위험감지의 이해

센서 및 에이전트는 네트워크 트래픽의 이상행위를 탐지하여 위험이 있는 단말을 식별하고 정책에 따라 차단합니다.

ARP Bomb, MAC+IP Clone, ARP Spoofing, Ad Hoc 네트워크 등과 같은 비정상적인 행위를 탐지합니다.

위와 같은 위험행위를 탐지 하려면 노드 정책에 위험감지 항목들을 할당 해야합니다.

ARP Bomb

네트워크센서가 ARP를 모니터링할 때, 과도한 ARP 패킷이 발생하는 장치가 감지되면 해당 노드를 위험 노드로 분류합니다. 공격자 노드는 Request 패킷을 대상 노드에 지속적으로 전송하여 빠르게 캐쉬를 가득 채웁니다. 곧 대상 노드는 캐시를 유지하기 위해 더 많은 리소스를 사용할 것이며, 이로 인해 버퍼 오버플로우가 발생할 수 있습니다. 그리고 정상적인 패킷이 캐쉬에 입력되지 않을 것입니다.

Genian NAC는 다양한 방법으로 전송되는 과도한 ARP Request 패킷을 감지할 수 있습니다. 네트워크센서는 각 노드가 전송한 ARP 패킷 수를 계산합니다. ARP Request가 지정된 값보다 많은 경우, ARP Bomb으로 판단하고 위험노드로 지정합니다.

  • 감지기간 은 위험으로 감지하기 위한 기간을 설정합니다.
  • 요청횟수 ARP Request 횟수를 설정합니다. 감지기간 동안 ARP Request가 지정한 횟수 이상일 경우에 위험으로 감지합니다.
  • 공격자 검색방법 과도한 ARP 패킷을 전송하는 노드를 찾기 위한 방법을 선택합니다.

MAC/IP Clone

IP 프로토콜은 IP 및 MAC 주소를 사용하여 통신 대상을 식별합니다. 별다른 검증 절차가 없기에 쉽게 탈취 할 수 있습니다. 만약 악성 단말이 MAC/IP를 복제한 경우 패킷 수준에서 일반 시스템과 도난된 시스템을 구분하는 것은 매우 어렵습니다.

그러나 Genian NAC는 다양한 방법으로 MAC/IP 탈취를 탐지 할 수 있습니다. 네트워크센서는 주기적으로 ARP Request를 전송하여 장치의 동작 상태를 확인합니다. 동시에 두 개의 응답이 수신되면 MAC / IP Clone 을 의심하고 위험 노드로 지정합니다. 추가적으로 악성 단말이 에이전트가 설치되어 있는 단말의 MAC으로 변경한다면, 즉시 공격 단말을 위험노드로 지정합니다.

Malware Detection

에이전트를 통해 엔드포인트에 존재하는 악성 PE (Portable Excutable) 파일을 탐지할 수 있습니다.

Ad Hoc 네트워크 연결

에이전트는 다양한 방법의 multi-homed 설정이나 Ad Hoc 네트워크 연결을 즉시 감지할 수 있습니다. IP 주소가 두 개 이상인 컴퓨터가 두 개 이상의 네트워크에 연결되어 있고 그 중 하나가 신뢰할 수 없는 경우 위험노드로 지정합니다. 이는 에이전트 제어 옵션뿐만 아니라 노드액션의 인터페이스 제어와 함께 수행할 수 있습니다. client-to-client 통신 탐지 (에이전트 필요)

  • 차단방법: 장치차단 또는 감사로그
  • 차단팝업 사용: 예 또는 아니오
  • 예외장치명: 위험감지에 예외할 장치를 지정 (장치명이 정확히 일치해야하므로 Interface Type Exception로 설정하는 것이 더 효율적입니다.)
  • 예외장치타입: 유선, 무선, 가상

Port Scan

Genian NAC는 다양한 방법으로 수행하는 포트스캔을 감지할 수 있습니다. 네트워크센서는 포트 스캔 이벤트를 감지하기 위해 네트워크 트래픽의 흐름을 모니터링합니다. 가상 IP 주소에 대해 취약점을 찾기 위해 포트를 스캔한다면, 해당 노드를 위험노드로 지정합니다. 추가적으로 특정 기간 사이에 지정 횟수 이상으로 포트가 스캔 된다면, 위험노드로 지정합니다. TCP 또는 UDP 포트를 스캔하려는 단말을 감지합니다. Genian NAC는 스캐닝 단말을 감지하기 위해 허니팟 IP를 사용합니다.

