보안관제 로그 분석

로그란?

시스템의 모든 기록을 담고 있는 데이터

 

로그 데이터 분석을 통해 얻을 수 있는 정보

- 외부로부터의 침입 감지 및 추적

- 시스템 성능관리

- 마케팅 전략으로 활용

- 시스템의 장애 원인 분석

- 시스템 취약점 분석

 

로그 데이터의 중요성

- 시스템에서 발생하는 모든 문제에 대한 유일한 단서

- 시스템에서 발생한 오류 및 보안 결함 검색이 가능

- 잠재적인 시스템 문제를 예측하는데 사용

- 장애발생 시 복구에 필요한 정보로 활용

- 침해사고시 근거 자료로 활용

- 각종 법규 및 지침에서 관리 의무화

 

 

방화벽 로그분석

방화벽은 외부망과 연동되는 유일한 창구

IP 주소 및 Port 번호를 이용하여 외부의 접속을 차단하거나 또는 사용자 인증에 기반을 두고 외부 접속을 차단한다.

내부 네트워크와 외부 네트워크 사이 트래픽 제어를 통한 불법적인 접근이나 해커로부터의 방어

 

IDS 로그분석

단순한 접근제어 기능을 넘어서 침입의 패턴 데이터베이스와 Expert System을 사용해 네트워크나 시스템의 사용을 실시간 모니터링하고 침입을 탐지하는 보안시스템

공격 메세지나 비정상적인 시도를 탐지하면 로그 디렉토리에 해당 공격을 시도한 ip주소로 디렉토리를 만들고 관련 정보를 파일로 생성한다.

 

서버 및 네트워크 장비 로그 분석

 

윈도우 로그분석

 

윈도우 시스템에서는 시스템의 로그가 이벤트로그형식으로 관리됨.

이벤트로그를 확인하기 위해서는 윈도우 이벤트뷰어를 이용해야 한다.

 

윈도우 시스템의 이벤트로그의 종류

이벤트 로그	설명	비고
응용 프로그램 로그	응용 프로그램이 기록한 다양한 이벤트가 저장되며, 기록되는 이벤트는 소프트웨어 개발자에 의해 결정된다.
보안로그	유효하거나 유효하지 않은 로그온 시도 및 파일생성, 열람, 삭제등의 리소스 사용에 관련한 이벤트를 기록한다. 감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능하다.
시스템 로그	윈도우 시스템 구성요소가 기록하는 이벤트로 시스템 부팅시 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록한다.
디렉토리 서비스 로그	Windows Active Diretory 서비스에서 발생하는 이벤트 ex) 서버와 글로벌 카탈로그 사이의 연결문제	도메인 컨트롤러 구성
파일 복제 서비스 로그	Windows 파일 복제 서비스에서 발생하는 이벤트 ex) 도메인 컨트롤러가 시스템 볼륨 변경정보로 업데이트 되고 있는 동안 발생하는 파일 복제 실패
DNS 서버 로그	윈도우 DNS 서비스에서 발생하는 이벤트	DNS 서버 구성

 

감사 정책 및 구성 방법

감사정책이랑 개체 액세스 , 로그온/오프 , 감사정책 설정 변경 등의 보안관련 로그를 기록하며, 지정한 이벤트 범주의 사용자나 시스템 동작을 기록하도록 정책 설정이 가능하다.

 

구성방법으로는 크게 로컬보안정책 설정과 보안템플릿을 이용헌 감사정책 구성방법이 있다.

 

로컬 보안 정책 설정 : 로컬보안 정책설정을 위해서는 Administrators 그룹의 구성원이거나 적절한 권한이 위임된 사용자여야 한다.

[시작] -> [설정] -> [제어판] -> [관리도구] -> [로컬보안정책]

 

보안 템플릿을 이용한 감사 정책 구성 : 보안템플릿이란 보안 구성을 표시하는 파일로 로컬 컴퓨터 및 그룹 정책 개체 적용하거나 보안 분석에 사용된다.대량의 서버를 운영할 경우 매우 유용하다.

 

구성시 유의 사항

- 지나치게 넓은 범위의 감사 범위 설정 지양

- 잘못된 최대 이벤트 로그의 크기 설정 지양

 

웹서버 로그 분석

일반적으로 웹서버의 로그분석이랑 웹사이트의 방문객이 남긴 자료를 근거로 웹의 운영 및 방문행태에 대한 정보를 분석하는것을 말한다.

방문객이 웹사이트에 접속하게 되면 웹서버에는 액세스로그, 에러로그, 리퍼러 로그, 에이전트 로그등의 자료가 파일 형태로 기록된다.

 

웹로그 분석의 예

222.***.241.131 - [12/Oct/2014 : 16:21:57 +0900] "GET /muieblackcat HTTP/1.1" 404 345 "-" "-"

222.***.241.131 - [12/Oct/2014 : 16:21:58 +0900] "GET //scripts/setup.php HTTP/1.1" 404 345 "-" "-"

222.***.241.131 - [12/Oct/2014 : 16:21:58 +0900] "GET // phpMyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "-" 

222.***.241.131 - [12/Oct/2014 : 16:21:58 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "-"

위의 로그는 실제적인 웹서버에 저장된 웹접속 로그이다.

지속적으로 php로 작성된 웹서버에서 setup.php 파일이 존재하는지 자동스캔한 공격의 로그이다. 이는 결과로 404 페이지로 존재하지않는 페이지로 나타났는데 setup.php가 있었다면 공격자에게 정보를 탈취 당했을 수 도 있었을 상황이다.

 

리눅스 로그분석

리눅스는 로그파일의 종류가 다양하다.

 

로그파일 종류	관련데몬	의미와 사용
/dev/console	kernel	콘솔에 뿌려지는 메세지(콘솔로그)
/var/log/messages	거의 모든 데몬	시스템 로그 파일
/var/log/secure	xinetd	보안인증에 관한 메세지 로그파일. tcpd 로그파일(xinetd)
/var/log/maillog	sendmail, pop 등	메일 로그 파일
/var/log/cron	crond	크론 로그 파일로서 crond에 의해 기록됨
/var/log/xferlog	proftpd, vsftpd	ftp 로그파일
/var/log/dmesg	kernel	부팅될 당시에 각종 메세지들을 저장하고 있는 로그파일, 즉 부팅시의로그파일을 부팅 후에 확인하고자 할때 사용
/var/log/wtmp /var/log/utmp		시스템에 로그인 기록이 저장되는 파일 wtmp는 전체 로그인 기록을 하는 파일 utmp는 현재 로그인 사용자에 대한 기록을 하는 파일
/var/log/lastlog		각 계정들의 가장 최근 로기인 기록을 하는 파일
기타로그파일	- 관련 데몬은 반드시 그런것은 아니다  - syslogd 데몬에 의해 각 로그파일의 기록 내용이 달라질 수 있음  - 즉 로그파일과 관련데몬 그리고 기록내용은 /ect/syslog.conf 파일의 설정내용에 따라서 달라질 수 있음