방화벽 ( Firewall )
방화벽 이란?
- 미리 정의한 보안 규칙(정책)을 기반으로 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어(허용,거부,검열,수정)하는 네트워크 보안 시스템
- 일반적으로 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 사이에서 동작한다.
방화벽 기능
- 접근 통제 ( Access Control )
- 허용된 서비스나 전자우편 서버, 특정 호스트를 제외하고는 외부에서 내부 네트워크로 접근하는 것을 패킷 필터링, 프록시 (Proxy) 등 방식으로 접근을 통제 하는 기능
- 인증 ( Authentication )
- 메세지 인증 : 신뢰할 수 있는 통신선을 통해 전송되는 메세지 신뢰성 보장
- 사용자 인증 : 방화벽을 지나는 트래픽에 대한 사용자가 누구인지 증명하는 기능
ex) OTP, 패스워드 인증 - 클라이언트 인증 : 특수한 경우에 접속을 요구하는 호스트에 대해 인가된 호스트인지 확인
- 감사 및 로그 ( Auditing / Logging )
- 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단 등과 관련된 사항의 접속 정보를 로그로 남기는 기능
- 프라이버시 보호 ( Privacy Protection )
- 이중DNS, 프록시, NAT 등 기능을 제공해 내부 네트워크와 외부 네트워크 간 중계자 역할을 함으로써 내부 네트워크 정보 유출을 방지하는 기능
- 서비스 통제 ( Service Control )
- 안전하지 않거나 위험성이 존재하는 서비스를 필터링해서 내부 네트워크에 취약점을 감소
- 데이터 암호화 ( Data Encryption )
- 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 전송하는 기능 보통 VPN의 기능을 사용한다.
방화벽 종류
- 1세대 방화벽 : 패킷 필터 ( Packet Filter ) => 모든 방화벽들의 기반
- L2에서 L3 로 전달되는 패킷을 가로채서 해당 패킷 헤더에서 IP주소와 포트 번호를 기반으로 보안 정책에 따라 서비스 접근 허용 여부를 결정하는 방식
- 특징
- 다른 방식에 비해 빠른 속도
- 비교적 낮은 계층에서 동작하기 때문에 기존 애플리케이션과 연동이 용이하다.
- 강력한 로깅 기능 및 사용자 인증을 기대하긴 어렵다.
- 패킷 내의 데이터를 활용한 차단은 불가능하다.
- 2세대 방화벽 : 상태 추적 ( Stateful Inspection )
- 패킷 단위의 검사가 아닌 세션 단위로 검사를 하는 방화벽
- 특징
- 기존 패킷 필터링 기능에 세션 추적 기능을 추가해 일련의 네트워크 서비스 순서를 추적하고 순서에 위배되면 차단
- 모든 통신 채널에 대해 추적이 가능하며 UDP, RPC 패킷 또한 추적이 가능하다.
- 3세대 방화벽 : 애플리케이션 게이트웨이 ( Application Gateway ) : 웹 방화벽
- L7 까지 동작하여 통과하는 패킷의 데이터 영역까지 확인해 제어하는 방식
- 특징
- 해당 서비스별로 프록시가 구동 되어 각 서비스 요청에 대하여 방화벽의 접근 규칙을 적용시키고 연결을 대신한다.
- 패킷 필터링 방식보다 높은 보안 설정이 가능하며, 일회용 패스워드를 이용한 사용자 인증 제공
- 네트워크에 많은 부하를 주며, 하드웨어에 의존적이다.
- 미리 정의된 어플리케이션만 수용 가능하기에, 빠르게 발전하는 다양한 인터넷 어플리케이션에 대응하지 못한다.
방화벽의 한계
- 악성 소프트웨어 침투 방어에 대한 한계
- 일반적으로 방화벽은 패킷의 IP 주소와 Port 번호를 기반으로 접근 제어를 하기 때문에 악성 소프트웨어 등 내부에 포함된 악성코드를 탐지하여 방어하지 못한다.
