사용자 정의 규칙 설정

default IPS 정책 보기 화면에서 사용자 규칙을 추가하고 관리할 수 있습니다. 사용자 정의 시그니처는 모두 하나의 규칙 그룹(Custom)에 포함되어 있습니다. 사용자 정의 시그니처에서 다음과 같은 정보를 확인할 수 있습니다.

• 전체 개수: 전체 침입 탐지 규칙 개수, 현재 사용 중인 규칙의 개수를 보여줍니다. 예를 들어, 전체 개수가 5903/5934인 경우, 전체 규칙 개수는 5934개이고, 이중 5903개가 사용 중임을 나타냅니다. 그 외에, 탐지된 규칙의 처리 방법(허용, 차단, 시스템 격리, 세션 끊기, 사용량 제한)에 따라 사용 중인 규칙 개수와, 해당 처리 방법이 지정된 규칙의 총계를 보여줍니다.

• 사용: 그룹의 사용 여부(: 사용, : 사용 안 함)를 보여줍니다. 으로 나타나는 경우, 개별 규칙에 지정된 사용 여부를 따릅니다.

• 이름: 규칙 그룹의 이름입니다. 이름 앞의 을 눌러 펼치면 규칙 집합, 또는 규칙이 나타납니다.

• 처리 방법: 그룹 또는 개별 규칙에 지정된 공격 처리 방법(차단, 허용, 시스템 격리, 세션 끊기, 사용량 제한)을 보여줍니다. 그룹의 경우, 으로 나타나는 경우, 개별 규칙에 지정된 처리 방법을 따릅니다.

• 위험도: 규칙이 탐지하는 공격의 위험도(매누 높음, 높음, 보통, 낮음, 매우 낮음)를 보여줍니다.

• 로그 남김: 공격을 탐지했을 때 로그 기록 여부(: 로그 남김, : 로그를 남기지 않음)를 보여줍니다.

• 설명: 위에 마우스 포인터를 올려놓으면 사용자 정의 행동 기반 Custom 규칙에 대한 설명이 나타납니다. 시그니처 기반 침입 탐지 규칙에서는 보이지 않습니다.

• 수정: 을 누르면 Custom 그룹 설정을 변경하거나,  개별 규칙 설정을 변경할 수 있습니다.

Custom 그룹 설정

Custom 그룹에 대해 변경할 수 있는 항목은 다음과 같습니다.

• 사용 여부: Custom 그룹의 사용 여부를 다음 중에서 선택합니다.

• 개별 규칙의 설정에 따름: 그룹/위험도별 사용 여부를 지정하지 않습니다. 개별 규칙에 지정된 사용 여부를 적용합니다.

• 사용: 규칙을 모두 사용합니다.

• 사용 안 함: 규칙을 모두 사용하지 않습니다.

• 처리 방법: Custom 그룹에 해당하는 공격을 처리할 방법을 다음 중에서 선택합니다.

• 개별 규칙의 설정에 따름: Custom 그룹에 대해 처리 방법을 지정하지 않습니다. 개별 규칙에 지정된 처리 방법을 적용합니다.

• 차단: 탐지된 공격을 차단합니다.

• 허용: 공격을 탐지해도 차단하지 않습니다.

• 시스템 격리: 공격이 탐지되면 공격 출발지 IP 주소를 격리된 시스템에 등록하고 일정 기간동안 패킷을 차단합니다.

• 세션 끊기: 공격이 발생한 세션을 끊습니다.

• 사용량 제한: 공격이 발생한 세션에 IPS 설정에서 지정한 대역폭을 적용합니다. 사용량 제한 모니터에서 적용 현황을 확인할 수 있습니다.

• 로그 남김: 공격을 탐지했을 때 로그 기록 여부를 다음 중에서 선택합니다.

• 개별 규칙의 설정에 따름: Custom 그룹에 대해 로그 기록 여부를 지정하지 않습니다. 개별 규칙에 지정된 로그 기록 여부를 적용합니다.

• 사용: 탐지된 공격과 처리 내역을 기록합니다.

• 사용 안 함: 탐지된 공격과 처리 내역을 기록하지 않습니다.

사용자 정의 침입 탐지 규칙 설정

침입 탐지 규칙에 대해 확인하거나 변경할 수 있는 항목은 다음과 같습니다. 추가를 누르면 사용자 정의 침입 탐지 규칙을 새로 정의할 수 있습니다.

