigaStor (Windows 기반, 유료) 자체 하드웨어 형 실시간 패킷 및 트래픽 통계 파일 저장 실시간 패킷 저장 및 트래픽 통계, 세션 분석 후 상세 분석을 위한 데이터 마이닝 데이터 마이닝 이후, Observer를 사용하여 상세 분석
Omnipliance (Windows, Linux 기반, 유료) 서버 탑재 Engine 형 실시간 패킷 파일 저장 저장된 파일의 기록 시간 또는 마이닝 필터를 사용하여 패킷 추출 패킷 마이닝 이후, OmniPeek을 사용하여 상세 분석
13
Network Forensics System (계속) Summary
CLSRAApplianceNiksun (www.niksun.com)NetDetector (NetVCR)CSRABundled software
(별도 Linux box)Sandstorm Tech (www.sandstorm.net)NetIntercept
CLSRAApplianceNetScout (www.netscout.com)nGenius
CSRAApplianceNetwork General (www.networkgeneral.com)Infinistream
CSWindows with collector appliance
Intrusion Inc.SecureNetCLRAWindowsWildPackets Inc. (www.wildpackets.com)OmniplianceCLSWindows, UnixOpen Source (www.Ethereal.com)Ethereal
CLSRAApplianceNetwork Instruments(www.networkinstruments.com/)
GigaStorCLUnixOpen Source (www.snort.org)Snort
LUnixOpen Source(www.security.uchicago.edu/tools/net-forensics/)
Flow-extract, Flow Scripts
CLUnixOpen Source (www.splintered.net/sw/flow-tools/)Flow-toolsCWindowsOpen Source (www.netstumbler.com)Network StumblerCUnix, WindowsOpen Source (www.tcpdump.org)TCPDump, Windump특징플랫폼공급자이름
C = Collection & Filtering, L = Log file analysis (Event or Alarm)
S = Stream reassembly, R = correlation & analysis of multiple raw data source, A = Application layer viewer
14
Network Forensics 제한 요소들 대역폭 확장에 따른 저장 시간 감소
인터넷 대역폭의 급격한 증가로 모든 정보를 사전에 저장하기 위해 필요한 디스크 공간도급격히 증가
보안 장비들이 공격을 당할 수도 있음 보안 장비들의 주요 기능들은 정교하고 복잡한 공격에 대응하기 위해서 진화하고 있으며, 보다향상된 운영 환경의 요구에 대응하고 있음
이러한 향상된 기능들은 보안 장비를 더욱 취약하게 만들 수도 있음 2004년 2월에는 주요 IDS 제품들에 대한 공격이 수많은 IDS 장비들을 손상시킴 운영자는 이러한 공격 상황에서는 보안 장비가 중지되기 전까지는 사고를 정확하게 인식할 수없으며, 정상적으로 동작하고 있는 것으로 판단
암호화 기술 확산 IPsec, SSL과 같은 암호화 기술을 사용하는 VPN (virtual private network) 서비스가 기업네트워크 액세스 기술로 확산되어 있음.
Network Forensics System은 암호화된 통신에 대한 정보를 수집하여 source와 destination IP 주소 및 통신 시간을 표시할 수 있지만, 패킷의 내용을 분석할 수 없기 때문에 공격 패턴이나침입자가 사용하는 명령어들을 상세하게 검출할 수 없음.
Network Forensics System에서 수집된 정보와 공격 대상이 된 호스트에 대한 상세 정보를취합하여 분석 필요
내부 공격 내부 자원들의 비정상적인 동작이나 고의적인 내부 공격이 때로는 외부 공격에 비해 심각한사고를 발생시킴
대규모 네트워크에서는 내부 공격에 대응하기 위해서 네트워크 구간 별로 정보를 수집, 분석해야 하기 때문에 많은 수의 장비가 필요
15
Forensics Service 동향 U.S.A.
이미 대규모로 확장되어 있는 MSSP (Managed Security Service Provider)들은Forensics 서비스를 Computer forensics, Network Forensics로 구분하여서비스하고 있으며, Forensics 엔지니어 교육 및 법률적인 지원까지 제공
16
Forensics Service 동향 (계속) Computer forensic services
Evidence collection and analysis service 이 서비스는 손상된 컴퓨터 시스템에 있는 수많은 데이터에서 법률적으로 필요한 데이터를 신속하게찾아 증거로 보관.
