[보안] Real Time Scan Detector 설치 방법(RTSD)

Real Time Scan Detector 설치 방법

1. RTSD 소개

1) 개요

네트워크 보안 취약점을 자동으로 검색해주는 다양한 도구들이 인터넷에 공개되고

있어 국내정보통신망에 대한 취약점 정보수집 및 대규모 단위의 네트워크 검색공격

을 통한 해킹사고가크게 증가하고 있습니다.

CERT-KR(http://tobit.yonsei.ac.kr/~security/documents/www.certcc.or.kr)에서

만든 RTSD(Real Time Scan Detector)는 이러한 검색공격을 초기에 발견하고

침입을 예방하기 위하여 네트워크 취약점 검색 공격을 실시간으로 탐지하고 대응할

수 있는 도구입니다. 즉 어떠한 스캔 도구(SAINT나 SSCAN, NMAP 등)로 특정 호스트를

공격할때 RTSD는 그 호스트가 설치되어 있는 네트웍 내에 하나의 호스트에 설치되어

이러한 스캔 공격을 탐지할 수 있습니다. 이렇게 탐지된 스캔 공격은 특정한 메일과

CERTCC-KR로 정보가 보내지어 집니다.

2) 다운로드

이 프로그램은 certcc-kr에서 제작되었으며

http://www.certcc.or.kr/cvirc/y2kvirus/down/RTSD/register.html에서

등록 후

다운로드 받을 수 있습니다.

3) 설치 환경

이 프로그램은 solaris 5.x이상, Linux 2.0.x 이상의 환경에서 설치 가능하다.

RTSD는 firewall이 없는 네트워크나 또는 firewall 앞단에서 네트워크 스캔공격을

탐지할수 있다. 만약 firewall 뒤에 설치하게 되면 firewall에 의하여 대부분의

트래픽이 차단되기 때문에 스캔공격을 탐지할 수 없게된다. 따라서 RTSD는 네트워크

의 입구인 게이트웨이나또는 바운더리(Boundary) 네트워크에 설치함으로서 보다 큰

효과를 볼 수 있다.

2. RTSD 설치 방법

1) 우선 certcc-kr에서 다운로드를 받은 후.

2) 압축을 푼다.

tar -xvf RTSD.tar

3) 풀린 디렉토리로 들어 간다.

cd RTSD-0.1

4) 우선 OS에 따라 Makefile을 편집하여야 한다.

OS가 SunOs인 경우 프로 그램 다운을 받았을  주석 그대로

#LIBS for sunos    : OS가 sunos인 경우의 라이브러리 설정

LIBS   = -lsocket -lnsl -lpcap   :

OS가 SunOS인 경우, 이곳에 #가 있으면 없애 준다.

#LIBS for linux     : Linux인 경우의 라이브러리 설정

#LIBS = -lpcap    : OS가 Linux인 경우 이곳에 #이 있으면 없애 준다.

#Compiler: Compiler 설정

CC = gcc: Compiler가 cc인 경우 cc로 변경

5) rule.h 파일을 편집한다. (일반적인 경우에 그대로 두어도 된다.)

CONFIG화일을 참조한다.

#define SCAN_COUNT_THRESHOLD 5

#define SCAN_DELAY_THRESHOLD (CLK_TCK * 1)

#define SCAN_DELAY_THRESHOLD 50

#define IGPORT  “and not (port 80 or 113 or 20 or 8080 or 143)”

#define IGNET   “and not src net 0.0.0”

– SCAN_COUNT_THRESHOLD 숫자

: 스캔탐지를 위한 네트워크 연결요청 한계값

: 적정값 : 5 – 10 (Default : 5)

– SCAN_DELAY_THRESHOLD 50

: 스캔탐지를 위한 네트워크 연결요청 간의 지연시간

: 적정값 : CLK_TCK 단위사용시 : 1에서 최대 4정도까지, 숫자만을 사용할

경우 : 30에서 400(100을 1초로 계산)

– IGPORT “and not (port 80 or 113 or 20 or 8080 … )”

: 스캔탐지에서 제외할 포트 번호

: http(80 or 8080), auth(113), ftp-data(20)는 되도록 제외할 것

: or로 연결하여 추가

– IGNET “and not src net 0.0.0”

: 스캔탐지에서 제외할 네트워크

: 0.0.0 대신에 자신의 로컬 또는 특정 네트워크 번호 입력

: 예 : C 클래스인경우(xxx.xxx.xxx), B 클래스인경우(xxx.xxx)

6)make를 실행 시킨다.

