* 침입차단시스템(Firewall) 특징
- 외부 네트워크와 내부 네트워크의 경계선에 위치
- 패킷 처리 및 제어
- 내부 네트워크를 안전하게 하기 위한 보안장치
- 내부 네트워크에서의 취약부분 회피
- 로깅기능과 감사증적 제공
* 침입차단시스템 주요 기능
- 접근통제 : 외부에서 내부로 접근하는 것을 패킷 필터링을 통해 통제
- 사용자 인증 : 트래픽에 대한 사용자의 신분을 증명하는 기능
- 감사 및 로그기능 : 모든 트래픽에 대한 접속 정보, 네트워크 사용에 따른 유용한 통계정보 기록
- 프록시 기능 : 클라이언트 서비스 요청을 받아 실제 서비스를 수행. 요청을 전달하고 결과를 수신하여 클라이언트에게 전달
- 보안정책 구현 : 방화벽을 통하여 보안정책을 수립하여 구현 가능
* 침입차단시스템 종류
- 패킷필터링(Packet Filtering) 방식
- 어플리케이션 게이트웨이 방식
- 서킷게이트웨이(Circuit Gateway)
- 하이브리드 방식
- 상태추적 방식(Satefull Inspection)
* 패킷필터링(Packet Filtering) 방식
- 네트워크층, 전송층에서 동작하는 방식. 1세대 방화벽
1) 장점 : 처리속도가 빠름, 하드웨어에 의존하지 않음, 기존 프로그램과 연동이 쉬움, 사용자에게 투명성 제공
2) 단점 : 패킷헤더의 조작이 가능, 바이러스 감염된 파일은 분석이 불가능,
접근통제 리스트와 접근통제 순서에 따라 방화벽 부하 가능, 로깅 및 사용자 인증 기능 미제공
* 어플리케이션 게이트웨이 방식
- 어플리케이션 레이어에서 동작. 2세대 방화벽
- 매우 높은 보안정책 실현 및 바이러스 검사 등 부가기능 제공
- 어플리케이션 유연성이 부족하여 하드웨어에 의존적인 방식
1) 장점
- 프록시 서버를 통해서만 연결. 방화벽의 프록시를 이용하여 사용 가능
- 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다
- 패킷필터링보다 높은 보안성 설정 가능
- 일회용 패스워드를 이용한 강력한 인증 기능 제공
- 각 서비스별로 프록시 데몬이 존재
2) 단점
- 응용계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다
- 일부 서비스에 대해 투명성 제공이 어려움
- 하드웨어에 의존적
- 새로운 서비스 제공을 위해 새로운 데몬이 필요
* 서킷게이트웨이(Circuit Gateway)
- 세션 레이어, 어플리케이션 레이어에서 동작
- 전용 게이트웨이가 아닌 하나의 일반 게이트웨이로 모든 서비스를 처리 가능
- 내부의 IP 주소를 숨기는 것이 가능
ㄱ. 장점
- 첫 패킷 검사 후 다음 패킷은 전달만 수행
- 5계층 ~ 7계층 사이에서 동작
- 각 서비스별 프록시가 존재하지 않는다 -> 어느 어플리케이션도 가능한 일반적인 프록시가 존재(Generic Proxy)
- 투명한 서비스 제공
ㄴ. 단점 : 수정된 클라이언트가 필요, 지원 불가능한 프로토콜이 존재할 가능성
* 하이브리드 방식
- 패킷필터링 + 어플리케이션 게이트웨이
- 장점 : 내부 보안정책 및 어플리케이션에 따른 선택적 보안설정 가능
- 단점 : 관리상 복잡성
* 상태추적 방식(Statefull Inspection)