• 규칙 이름: 규칙에 부여된 이름을 보여줍니다. 규칙 이름은 변경할 수 없습니다.

• 규칙 ID: 규칙에 부여된 ID를 보여줍니다. 시그니처 기반 침입 탐지 규칙의 ID는 9자리, 행동 기반 침입 탐지 규칙의 ID는 5자리 숫자로 구성됩니다. 규칙 ID는 변경할 수 없습니다.

• 사용 여부: 규칙의 사용 여부를 다음 중에서 선택합니다.

• 사용: 규칙을 사용합니다.

• 사용 안 함: 규칙을 사용하지 않습니다.

• 그룹: 규칙이 속한 그룹 이름을 보여줍니다.

• 위험도: 공격에 부여할 위험도를 매우 높음, 높음, 보통, 낮음, 매우 낮음 중에서 선택합니다. 기본 값은 보통입니다.

• 처리 방법: 공격을 처리할 방법을 다음 중에서 선택합니다. 기본 갑은 허용입니다.

• 차단: 탐지된 공격을 차단합니다.

• 허용: 공격을 탐지해도 차단하지 않습니다.

• 시스템 격리: 공격이 탐지되면 공격 출발지 IP 주소를 격리된 시스템에 등록하고 일정 기간동안 패킷을 차단합니다.

• 세션 끊기: 공격이 발생한 세션을 끊습니다.

• 사용량 제한: 공격이 발생한 세션에 IPS 설정에서 지정한 대역폭을 적용합니다. 사용량 제한 모니터에서 적용 현황을 확인할 수 있습니다.

• 로그 남김: 공격을 탐지했을 때 로그 기록 여부를 다음 중에서 선택합니다.

• 개별 규칙의 설정에 따름: 그룹/위험도에 대해 로그 기록 여부를 지정하지 않습니다. 개별 규칙에 지정된 로그 기록 여부를 적용합니다.

• 사용: 탐지된 공격과 처리 내역을 기록합니다.

• 사용 안 함: 탐지된 공격과 처리 내역을 기록하지 않습니다.

• 참고 사이트: 침입 탐지 규칙과 관련된 취약성 정보를 보여줍니다. 침입 탐지 규칙에 따라 참고 사이트가 없을 수도 있습니다.

• 오탐 가능성: 침임 탐지 규칙이 공격을 탐지하지 못할 가능성(높음, 없음, 거의 없음)을 보여줍니다.

• 규칙 버전: 규칙의 버전입니다.

• 규칙 적용 예외: 규칙을 적용하지 않을 예외를 설정합니다.

사용자 정의 시그니처를 추가/수정할 때 부가적으로 다음 항목을 설정합니다.

• 프로토콜: 탐지할 패킷이 사용하는 프로토콜을 선택합니다. 기본 값은 TCP이며, TCP, UDP, ICMP, IP 가운데에서 선택할 수 있습니다.

• 출발지 IP 주소: 출발지 IPv4 주소를 입력합니다. IP 주소와 CIDR를 입력하면 IP 주소 범위를 지정할 수 있습니다. 입력하지 않으면 모든 IP 주소에 적용합니다.

• 출발지 포트: 출발지 포트를 입력합니다. 기본 값은 모두입니다.

• 모두: 모든 포트(1~65535)에 규칙이 적용됩니다.

• 단일: 하나의 포트를 입력합니다.

• 범위: 포트의 범위를 입력합니다.

• 목적지 IP 주소: 목적지 IPv4 주소를 입력합니다. IP 주소와 CIDR를 입력하면 IP 주소 범위를 지정할 수 있습니다. 입력하지 않으면 모든 IP 주소에 적용합니다.

• 목적지 포트: 목적지 포트를 입력합니다. 기본 값은 모두입니다.

• 모두: 모든 포트(1~65535)에 규칙이 적용됩니다.

• 단일: 하나의 포트를 입력합니다.

• 범위: 포트의 범위를 입력합니다.

• TCP 플래그: TCP 플래그를 확인하는 방법을 설정합니다. 기본 값은 사용 안 함이며, 일치함 또는 포함함을 선택하면, TCP 플래그(URG, ACK, PSH, RST, SYN, FIN) 가운데 여러 개를 선택할 수 있습니다.

• 사용 안 함: 패킷의 정보에 TCP 플래그가 있는지 확인하지 않습니다.

• 일치함: 선택한 TCP 플래그 설정과 같은 플래그 설정을 한 패킷만을 탐지합니다.

