IPS 시그니처 생성

이름

영숫자 문자, 콜론, 마침표, 대시 및 밑줄의 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 최대 길이는 63자입니다.

설명

IPS 서명에 대한 설명을 입력합니다. 최대 길이는 1024자입니다.

범주

미리 정의된 범주 또는 새 범주를 입력합니다. 이 범주를 사용하여 공격 객체를 그룹화합니다. 각 범주 내에서 공격 객체는 심각도에 따라 그룹화됩니다. 예: FTP, 트로이 목마, SNMP.

작업

모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IPS 시그니처가 수행할 작업을 선택합니다.

• 없음 - 아무 작업도 수행되지 않습니다. 일부 트래픽에 대한 로그만 생성하려면 이 작업을 사용합니다.

• Close Client & Server(클라이언트 및 서버 닫기) - 연결을 닫고 클라이언트와 서버 모두에 RST 패킷을 전송합니다.

• Close Client(클라이언트 닫기) - 연결을 닫고 RST 패킷을 서버가 아닌 클라이언트로 보냅니다.

• 서버 닫기 - 연결을 닫고 RST 패킷을 클라이언트보다는 서버로 보냅니다.

• 무시 - 공격 일치가 발견되면 나머지 연결에 대한 트래픽 스캔을 중지합니다. IPS는 특정 연결에 대한 규칙 베이스를 비활성화합니다.

• Drop(삭제) - 연결과 관련된 모든 패킷을 삭제하여 연결 트래픽이 목적지에 도달하지 못하도록 합니다. 스푸핑이 발생하지 않는 트래픽에 대한 연결을 끊으려면 이 작업을 사용합니다.

• Drop Packet(패킷 삭제) - 대상에 도달하기 전에 일치하는 패킷을 삭제하지만 연결을 닫지는 않습니다. UDP 트래픽과 같이 스푸핑이 발생하기 쉬운 트래픽의 공격에 대한 패킷을 삭제하려면 이 작업을 사용합니다. 이러한 트래픽에 대한 연결을 끊으면 합법적인 원본-IP 주소에서 트래픽을 수신하지 못하게 하는 서비스 거부가 발생할 수 있습니다.

키워드

로그 레코드를 검색하고 정렬하는 데 사용할 수 있는 고유 식별자를 입력합니다. 키워드는 공격 및 공격 대상과 관련되어야 합니다. 예를 들어 Amanda Amindexd Remote Overflow입니다.

심각도

시그니처가 보고할 공격의 심각도 수준을 선택합니다.

• Critical—탐지를 회피하거나, 네트워크 디바이스 충돌을 일으키거나, 시스템 수준 권한을 획득하려는 익스플로잇과 일치하는 공격 객체를 포함합니다.

• 정보 - URL, DNS 조회 실패, SNMP 공용 커뮤니티 문자열 및 P2P(Peer-to-Peer) 매개 변수를 포함하는 정상적이고 무해한 트래픽과 일치하는 공격 객체를 포함합니다. 정보 공격 객체를 사용하여 네트워크에 대한 정보를 얻을 수 있습니다.

• Major - 서비스를 중단시키거나, 네트워크 디바이스에 대한 사용자 수준 액세스 권한을 얻거나, 이전에 디바이스에 로드된 트로이 목마를 활성화하려는 익스플로잇과 일치하는 공격 객체를 포함합니다.

• Minor - 디렉터리 탐색 또는 정보 유출을 통해 중요한 정보에 액세스하려는 정찰 노력을 탐지하는 익스플로잇과 일치하는 공격 객체를 포함합니다.

• 경고 - 중요하지 않은 정보를 획득하거나 검사 도구를 사용하여 네트워크를 검사하려는 익스플로잇과 일치하는 공격 객체를 포함합니다.

가장 위험한 수준은 서버를 충돌시키거나 네트워크를 제어하려고 시도하는 위험입니다. 정보 제공은 가장 위험하지 않은 수준으로, 네트워크 관리자가 보안 시스템의 허점을 발견하는 데 사용합니다.

서명 세부 정보

바인딩

공격이 네트워크에 침입하는 데 사용하는 서비스 또는 프로토콜을 탐지하는 옵션을 선택합니다.

• IP—IPS가 지정된 IP 프로토콜 유형에 대한 시그니처와 일치하도록 허용합니다.

• ICMP - IPS가 지정된 ICMP ID의 서명과 일치하도록 허용합니다.

• TCP - IPS가 지정된 TCP 포트에 대한 서명과 일치하도록 허용합니다.

• UDP - IPS가 지정된 UDP 포트에 대한 서명과 일치하도록 허용합니다.

