독립서버호스팅코로케이션서버관리대행부가서비스라이센스서비스자주하는 질문묻고 답하기프로그램자료실


보안
골뱅이 서버호스팅 서비스에서는 고객 데이터의 안전을 위한 다양한 보안서비스를 기본 제공하고 있습니다.
FIREWALL (방화벽) - 기본 탑재
  • - 오늘날 인터넷에서 공통적으로 사용하는 방화벽에는 두가지 서로 다른 종류가 있습니다.
    첫번째 형태는 패킷 필터링 게이트웨이라고 부르는 것이 더 적절한데, 여러곳에 연결된 기계의 커널이 일련의 규칙에 의거해 패킷을 전달할지 막을지를 결정합니다.
    두번째 형태는 프록시 서버로 알려져 있는데, 커널 패킷 전달 기능을 막은 여러곳에 연결된 기계에 의해 인증을 제공하고 패킷을 전달하는 대몬에 의존합니다.
    종종 사이트는 두 종류의 방화벽을 결합하여 어떤 기계만 (배스천(bastion, 요새) 호스트라고 알려진)이 패킷 필터링 라우터를 통해 내부 네트워크로 패킷을 보내도록 허용합니다.

    * 패킷 필터링 라우터란?
    라우터는 둘 이상의 네트워크에서 패킷을 전달하는 기계입니다.
    패킷 필터링 라우터는 커널 안에 별도의 코드를 갖고 있어서 각 패킷을 전달 여부를 결정하는 일련의 규칙과 비교합니다.
    IPFW가 하는 일은?
    • - IPFW, IPTABLES, FreeBSD , LINUX 에서 제공하는 소프트웨어로 커널 안에 있는 패킷 필터링과 어카운팅 시스템이며, 사용자 수준의 제어 유틸리티를 갖고 있습니다.
      두가지 모두 경로 결정에서 커널이 현재 사용할 규칙을 찾아보고 정의할 수 있도록 합니다.
      IPFW , IPTABLES 에는 두가지 관련 분야가 있는데, 방화벽 섹션은 패킷 필터링을 수행할 수 있도록 합니다.
      또한 IP 어카운팅 섹션은 방화벽 섹션과 비슷한 규칙에 의해 여러분의 라우터의 사용처를 추적할 수 있도록 합니다.

      예를 들어 어떤 기계에서 얼마나 많은 양을 라우터가 받고 있는지, WWW(월드 와이드 웹)은 얼마나 전달하고 있는지 알 수 있게 합니다.

      IPFW , IPTABLES 의 설계 방식의 결과로, 비 라우터 기계에서 IPFW,IPTABLES 를 사용하여 나가고 들어오는 연결에 대해 패킷 필터링을 수행할 수 있습니다.
      이는 IPFW,IPTABLES 의 더 일반적인 사용의 특별한 경우이며, 이 경우에서 같은 명령과 기법을 사용합니다.
COPS(Computer Oracle and Password System) - 기본 탑재
  • - cops(Computer Oracle and Password System)은 시스템 보안 감시활동을 자동화해주는 프로그램입니다.
    자신의 unix, linux시스템에 대한 보안 감시활동을 위한 프로그램으로서 cops는 시스템에 침투한 외부 크랙커나, 악의적인 내부 사용자들이 시스템 관리자 몰래 시스템을 변경하더라도 이 cops 프로그램을 실행함으로써 초기에 시스템 관리자가 설정한 것과 다르게  변경된 모든 것을 보여주므로, 어느 부분이 변경되어서 시스템이 보안에 취약해졌는 가를 알 수 있게 되는 것입니다.
    또한, 시스템 관리자의 실수로 인해 잘못 설정된 시스템의 취약부분도 함께 보여줌으로써 시스템의 보안을 높여줍니다.