- 내부 사용자 공격에 대한 한계
- 방화벽을 거쳐가는 통신 선로가 아닌 다른 통신 선로를 이용하여 통신을 할 경우 공격자는 방화벽을 우회하여 내부 네트워크로 접근이 가능하다.
- 새로운 형태의 공격에 대한 한계
- 일반적으로 사전에 정의된 보안 정책을 기반으로 접근 제어를 수행하기에 새로운 형태의 공격에 대해 능동적으로 대처하기 어렵다.
IDS ( Intrusion Detection System, 침입 탐지 시스템 )
- 의심스러운 네트워크 트래픽을 수집, 분석하여 침입 활동을 탐지한 후 관리자에게 통보하는 기능을 수행하는 보안 시스템
IDS 기능
- 경보기능 : 침입을 탐지했을 경우 경보, 메일 발송 등의 방법으로 통보 해주는 기능
- 세션 차단기능 : 의심스러운 행위 감지시 해당 세션을 차단
- 실시간 탐지 : 시스템이나 네트워크를 실시간으로 모니터링하여 침입을 탐지하는 기능
- 리포팅 : 통계적 분석 및 리포팅 기능
※ IDS 분류의 경우 뒤에 나올 IPS 분류에도 똑같이 적용되니 참고
데이터 소스 기반 분류
네트워크 기반 IDS ( NIDS )
- 네트워크의 특정 지점에서 여러 호스트를 대상으로 침입을 탐지하는 시스템
- 센서와 엔진 콘솔, 데이터베이스 등으로 구성되어 자체적으로 보유하고 있는 공격 패턴 및 이상 트래픽 감지 모듈에 의해 공격 및 유해 트래픽 여부를 판단한다.
- 장점
- 초기 구축 비용이 저렴하다.
- 운영체제에 독립적이므로 구현 및 관리가 쉽다.
- 네트워크에서 발생하는 여러 유형의 침입을 탐지할 수 있다.
- 네트워크에 개별적으로 실행되어 개별 호스트에 성능 저하가 없다.
- 단점
- 암호화된 패킷을 분석할 수 없다.
- 호스트 상에서 수행되는 세부 행위에 대해 탐지할 수 없다.
- 장점
호스트 기반 IDS ( HIDS )
- 호스트에 Agent 형태로 설치되어 비정상적인 행동을 탐지하는 시스템
- 호스트 시스템으로부터 생성되고, 수집된 감사 자료 ( 시스템 이벤트 ) 를 침입 탐지에 활용하는 시스템이다.
- 장점
- 호스트에서 일어나는 세부적인 행위에 대해 정확한 탐지가 가능하다.
- 추가적인 하드웨어가 필요없다.
- 트로이목마, 백도어, 내부 사용자에 의한 공격을 탐지할 수 있다.
- 단점
- 각각의 시스템마다 설치해야 하기 때문에 다양한 운영체제를 지원해야 한다.
- 호스트 성능에 의존적이고, 리소스 사용으로 호스트에 부하를 주기 때문에 호스트 성능이 저하될 수 있다.
- 장점
침입 탐지 모델 기반 분류
지식 기반 ( Misure Detection )
- 특정 공격에 관한 분석 결과를 바탕으로 특정 패턴을 설정해 탐지하는 방법
- 오용탐지, 시그니처 기반 탐지라고 부르기도 한다.
- 장점
- 오탐(False-Positive)률이 낮다.
- 트로이 목마, 백도어 공격을 탐지할 수 있다.
- 단점
- 새로운 공격 탐지를 위해서 지속적으로 공격 패턴을 갱신 해야한다.
- 패턴에 없는 새로운 유형의 공격에 대해서는 탐지가 불가능하다.
- 미탐(Flase-Negative) : 탐지율이 낮다.
- 장점
행위 기반 ( Anomaly Detection )
- 사용자의 행동 양식을 분석해 임계치를 설정한 후 비교해 급격한 변화가 발견되면 불법 침입으로 간주해 탐지하는 방식
- 이상 탐지라고 부르기도 한다.