- 패킷의 상태정보를 이용하여 관리자의 보안정책에 의해 빠르고 높은 보안성을 제공
- 패킷의 흐름을 통제하기 위해 패킷의 헤더 정보 외에 세션 정보를 활용
* 방화벽 구축 방법
- 베스천 호스트(Bastion host)
- 스크린 라우터(Screen Router)
- 듀얼 홈 게이트웨이(Dual Home GateWay)
- 스크린 호스트 게이트웨이(Screen host GateWay)
- 스크린 서브넷 게이트웨이(Screen Subnet GateWay)
- Fail Over를 이용한 HA 방화벽 구조 구축
* 베스천 호스트(Bastion host)
- 유일하게 내외부에 노출되는 내외부 네트워크의 연결점으로 사용되는 호스트
- 방화벽 소프트웨어가 설치되는 호스트 -> 보안의 취약점이 완벽히 제거
- 관리자의 철저한 감시, 주기적인 검사 필요 -> 공격자의 목표가 되기 쉬움
ㄱ. 장점
- 스크린 라우터보다 안전
- 로깅기능 및 정보생성 및 관리가 용이
- 방화벽 기능 외에는 유틸리티 삭제
- IP포워딩 및 소스라우팅 기능이 없어야 한다
ㄴ. 단점
- 베스천호스트 손상시 내부 네트워크 미보호
- 로그인 정보 유출시 내부 네트워크 미보호
- 2계층 공격을 통한 방화벽 우회 공격에 취약
* 스크린 라우터(Screen Router)
- 라우터 기능 외에 필터링 기능을 가진 라우터
- 통신 프로토콜의 형태. 서비스 포트, 프로토콜을 이용하여 내/외부 네트워크 사이의 트래픽을 허용/거절
- 일반적으로 라우터 필터링 기능을 이요한 방화벽을 패킷필터링 방화벽이라 부른다
ㄱ. 장점
- 필터링 속도가 빠르고 비용이 적게 든다
- 하나의 스크린 라우터로 내부 네트워크 전체 보호
- 네트워크, 전송 계층 방어만 가능
ㄴ. 단점
- 패킷필터링 규칙을 검증하기 어렵다
- 데이터 영역을 차단하지 못한다
- 통과/거절 패킷에 대한 기록을 관리하기 어렵다
* 듀얼 홈 게이트웨이(Dual Home GateWay)
- 두 개의 랜카드를 가진 베스천 호스트 구조
- 하나는 내부 네트워크에 연결, 하나는 외부 네트워크에 연결. 두 네트워크간 라우팅 미허용
ㄱ. 장점
- 스크린 라우터보다 안전
- 각종 기록 정보 생성 및 관리 용이
- 설치 및 유지보수 용이
ㄴ. 단점
- 게이트웨이 손상시 내부 네트워크 미보호
- 로그인 정보 유출시 내부 네트워크 미보호
* 스크린 호스트 게이트웨이(Screen Host GateWay)
- 베스천호스트 + 스크린 라우터 방식
- 외부 네트워크 -- 스크린라우터 -- 베스천호스트 -- 내부 네트워크 순서
ㄱ. 장점
- 보안성 강화
- 네트워크, 응용 계층 방어로 공격이 어려움
- 융통성이 좋음
- 듀얼 홈 게이트웨이의 장점을 그대로 가진다
ㄴ. 단점
- 단일 포인트 장애시 전체 네트워크 마비, 필터링을 두 번 거치기 때문에 속도 지연 발생
- 라우팅 테이블이 변경되면 방어 불가능
- 구축 비용이 많음
* 스크린 서브넷 게이트웨이(Screen Subnet GateWay)
- 스크린 호스트 게이트웨이 + 듀얼 홈 게이트웨이
- 두 개의 스크린 라우터, 베스천호스트를 이용하여 스크린 서브넷 DMZ를 구성(외부라우터, 베스천호스트)
- 외부 네트워크 -- 외부 라우터 -- 베스천호스트 -- 내부 라우터 -- 내부 네트워크 순서