주요 MSSP는 다른 MSSP들과 협조하여 서비스를 제공 Data recovery service
이 서비스는 범죄의 증거가 되는 데이터를 복원 클라이언트가 저장 장치를 MSSP에 전달하거나, MSSP가 데이터를 복원할 수 있도록 네트워크를경유하여 클라이언트 시스템에 접근 허용
Network forensic services System integrator and product supplier service
보안 사고가 발생한 경우, MSSP는 다양한 보안 장비와 로그들을 사용하여 프로세스를 재생하기 위해이벤트들 사이의 관련성을 분석하고 원인 및 범죄 증거를 분류함
MSSP들이 사용하는 장비가 주요 기술이며 장비에 대한 관리 서비스도 제공함 NSP’s optional service
이 서비스는 NSP (Network Service Provider)가 제공하는 보안 서비스의 일부로 제공됨 NSP는 원격으로 CPE (customer premises equipment )의 보안 장비 및 네트워크와 CPE들 사이의접속 지점을 모니터
Operation and management support services Lawsuit support consulting service
이 서비스는 전략적인 계획 및 데이터 수집을 위한 컨설팅을 제공하며, 더불어 법정에서 증언하기위한 전문가도 제공
회계법인은 법률적인 사건과 관련된 컨설팅의 일부로 이 서비스를 제공 Training and accreditation service
이 서비스는 Computer Forensics 조사원을 위한 교육 코스를 제공하며, 해다 코스에 대한 인증서도제공
17
Forensics Service 동향 (계속) 일본
2004년도 NTT의 Network Forensics 기술 연구 발표를 시작으로 주요 ISP 및금융 기업에서 도입 시작
2006년 현재 NTT, KDDI, Japan Telecom 및 주요 은행에서는 보안 사고와 장애원인 추적, 분석을 위한 기본 시스템으로 정착
중국 2004년도 학계의 Network Forensics 논문 및 기술 동향 분석을 시작으로 현재주요 ISP 및 은행에서 도입
유럽 2003~4년도 글로벌 금융 기업에서 도입 시작 현재 많은 유럽 ISP 및 금융 기업들이 Network Forensics 시스템 도입 운영
국내 사건 추적을 위한 수사용으로 Computer Forensics을 일부 수사 기관에서도입하여 사용 중
Network Forensics System이라는 이름으로 도입되어 사용중인 장비는 없음 일부 공공 기관 및 은행에서 ‘네트워크 장애 분석을 위한 대용량 패킷 분석시스템’이라는 이름으로 도입, 운영
18
Forensics Service 동향 (계속) 기업 유형별
금융권 Network Forensics 도입 목적
금융 사고 분석 및 증거 보존 (Security) 인터넷 뱅킹 서비스 구간별 장애 원인 분석 (Troubleshooting)
글로벌 금융 기업 (미국, 유럽, 일본 및 중국) City Group, Morgan Stanley, JP Morgan Chase, Deutsche Bank, Barcely Bank, Mizuho
Bank, UFJ Bank, Yokohama Bank etc. ISP
Network Forensics 도입 목적 외부 회선 서비스 장애 원인 분석 외부 기업 Forensics 서비스 용 내부 보안 사고 원인 분석
예: Bell South, Verizon Wireless, AT&T Wireless, Time Warner, AOL, Reuter, British Telecom, T-Mobile, Deutsche Telecom, NTT (East), NTT (West), NTT Docomo, Japan Telecom, KDDI, China Telecom, China Mobile, Korea Telecom
공공 기관 Network Forensics 도입 목적
내부 네트워크 장애 원인 분석 내부 보안 사고 원인 분석 및 증거 보존
일반 기업 Network Forensics 도입 목적
내부 네트워크 장애 원인 분석 내부 보안 사고 원인 분석 및 증거 보존
예: Intel, IBM, Nortel, Cisco, General Motors, Ford, Qualcomm, Federal Express, United Airline, Sony, Fujitsu, NEC, Hitachi, etc.
19
테라스코프(주)
서울특별시 강남구 대치동 906-23만수빌딩 3층
Tel: 02-564-0067Fax: 02-564-0063
문의: 나병윤 팀장
Copyright 2008 Na Byeong Yoon