  • 감지기간 은 위험으로 감지하기 위한 기간을 설정합니다.
  • 요청횟수 포트 접근 횟수를 설정합니다. 감지기간 동안 지정한 횟수 이상의 포트 접근 시 위험으로 감지합니다.
  • 공격자 검색방법 위험탐지 시 공격자 노드를 찾기 위한 방법을 선택합니다.

비정상적인 DHCP서버 감지

DHCP 서버가 분배하는 DNS값을 센서에 설정된 DNS와 일치여부를 비교하여, 비정상적인 DHCP 서버를 감지할 수 있습니다.

잘못된 게이트웨이 사용

에이전트는 허용되지 않은 게이트웨이 설정을 즉시 감지 할 수 있습니다. 만약 노드에 신뢰할 수 없는 게이트웨이 주소 (또는 기본 게이트웨이)가 설정 되어있다면, 해당 노드를 위험노드로 지정합니다. 이는 에이전트 제어 옵션뿐만 아니라 노드액션의 인터페이스 제어와 함께 수행할 수 있습니다.

  • 차단방법: 장치차단 또는 감사로그
  • 차단팝업 사용: 예 또는 아니오
  • 예외장치명: 위험감지에 예외할 장치를 지정 (장치명이 정확히 일치해야 하므로 Interface Type Exception로 설정하는 것이 더 정확합니다.)
  • 예외장치타입: 유선, 무선, 가상

센서 MAC Clone

센서의 MAC 주소가 복제 되었는지를 감지합니다. (설정 필요 없음)

ARP Spoofing

Genian NAC는 다양한 방법으로 ARP 변조 패킷을 감지할 수 있습니다. 네트워크센서는 네트워크의 ARP 응답을 수신하며 ARP sender와 source MAC 주소의 변화나 차이점을 검사합니다. 또한, 스푸핑을 시도한 장치를 차단하고 ARP Detox를 통해 정상 MAC으로 갱신합니다.

  • 감지기간 은 위험으로 감지하기 위한 기간을 설정합니다.
  • 공격횟수 ARP 변조 패킷 횟수를 설정합니다. 감지기간 동안 지정한 횟수 이상의 ARP변조 패킷을 보낼 경우 위험으로 감지합니다.

ARP Enforcement은 네트워크 장치의 통신을 차단하는데 사용하는 기술이지만, ARP Spoofing은 주로 악성 코드로 사용되며 또한 다른 단말간의 통신을 도청하는데 사용합니다. .. note:: VRRP(Virtual Router Redundancy Protocol)를 사용하는 경우 ARP Sender MAC 주소가 실제 MAC 주소인 ether src MAC 주소와 다를 수 있습니다. Genian NAC는 VRRP, HSRP 또는 GLBP 등 알려진 프로토콜에 대하여 감지되지 않도록 예외처리합니다.

알수없는 서비스 요청

Genian NAC는 다양한 방법으로 제공하지 않는 서비스 요청시도를 감지할 수 있습니다. 네트워크센서는 가상의 허니팟을 이용하여 서비스요청을 감지합니다. 만약 가상IP 주소로 제공하지 않은 서비스 요청시도가 감지되면, 일정 기간 내에 지정된 값 이상의 서비스를 요청하면 위험노드로 지정합니다.

  • 감지기간 은 위험으로 감지하기 위한 감지기간을 설정합니다.
  • 요청횟수 감지기간동안 지정된 횟수이상 서비스요청시 위험으로 탐지합니다.
  • 공격자 검색방법 공격자 노드를 찾기 위한 방법을 선택합니다.

SNMP 차단요청

Genian NAC에서는 외부 시스템과 SNMP Trap 연동을 통해 네트워크 제어와 네트워크 제어 해제요청을 수신하여 해당 단말을 위험노드로 지정할 수 있습니다. 또한, 태그 할당 기능을 통해 SNMP Trap이 수신된 단말에 제어를 수행할 수 있습니다.

태그 할당 기능을 로그 발생 시 태그 할당 를 참고하시기 바랍니다.