    cops가 시스템 보안으로서 중요한 점은 시스템 관리자의 실수이던, 외부침입으로 인한 보안 문제이던지 즉각적인 발견이 가능하다는 점입니다.
TCPWRAPPER - 기본 탑재
  • - TCPWRAPPER란 호스트레벨에서 특정 프로토콜과 포트, 네트워크 IP 에 따른 접속허가를 내줄 것인지 거부할 것인지 결정하는 packet dropper이라고 볼 수 있습니다.
    이를 이용해서 서버의 접근제어를 이중 이상의 구조로 설정하고 있습니다.
Chkrootkit - 기본 탑재
  • - chkrootkit은 알려진 루트킷을 탐지하는데 사용합니다.
    루트킷의 기본 파일을 검색할 뿐 아니라 의심스러운 내용에 대해 핵심 시스템 바이너리를 검사합니다. 패키지에서 남아있는 애플리케이션들은 네트워크 인터페이스가 무차별(promiscuous) 모드(netstat를 신뢰하지 말라고 했던 것을 기억하라)인지를 발견하는데 도움을 주는 ifpromisc와 다양한 로그 파일에서 삭제를 탐지하는 chklastlog, chkwtmp, check_wtmpx, 적재가능한 커널 모듈(LKM: Loadable Kernel Module) 트로얀과 감추어진 프로세스를 탐지하는 chkproc 등으로 구성되어있습니다.

    Rkhunter , Nmap 등등 그외 다수의 시스템 보안관련 도구들을 골뱅이 서버호스팅에서 기본 제공합니다.
IDS (침입 탐지시스템) - 유료 서비스
  • - 골뱅이 IDS 는 Snort로 구성되어있습니다. 또한, 여러가지 확장기능을 이용해서 처리방식을 추가할 수 있도록 구성되어 있습니다.
  • - IDS 시스템 가운데 골뱅이에서 제공하는 Snort는 스니퍼, 전처리기, 탐지 엔진, 출력 모듈의 4 가지 구성 요소로 이루어져 있습니다.
    스니퍼 스니퍼(sniffer) 또는 패킷 스니퍼는 네트워크에서 데이터를 수집하는 소프트웨어나 하드웨어를 의미합니다. Snort는 원래 스니퍼 용도로 만든 프로그램이기 때문 에 기본적으로 네트워크를 돌아다니는 패킷을 잡아낼 수 있습니다.
    전처리기
    (preprocessor)
    스니퍼에서 캡처한 네트워크 패킷은 전처리기로 이동합니다. Snort의 전처리기는 패킷을 탐지 엔진에서 비교하기 전에 사전 처리 작업을 해주는 역할을 합니다.
    예를 들어, stream 전처리기는 여러 TCP 패킷을 하나로 모음으로써 여러 패킷에 걸친 공격을 잡아내는 역할을 합니다. Snort의 다른 부분과 마찬가지로 전처리기도 플러그-인 방식으로 되어 있습니다.
    플러그-인 방식의 장점은 그때그때 필요한 플러그-인을 추가하거나 삭제하기가 쉽기 때문에 훨씬 유연한 소프트웨어를 운영할 수 있다는데 있습니다.
    탐지 엔진 탐지 엔진은 Snort의 핵심 모듈로서 패킷과 규칙을 비교하여, 패킷에 해당하는 규칙이 있을 경우 경고를 발생합니다.
    Snort의 규칙은 Snort에서 가장 중요한 부분으로 Snort에는 나름대로 규칙 문법이 있습니다. 규칙 문법은 프로토콜의 종류, 컨텐트, 길이, 헤더, 기타 여러 요소(버퍼 오버플로우를 정의하기 위한 쓰레기 문자 등)를 포함하고 있습니다.
    규칙을 잘 설정하면 Snort를 자신의 환경에 맞게 커스터마이징하는 것이 가능한 것입니다.
    출력 모듈 Snort가 발생시킨 경고는 출력 모듈로 전송됩니다. 출력 모듈도 플러그-인 구조로 되어 있으며, 현재 Snort는 로그 파일, 네트워크 연결, UNIX 소켓 또는 윈도우 팝업(SMB), 또는 SNMP 트랩, MySQL과 Postgres와 같은 SQL 데이터베이스로 경고를 보낼 수 있습니다.
    그리고 Snort의 경고를 분석하기 위한 여러 툴이 나와 있습니다. 그 중 대표적인 툴로 SnortSnarf와 Swatch, ACID 등을 들 수 있습니다.
서비스 상담
  • - 담당자 : 송희철 팀장
  • - 전   화 : 02-517-1864
  • - 메   일 : server@atat.co.kr