한빛출판네트워크

발췌: 『Incident Response』 Tripwire 이 기사는 『Incident Response』의 챕터 7에서 발췌한 내용으로 지난번 기사에 이어 두 번째로 연재되고 있는 기사이다. 이번에는 시스템에 침입한 해커를 감지하기위해 시스템 관리자가 사용하는 도구인 Tripwire에 대해 살펴보기로 하겠다. 여러분은 이 도구를 사용하여 해커가 시스템에 침입하여 변경해 놓은 모든 사항을 감지해 낼 수 있다. 초창기에 Tripwire는 퍼듀 대학교에서 연구 프로젝트로 개발되었다. 현재는 운영 체제와 중요한 애플리케이션 소프트웨어에서 발생할 수 있는 인증 받지 않은 변화를 탐지해 내는 도구로 가장 높이 평가되고 있다. Tripwire는 퍼듀 대학교에서 무료로 배포하고 있으며 Tripwire, Inc.가 상품화하여 소프트웨어로 구입할 수도 있게 되어있다. Tripwire는 일단 모든 운영체제와 애플리케이션 소프트웨어의 암호화된 체크섬의 원래 상태와 관련된 데이터베이스를 생성한다. 그 이후 정기적으로 Tripwire는 새로운 테스트가 실시될 때마다 원래 상태와 관련된 데이터베이스와 테스트 이후의 데이터베이스를 비교한다. 이때 꼭 염두해 두여야 할 사항으로는 다음의 두 가지가 있다. 원래 상태는 반드시 보안 설정이 되어 있어야 하며 데이터베이스와 해시 함수는 테스트가 개정된다 하더라도 절대 변경되어서는 안된다는 것이다. 만약 이 두 가지 사항을 벗어날 경우 여러분이 얻게 될 결과는 잘못된 것일 가능성이 매우 높다.

		Incident Response

위와 같은 사항을 염두해 두어야 하지만 Tripwire는 시스템의 기준선 설정에서부터 모든 변화를 모니터링 할 수 있는 아주 유용한 도구이다. 우리가 흔히 볼 수 있는 대부분의 IDS 도구와는 다르게 Tripwire는 알려진 공격이나 그렇지 않은 공격 모두에 따른 어떤 변경사항도 감지해 낼 수 있는 도구이다. 컴퓨터에서 우발적으로 발생하는 사건에 대한 탐지를 하는데 있어서 Tripwire만큼 유용하게 사용되는 것은 없으며 이런 이유로 Tripwire는 널리 사용되고 있다. 시스템에 끊임없는 변화가 발생하는 우발적인 보안사고를 직면한 상황에서 Tripwire는 여러분의 시스템 내에서 일어나고 있는 상황에 대한 실마리를 제공해 줌으로써 여러분에게 경각심을 불러 일으켜 준다. 게다가 무료로 사용할 수 있는 Tripwire는 여러 가지 리눅스 배포판에도 포함되기 시작하여 각각의 시스템에 신뢰받는 원래 상태와 관련된 데이터베이스를 구축하기가 더 쉬어졌다. 과거 언젠가 네트워크를 조사하는 동안 우리는 상당히 잘 작동되는 Tripwire 설정을 발견하였다. [그림 7-16]에 나타난 설정에서 보듯이 Tripwire의 모니터링을 받고있는 머신 중 어느것도 사실은 Tripwire를 실행시키고 있지는 않다는 것을 알 수 있다. 그 대신 머신들은 모니터링 받고있는 모든 머신들의 파일시스템을 마운트하기 위해 NFS를 사용한 시스템 위에 있는 백엔드 사설 서브넷을 가지고 있었으며 그것이 이러한 네트워크 마운트된 파일시스템 위에서 Tripwire를 실행하였다.

[그림 7-16] Tripwire 설정

이러한 설정의 진수는 침입자가 Tripwire와 같은 도구가 사용 중이라는 것을 볼 수 없다는데 있다. 실제 머신은 Tripwire를 마운트된 파일시스템에서만 실행할 뿐이고 기타 다른 네트워크 서비스에서는 실행하지 않는다. 이 설정은 우발적인 보안 사고가 발생하고있는 중 이거나 발생하기 전 모두 아주 효율적으로 사용될 수 있다.

---

이전 시리즈 해킹을 당하지 않기 위해 필요한 도구 - 이더리얼과 NMap : 『Incident Response』의 챕터 7에서 발췌한 것으로 nmap 포트 스캐너와 이더리얼 네트워크 스캐너를 다루고 있다.