• 포함함: 선택한 모든 TCP 플래그를 포함하는 패킷을 탐지합니다.

• 탐지 내용: 탐지할 내용을 입력하고 탐지 조건을 설정합니다. 영문자와 숫자, 특수 기호로 1~127자 사이의 값을 입력합니다. 탐지 내용에 특수 문자(" | : ; \)를 사용할 경우에는 특수 문자 앞에 이스케이프 문자(\)를 입력합니다.

• 대/소문자 구분 안 함: 입력한 내용의 대/소문자를 구분하지 않습니다. 기본적으로 사용하지 않도록 설정되어 있습니다.

• 오프셋: 검색을 시작할 패킷의 위치를 지정합니다. 오프셋에는 1~1518 사이의 값을 입력합니다.

• 탐지 길이: 내용과 일치하는 시그니처를 찾기 위해 검색할 길이를 입력합니다. 탐지 길이에는 1~1,518 사이의 값을 입력합니다.

• 확장 옵션: 패킷을 탐지하는 옵션을 추가할 수 있습니다. Snort 규칙에 맞는 옵션을 입력합니다. 영문자와 숫자, 특수 기호로 2048자까지 입력할 수 있습니다. Snort 규칙 옵션에 대한 정보는 snort.org 사이트를 참고하십시오.

• 규칙 적용 예외: 규칙을 적용하지 않을 예외를 설정합니다.

• 조건: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 대한 조합 조건을 설정합니다. 기본 값은 AND 이며, AND, OR 중에서 선택할 수 있습니다.

• AND: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 입력하거나 선택한 내용을 모두 만족하는 경우를 의미합니다.

• OR: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 입력하거나 선택한 내용 가운데 하나라도 해당되는 경우를 의미합니다.

• 방향: 패킷의 방향을 설정합니다. 기본 값은 단방향이며, 단방향, 양방향 중에서 선택할 수 있습니다.

• 단방향: 출발지에서 목적지로 가는 패킷에 대해서만 규칙 적용 예외로 설정합니다.

• 양방향: 출발지와 목적지를 오가는 모든 패킷에 대해서 규칙 적용 예외로 설정합니다.

• 출발지 IP 주소: 규칙을 적용하지 않을 출발지 IP 주소를 선택합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IPv4 주소나 IPv4 주소 그룹을 만들 수 있습니다.

• 출발지 포트: 규칙을 적용하지 않을 출발지 포트를 입력합니다.

• 목적지 IP 주소: 규칙을 적용하지 않을 목적지 IP 주소를 선택합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IPv4 주소나 IPv4 주소 그룹을 만들 수 있습니다.

• 목적지 포트: 규칙을 적용하지 않을 목적지 포트를 입력합니다.

사용자 정의 행동 규칙을 추가/수정할 때 부가적으로 다음 항목을 설정합니다.

• 프로토콜: 탐지할 패킷이 사용하는 프로토콜을 선택합니다. 기본 값은 모두이며 모두, TCP, UDP, ICMP, IP 중에서 선택할 수 있습니다.

• 출발지 IP 주소: 출발지 IP 주소의 분포 특성과 출발지 IP 주소를 선택합니다. 기본 값은 고정형입니다.

• 고정형: 패킷의 출발지 IP 주소가 일정합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IP 주소나 IP 주소 그룹을 만들 수 있습니다.

• 분산형: 패킷의 출발지 IP 주소가 일정하지 않습니다.

• 모두: 패킷의 IP 주소 분포 특성과 상관없이 모든 출발지 IP 주소에 규칙을 적용합니다.

• 출발지 포트: 출발지 포트의 분포 특성을 선택하고 출발지 포트를 입력합니다. 줄표(-)를 이용하여 포트 범위를 입력할 수 있습니다(예: 6000-6500). 쉼표(,)를 이용하면 여러 개의 포트와 포트 범위를 입력할 수 있습니다(예: 80,135,6000-6500). 입력할 수 있는 포트와 포트 범위의 개수는 10개 입니다. 기본 값은 모두입니다.

• 고정형: 패킷의 출발지 포트가 일정합니다.

• 분산형: 패킷의 출발지 포트가 일정하지 않습니다.

• 모두: 패킷의 포트 분포 특성과 상관 없이 모든 출발지 포트에 규칙을 적용합니다.