- 장점
- 알려지지 않은 새로운 유형의 공격 탐지가 가능하다.
- 단점
- 오탐률이 높다.
- 장점
IDS 한계
해킹 시도 및 공격 탐지 시 사전 차단과 같은 능동적 대처 능력이 떨어지기에 IDS단독으로 다양한 보안 위협에 완벽한 보호 기능을 수행할 수 없다.
IPS ( Intrusion Prevention System, 침입 방지 시스템 )
IPS ?
- 악성 네트워크 트래픽을 탐지한 후 격리,차단,제거 등 IDS와 다른 강력한 조치를 취하는 네트워크 보안 시스템
※ IPS는 침입이라고 판단된 통신을 차단하기 때문에 오탐이 발생하면 업무에 지장을 줄 수도 있습니다.
DDOS
DDOS ?
DDOS( Distributed Denial of Service attack )는 분산 서비스 거부 공격의 약어 인터넷에 연결된 여러 개의 호스트 (통상 좀비PC)가 특정 서버나 네트워크로 대량의 패킷을 전송해 해당 서버가 정상적인 동작을 하지 못하도록 방해하는 악의적인 행위
DDOS 주요 공격 유형
- 응용 계층 공격
- HTTP Flooding
- 이 공격은 한 번에 많은 호스트에서 웹 브라우저의 새로 고침을 계속해서 누르는 것과 유사하며 많은 수의 HTTP 요청이 서버를 폭주시켜 서비스 거부를 초래한다.
- HTTP Flooding
- 프로토콜 공격
- 상태 고갈 공격 ( State-exhaustion attack ) 이라고도 알려진 프로토콜 공격은 서버 내 리소스 및 방화벽이나 부하 분산장치 등의 네트워크 장비 리소스를 과도하게 소비해 서비스 중단을 유발하는 공격
- SYN Flooding
- TCP 프로토콜의 취약점을 이용한 공격
- TCP HandShake 과정을 악용해 스푸핑 소스 IP 주소를 가진 대량의 SYN 요청 패킷을 공격 대상에 전송하면 공격 대상은 SYN,ACK 응답을 보낸 후 마지막 단계를 기다리게 된다.
- 하지만 마지막 단계는 절대 발생하지 않으므로 프로세스에서 표적의 리소스가 소진되게 되는 공격이다.
- SYN Flooding
- 상태 고갈 공격 ( State-exhaustion attack ) 이라고도 알려진 프로토콜 공격은 서버 내 리소스 및 방화벽이나 부하 분산장치 등의 네트워크 장비 리소스를 과도하게 소비해 서비스 중단을 유발하는 공격
※ 방화벽,IDS,IPS 포함한 일반적인 네트워크 구성
인터넷 → DDOS장비 → 방화벽 → IDS or IPS → IDS or IPS → 웹방화벽 → 내부 네트워크
- DDOS 장비를 가장 최상단에 설치를 하는 이유는 어떠한 장비도 DDOS 공격 시 대처하기 어렵기 때문이다.
- IDS 와 IPS의 순서는 상황에 따라 다르다.
- IPS 를 먼저 설치할 경우는 ‘차단’ 에 가장 큰 목적을 둘 경우
- IDS 를 먼저 설치할 경우는 방화벽을 뚫고 들어온 패킷을 먼저 파악해 분석후 차단을 하고 싶을 경우
'보안 관제 관련 > 네트워크' 카테고리의 다른 글
| 쿠키(Cookie)와 세션(Session)의 개념 (0) | 2024.03.10 |
|---|---|
| 프록시(Proxy)란?/프록시의 종류(Forward Proxy, Reverse Proxy) (0) | 2023.05.15 |
| 주요 프로토콜 (0) | 2022.10.29 |
| OSI 7 Layer 의 각 계층별 장비 (0) | 2022.10.22 |
| TCP 의 연결 / 연결 해제 방식 ( 3-Way HandShaking , 4-Way HandShaking ) (0) | 2022.10.22 |