[root@charisma RTSD-0.2]# make

********************************************************************

* 스캔탐지 시스템은 스캔공격을 탐지하여 해킹사고를 미연에 방지하고 *

* 국내 정보통신망에 대한 공격시도 현황을 팍악하고자 개발된 시스템  *

* 입니다.                                                          *

*                                                                  *

*   한국정보보호센터 CERTCC-KR에서는  본 시스템에 내장된 스캔공격  *

* 자동보고 기능을 이용하여 공격시도 현황을 파악함으로서 해킹사고를 *

* 미연에 방지하는데 활용하고자 합니다.                             *

*                                                                  *

*   다음의 정보 입력란에 성실히 입력해 주시면 고맙겠습니다. 입력된 *

* 정보는 E-mail을 이용하여 CERTCC-KR로 보내지고 국내 해킹시도 현황 *

* 파악에 이용될 것입니다.                                          *

*                                                                  *

*   스캔공격탐지를 CERTCC-KR에 보고하시겠습니까? 라는 질문에 Yes를 *

* 해주시면 탐지된 공격에 대하여 CERTCC-KR 에서 공격자  역추적 등   *

* 적극적 대응을 지원해 줍니다.                                     *

*                                                                  *

* 제공되는 정보는 상위의 목적외에는 사용되지 않습니다.             *

********************************************************************

** 정보시스템 침해사고 접수 :                                     **

** TEL(02)3488-4119  FAX:(02)3488-4129  E-mail:cert at certcc.or.kr  **

** URL: www.certcc.or.kr                                          **

********************************************************************

[기관명]:->

: 자신의 기관명 입력

[스캔공격 탐지를 보고받을 E-mail 주소(Default root)]:->

: 스캔공격 탐지 정보를 받아볼 E-mail 주소

: 자신 또는 시스템 관리자의 E-mail 주소

[스탠공격 탐지를 CERTCC-KR에 보고하시겠습니까(Y/N, Default Y)]:->

: Y를 할 경우 스캔공격 정보를 CERTCC-KR의 관리서버로 전자메일을 통하여

: 송신하여 공격사실 신고

3. 실행

실행은 반드시 루트권한으로 해야 한다.

su

./RTSD  : RTSD가 있는 디럭토리 내에서…

이렇게 되면 RTSD 데몬이 실행되게 된다.

./RTSD -d

라고 하면 디버그 모드로 실행된다.(처리 과정을 화면으로 보여 준다.)

[01/10/12 13:15:54] 211.47.64.145:57735 -> 211.47.67.1:28

[01/10/12 13:15:54] 211.47.64.145:57736 -> 211.47.67.1:27

[01/10/12 13:15:54] 211.47.64.145:57737 -> 211.47.67.1:26

[01/10/12 13:15:54] 211.47.64.145:57738 -> 211.47.67.1:25

[01/10/12 13:15:54] 211.47.64.145:57739 -> 211.47.67.1:24

[01/10/12 13:15:54] 211.47.64.145:57740 -> 211.47.67.1:23

[01/10/12 13:15:54] 211.47.64.145:57744 -> 211.47.67.1:19

[01/10/12 13:15:54] 211.47.64.145:57745 -> 211.47.67.1:18

[01/10/12 13:15:54] 211.47.64.145:57746 -> 211.47.67.1:17

[01/10/12 13:15:54] 211.47.64.145:57747 -> 211.47.67.1:16

[01/10/12 13:15:54] 211.47.64.145:57748 -> 211.47.67.1:15

[01/10/12 13:15:54] 211.47.64.145:57749 -> 211.47.67.1:14

[01/10/12 13:15:54] 211.47.64.145:57750 -> 211.47.67.1:13

[01/10/12 13:15:54] 211.47.64.145:57751 -> 211.47.67.1:12

<디버그 모드 실행 장면>

스캔을 시도 해봤을 때 디버그 모드에서 나타나는 화면은 위와 같다.

위에서 감지된 스캔 공격은 즉시 정해진 메일로 보내지게 된다.

[Scan Attack] From 165.132.119.207:3246 To 165.132.119.205:79

[Scan Attack] From 165.132.119.207:3247 To 165.132.119.205:79

[Scan Attack] From 165.132.119.207:3248 To 165.132.119.205:79

[Scan Attack] From 165.132.119.207:3249 To 165.132.119.205:79

[Scan Attack] From 165.132.119.207:3250 To 165.132.119.205:79

위의 메시지는

165.132.119.207호스트에서 165.132.119.205 호스트의 79번 포트로 스캔 공격이

감행되었다는 것을 나타낸다.