• 목적지 IP 주소: 목적지 IP 주소의 분포 특성과 목적지 IP 주소를 선택합니다. 기본 값은 모두입니다.

• 고정형: 패킷의 목적지 IP 주소가 일정합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IP 주소나 IP 주소 그룹을 만들 수 있습니다.

• 분산형: 패킷의 목적지 IP 주소가 일정하지 않습니다.

• 모두: 패킷의 IP 주소 분포 특성과 상관 없이 모든 목적지 IP 주소에 규칙을 적용합니다.

• 목적지 포트: 목적지 포트의 분포 특성을 선택하고 목적지 포트를 입력합니다. 줄표(-)를 이용하여 포트 범위를 입력할 수 있습니다(예: 6000-6500). 쉼표(,)를 이용하면 여러 개의 포트와 포트 범위를 입력할 수 있습니다(예: 80,135,6000-6500). 입력할 수 있는 포트와 포트 범위의 개수는 10개 입니다. 기본 값은 모두입니다. 고정형, 분산형, 모두 가운데에서 선택할 수 있습니다.

• 고정형: 패킷의 목적지 포트가 일정합니다.

• 분산형: 패킷의 목적지 포트가 일정하지 않습니다.

• 모두: 패킷의 포트 분포 특성과 상관 없이 모든 목적지 포트에 규칙을 적용합니다.

• TCP 플래그: TCP 플래그를 확인하는 방법을 설정합니다. 기본 값은 사용 안 함입니다.

• 사용 안 함: 패킷의 정보에 TCP 플래그가 있는지 확인하지 않습니다.

• 일치함: 선택한 TCP 플래그 설정과 같은 플래그 설정을 한 패킷만을 탐지합니다.

• 포함함: 선택한 모든 TCP 플래그를 포함하는 패킷을 탐지합니다.

• 포함하지 않음: 선택된 TCP가 포함되지 않은 패킷을 탐지합니다.

• 패킷 크기: 탐지할 패킷의 크기를 설정합니다. 설정한 크기에 맞는 패킷을 검사합니다. 확인 안 함을 선택하면 크기에 상관 없이 모든 패킷을 검사하지 않습니다. 확인을 선택하면 패킷 크기에는 20~1500 Bytes 사이의 값을 입력합니다.

• 기준 값: 규칙이 탐지한 패킷이나 트래픽이 네트워크 공격이라고 판단할 기준 값을 설정합니다. 특정한 시간 동안 설정한 기준 값보다 많은 패킷이나 트래픽이 탐지되면 네트워크 공격이 이루어지고 있다고 판단합니다. 기준 시간(초)과 함께 packet 단위 또는 바이트 단위로 지정할 수 있습니다. 기준 시간에는 1~60 사이의 값을 입력합니다.

• 규칙 적용 예외: 규칙을 적용하지 않을 예외를 설정합니다.

• 조건: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 대한 조합 조건을 설정합니다. 기본 값은 AND입니다.

• AND: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 입력하거나 선택한 내용을 모두 만족하는 경우를 의미합니다.

• OR: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 입력하거나 선택한 내용 가운데 하나라도 해당되는 경우를 의미합니다.

• 방향: 패킷의 방향을 설정합니다. 기본 값은 단방향입니다.

• 단방향: 출발지에서 목적지로 가는 패킷에 대해서만 규칙 적용 예외로 설정합니다.

• 양방향: 출발지와 목적지를 오가는 모든 패킷에 대해서 규칙 적용 예외로 설정합니다. 양방향으로 설정할 경우 출발지와 목적지의 구분은 없어지며 출발지와 목적지를 바꾸어 입력하여도 동일한 설정이 됩니다.

• 출발지 IP 주소: 규칙을 적용하지 않을 출발지 IP 주소를 선택합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IP 주소나 IP 주소 그룹을 만들 수 있습니다.

• 출발지 포트: 규칙을 적용하지 않을 출발지 포트를 입력합니다.

• 목적지 IP 주소: 규칙을 적용하지 않을 목적지 IP 주소를 선택합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IP 주소나 IP 주소 그룹을 만들 수 있습니다.

• 목적지 포트: 규칙을 적용하지 않을 목적지 포트를 입력합니다.

주의

오프셋을 잘못 설정하거나 탐지 길이가 너무 짧을 경우 공격 시그니처를 탐지하지 못할 수 있습니다. 탐지 길이를 길게 설정할 경우 탐지율은 향상되지만 탐지 속도는 느려질 수 있습니다.