능동형 네트워크 가디언 구축: Sentinelle (MIRAGE 프로젝트) 심층 분석
출처: Dev.to
전통적인 네트워크 보안은 보안 카메라와 같습니다: “범죄”(침입)를 기록하지만 막지는 못합니다. 관리자가 로그를 확인할 때쯤이면 데이터가 이미 탈취됐을 수도 있습니다.
MIRAGE 방어 플랫폼의 맥락에서, 저는 Sentinelle이라는 모듈을 개발했습니다—수동 로깅에서 능동적인 대응으로 전환하도록 설계되었습니다.
Sentinelle 개요
Sentinelle은 MIRAGE 생태계의 “수호자”입니다. 파이썬 기반 IDS/IPS(침입 탐지 및 방지 시스템)로, 깊은 패킷 검사(DPI)를 수행하고 위협에 대해 단계적인 대응을 구현합니다.
- Python 3.12 – 핵심 엔진
- Scapy – 패킷 스니핑, 분석, 그리고 위조
- Suricata Rules – 시그니처 매칭을 위한 Emerging Threats(ET) 규칙집 활용
- IPTables/Netfilter – 실시간 커널 수준 격리
Sentinelle은 원시 네트워크 트래픽과 의사결정 “뇌”(ORACLE) 사이의 중개자 역할을 합니다.
graph TD
Traffic[Raw Network Traffic] --> Sniffer[Scapy Sniffer]
Sniffer --> SigEngine[Signature Engine]
Sniffer --> DNSGuard[DNS Guard]
SigEngine -- Alert --> Logic{Response Logic}
DNSGuard -- Malware Domain --> Logic
Logic -->|Block| IPTables[IPTables Isolation]
Logic -->|Kill| TCPReset[TCP Reset Attack]
Logic -->|Report| Oracle[Oracle Orchestrator]깊은 패킷 검사 기능
Sentinelle은 패킷 헤더뿐만 아니라 페이로드도 검사합니다. Scapy를 이용해 다음과 같은 특성을 가진 패턴을 식별할 수 있습니다:
- SQL 인젝션 시도
- SSH/FTP 무차별 대입
- 스캐닝 도구 시그니처(예: Nmap, ZMap)
DNS Guard
악성코드를 차단하는 가장 효과적인 방법 중 하나는 그들의 “전화‑홈” 기능을 차단하는 것입니다. Sentinelle은 DNS 트래픽을 투명하게 감시하며, 로컬 머신이 Threat Intelligence(예: URLhaus)에서 플래그된 도메인을 해결하려 할 경우 요청을 가로채고 연결이 시작되기 전에 해석을 차단합니다.
단계적 대응 레벨
모든 알림이 전체 차단을 필요로 하는 것은 아닙니다. Sentinelle은 계층화된 대응을 구현합니다:
| 레벨 | 행동 |
|---|---|
| 1 – 정보 | 로컬에 로그를 남기고 모니터링 |
| 2 – 경고 | 의심되는 IP의 대역폭을 제한 |
| 3 – 치명적 | IPTables를 통한 즉시 격리 및 GHOST 모듈 트리거(공격자를 허니팟으로 리다이렉트) |
우선 순위가 높은 위협에 대해서는 Sentinelle이 TCP RST 패킷을 위조해 복잡한 방화벽 규칙 없이 양쪽 끝의 연결을 즉시 종료시킬 수 있습니다.
간소화된 처리 루프 (Python)
from scapy.all import sniff, IP, TCP, send
from sentinelle.logic import SignatureEngine
def guardian_loop(interface="eth0"):
print(f"[*] Sentinelle active on {interface}...")
# Capture only IP traffic using a BPF filter
sniff(
iface=interface,
filter="ip",
prn=process_packet,
store=0
)
def process_packet(pkt):
if pkt.haslayer(IP):
# Pass the packet to the signature engine
threat = SignatureEngine.check(pkt)
if threat.is_critical:
# Drop the connection immediately
mitigate_threat(pkt)
print(f"[!] Blocked critical threat from {pkt[IP].src}")
def mitigate_threat(pkt):
# Forge a TCP Reset packet
if pkt.haslayer(TCP):
rst_pkt = IP(src=pkt[IP].dst, dst=pkt[IP].src) / \
TCP(sport=pkt[TCP].dport, dport=pkt[TCP].sport, flags="R")
send(rst_pkt, verbose=0)성능 고려 사항
파이썬으로 실시간 방어 시스템을 구축하면 성능 문제가 발생합니다. Sentinelle은 다음과 같이 이를 해결합니다:
- 표준화된 이벤트 – 모든 모듈이
MirageEvent(JSON)로 통신해 상호 운용성을 보장합니다. - 멀티프로세싱 – 무거운 분석 작업을 별도 코어에 오프로드합니다.
- 커널 통합 – 파이썬이 결정을 내리고 IPTables가 실행을 담당합니다.
향후 작업
다음 단계는 eBPF 통합으로, 패킷 필터링을 리눅스 커널 깊숙이 이동시켜 거의 제로 레이턴시를 달성하는 것입니다.
파이썬으로 보안 도구를 만들고 계신가요? 자동 완화와 수동 개입에 대한 여러분의 생각을 댓글로 공유해 주세요!
GitHub에서 프로젝트 찾기 (실제 URL로 교체)