• RPC - IPS가 지정된 원격 절차 호출(RPC) 프로그램 번호에 대한 서명과 일치하도록 허용합니다. RPC 프로토콜은 분산 처리 응용 프로그램에서 프로세스 간의 상호 작용을 원격으로 처리하는 데 사용됩니다.

• Service(서비스) - IPS가 지정된 서비스에 대한 시그니처와 일치하도록 허용합니다.

• IPv6 또는 ICMPv6 - 서명 공격에 대한 헤더 일치 정보를 지정합니다. IPS가 IPv6 및 ICMPv6 헤더 정보에 대한 패턴 일치를 패킷에서 검색하도록 지정할 수 있습니다.

프로토콜

네트워크 프로토콜의 이름을 입력합니다. 예: IGMP, IP-IP.

다음 머리글

IPv6 헤더 바로 뒤에 오는 헤더의 IP 프로토콜 유형을 입력합니다.

예를 들어, 디바이스가 교환된 패킷에서 IPsec을 수행하는 경우 다음 헤더 값은 50(ESP 확장 헤더) 또는 51(AH 확장 헤더)일 수 있습니다.

포트 범위

TCP 및 UDP 프로토콜 유형에 대한 포트 범위를 입력합니다.

프로그램 번호

RPC 프로토콜의 프로그램 ID를 입력합니다.

서비스

공격이 네트워크에 진입하는 데 사용하는 서비스를 지정합니다. 공격을 수행하는 데 사용되는 특정 서비스를 서비스 바인딩으로 선택할 수 있습니다.

예를 들어, DISCARD 서비스를 선택한다고 가정해 보겠습니다. 폐기 프로토콜은 TCP/9, UDP/9가 포트 9로 전송된 TCP 또는 UDP 데이터를 폐기하는 프로세스를 설명하는 애플리케이션 계층 프로토콜입니다.

시간 범위

공격 횟수가 발생하는 범위를 선택합니다.

• 소스 IP—대상 주소에 관계없이 지정된 횟수만큼 소스 주소로부터의 공격을 탐지합니다.

• Dest IP—소스 주소에 관계없이 지정된 횟수만큼 대상 주소로 전송된 공격을 탐지합니다.

• 피어 - 지정된 횟수만큼 세션의 소스 및 대상 IP 주소 간의 공격을 탐지합니다.

시간 수

디바이스가 공격 객체가 공격과 일치하는 것으로 간주하기 전에 공격 객체가 지정된 범위 내에서 공격을 탐지해야 하는 횟수를 지정합니다.

범위는 0에서 4,294,967,295까지입니다.

매치 어슈어런스(Match Assurance)

이 필터를 지정하여 공격이 네트워크에서 오탐을 생성하는 빈도를 기반으로 공격 객체를 추적합니다.

다음 옵션 중 하나를 선택합니다.

• 높음 - 자주 추적되는 오탐 발생에 대한 정보를 제공합니다.

• Medium(중간) - 가끔 추적되는 오탐 발생에 대한 정보를 제공합니다.

• 낮음 - 드물게 추적되는 오탐 발생에 대한 정보를 제공합니다.

성능 영향

이 필터를 지정하여 성능이 느린 공격 객체를 필터링합니다. 이 필터를 사용하여 성능에 미치는 영향에 따라 적절한 공격만 선택할 수 있습니다.

다음 옵션 중 하나를 선택합니다.

• 높음 - 공격에 취약한 고성능 영향 공격 객체를 추가합니다. 서명이 성능에 미치는 영향은 높음7에서 높음9 사이이며, 이 경우 애플리케이션 식별이 느립니다.

• Medium(중간) - 공격에 취약한 중간 성능 영향 공격 객체를 추가합니다. 서명이 성능에 미치는 영향은 중간4에서 중간6 사이이며, 애플리케이션 식별은 정상입니다.

• 낮음 - 공격에 취약한 성능 영향이 낮은 공격 객체를 추가합니다. 서명이 성능에 미치는 영향은 낮음1에서 낮음3 사이이며, 이 경우 애플리케이션 식별이 더 빠릅니다.

• 알 수 없음(Unknown) - 기본적으로 모든 공격 객체를 알 수 없음(unknown)으로 설정합니다. IPS를 네트워크 트래픽에 맞게 미세 조정할 때 이 설정을 변경하여 성능에 미치는 영향을 추적할 수 있습니다. 서명이 성능에 미치는 영향은 0 = 알 수 없음이며, 응용 프로그램 ID도 알 수 없습니다.

식

공격 멤버를 일치시켜야 하는 방식을 식별하는 데 사용되는 공격 멤버의 부울 표현식을 입력합니다.

예: m01 및 m02, 여기서 m01, m02는 공격 멤버입니다.

범위

공격이 세션 내에서 일치하는지 또는 세션의 트랜잭션 간에 일치하는지 지정합니다.

• session - 동일한 세션 내에서 객체에 대해 여러 일치를 허용합니다.

• transaction - 동일한 세션 내에서 발생하는 여러 트랜잭션에서 객체를 일치시킵니다.

재설정

이 옵션을 활성화하면 동일한 세션 내에서 공격이 탐지될 때마다 새 로그를 생성합니다. 이 옵션을 선택하지 않으면 공격이 세션당 한 번만 기록됩니다.

주문

이 옵션을 활성화하면 지정한 순서대로 각 멤버 시그니처 또는 프로토콜 이상과 일치해야 하는 복합 공격 객체를 생성할 수 있습니다. 순서를 지정하지 않으면 복합 공격 객체는 여전히 모든 멤버와 일치해야 하지만, 패턴 또는 프로토콜 이상은 어떤 순서로든 공격에 나타날 수 있습니다.

복합 공격 객체는 여러 가지 방법을 사용하여 취약성을 악용하는 공격을 탐지합니다.

서명 추가

컨텍스트

서명 위치를 정의하는 옵션을 선택합니다.

서비스 및 특정 서비스 컨텍스트를 알고 있는 경우 해당 서비스를 지정한 다음 적절한 서비스 컨텍스트를 지정합니다.

서비스를 알고 있지만 특정 서비스 컨텍스트를 잘 모르는 경우 일반 컨텍스트 중 하나를 지정합니다.

예: line - 네트워크 트래픽 내의 특정 라인 내에서 패턴 일치를 감지하려면 이 컨텍스트를 지정합니다.

방향

공격의 연결 방향을 지정합니다.

• 클라이언트-서버—클라이언트-서버 트래픽에서만 공격을 탐지합니다.

• Server to Client(서버-클라이언트) - 서버-클라이언트 트래픽에서만 공격을 탐지합니다.

• Any(모두) - 어느 방향으로든 공격을 탐지합니다.

Any 대신 단일 방향을 사용하면 성능이 향상되고, 오탐이 줄어들고, 탐지 정확도가 높아집니다.

패턴

탐지하려는 공격의 시그니처 패턴을 입력합니다. 시그니처는 공격 내에 항상 존재하는 패턴입니다. 공격이 존재하면 시그니처도 존재합니다.

공격 패턴을 만들려면 먼저 공격을 분석하여 패턴(예: 코드 세그먼트, URL 또는 패킷 헤더의 값)을 감지한 다음 해당 패턴을 나타내는 구문 표현식을 만들어야 합니다.

예: 대소문자를 구분하지 않는 일치에는 \[<character-set>\]를 사용합니다.

Regex

정규식을 입력하여 네트워크를 통한 악의적 또는 원치 않는 동작과 일치하는 규칙을 정의합니다.

예: \[hello\] 구문의 경우 예상되는 패턴은 hello이며 대소문자를 구분합니다.

예를 들어 hElLo, HEllO 및 heLLO와 일치할 수 있습니다.

부정

지정된 패턴이 일치하지 않도록 제외하려면 이 옵션을 선택합니다.

패턴을 부정한다는 것은 공격에 정의된 패턴이 지정된 패턴과 일치하지 않을 경우 공격이 일치하는 것으로 간주됨을 의미합니다.

이상 징후 추가

변칙

사용 중인 특정 프로토콜에 대한 규칙 집합에 따라 연결 내에서 비정상적이거나 모호한 메시지를 감지하려면 옵션을 선택합니다.

프로토콜 이상 탐지는 대부분 RFC 및 일반적인 RFC 확장으로 정의되는 프로토콜 표준과의 편차를 찾는 방식으로 작동합니다.

방향

공격의 연결 방향을 지정합니다.

• 클라이언트-서버—클라이언트-서버 트래픽에서만 공격을 탐지합니다.

• Server to Client(서버-클라이언트) - 서버-클라이언트 트래픽에서만 공격을 탐지합니다.

• Any(모두) - 어느 방향으로든 공격을 탐지합니다.

Any 대신 단일 방향을 사용하면 성능이 향상되고, 오탐이 줄어들고, 탐지 정확도가 높아집니다.

지원되는 감지기

Supported Detectors(지원되는 탐지기) 링크를 클릭하여 디바이스 플랫폼 및 디바이스에서 현재 실행 중인 IPS 프로토콜 탐지기의 버전 번호를 보여주는 테이블을 표시합니다.

예를 들어:

• 플랫폼 - SRX550

• 감지기 버전 - 9.1.140080400