ㄱ. 장점 : 융통성이 뛰어나며 가장 강력한 보안성 제공
ㄴ. 단점
- 설치와 관리가 어려움
- 구축비용이 많음
- 서비스 속도가 느림
* 침입탐지시스템(IDS : Intrusion Detection System)
- 시스템 자원의 보호 및 정보 유출 방지
- 공격 대응 및 복구, 증거 수집 및 역추적 기능
- 기록 및 통계적인 상황 분석 보고
- 보안 정책에 대한 검증 제공
* IDS 기술적 구성요소 : 정보수집, 정보가공 및 축약, 침입 분석 및 탐지, 보고 및 조치
* 호스트 기반 IDS
- 각 호스트 내에서 운영체제 감사 자료와 시스템 로그 분석, 프로세스 모니터링을 통한 침입탐지를 하는 시스템
- 감사 자료는 커널레벨에서 생성되어 보안성이 있으나 사람이 판독하기 어려움
- 감시 대상이 되는 서버에 각각 설치
ㄱ. 장점
- 공격의 성공, 실패 여부 식별 가능
- 암호화 세션과 스위치 환경에서도 분석 가능
- 네트워크 IDS에서 탐지 못하는 침입탐지(Local Buffer Overflow)가 가능
- 추가적인 하드웨어 불필요
- NIDS보다 비용이 저렴
- 우회 가능성이 거의 없다
ㄴ. 단점
- 일정 부분의 호스트 자원 점유
- 네트워크 스캐닝은 탐지 못함
- 운영체제가 취약한 경우 무결성 보장이 어렵고 DoS 공격에 취약 할 수 있다
- IDS가 설치된 플랫폼의 성능이 저하
* 네트워크 기반 IDS
- Promiscuous mode로 동작하는 NIC를 통해 네트워크 패킷을 캡처 후 분석을 통한 침입 탐지
- 네트워크 세그먼트의 모든 트래픽 검사
- 독립된 서버에 설치. 보통 스위치에서 업링크 포트 미러링을 하여 검사 가능
ㄱ. 장점
- 네트워크 또는 호스트에 영향을 최소화
- 독립된 서버에 설치되어 운영체제에 독립적
- 넓은 네트워크 감시, 실시간 침입 탐지 및 대응 가능
- HIDS에서 탐지 못한 침입을 탐지 가능
- 기존 네트워크 환경을 변경할 필요가 없음
ㄴ. 단점
- 트래픽 양에 영향
- 암호화 세션 분석 불가능
- 공격의 성공, 실패 여부 식별 불가능
* 하이브리드(Hybrid) 기반 IDS
ㄱ. 장점
- NIDS, HIDS의 장점을 모두 가짐
- 네트워크와 호스트의 개별 감시 및 통합 감시 가능
ㄴ. 단점
- 단일 호스트 기반, 단일 네트워크 기반 상호 연동할 수 있는 업계 표준이 없다
- 설치 및 관리가 훨씬 어려움
* 침입탐지 방법에 따른 분류 : 오용탐지(Misuse Detection), 비정상행위(Anomaly Based)
* 오용탐지(Misuse Detection) : 정해진 공격 모델과 일치할 때 침입으로 간주. 알려진 침입행위 탐지
ㄱ. 장점
- 잘못된 탐지 가능성이 적다
- 침입에 사용된 특정 도구나 기술에 대한 분석 가능
- 신속, 정확한 대응
ㄴ. 단점
- 다양한 우회 가능성 존재
- 새로운 침입 유형 탐지 불가능
- 새로운 공격에 대한 지속적인 업데이트 필요
- 안티 바이러스 제품과 유사
- 오탐을 줄이기 위한 세밀한 패턴 정의가 필요
* 비정상행위(Anomaly Based) : 비정상적인 행위나 컴퓨터 자원의 사용을 탐지. 정해진 모델을 벗어나는 경우 침입으로 간주
ㄱ. 장점
- 새로운 침입 유형에 대한 탐지 가능
- 정상에서 벗어남 으로 탐지가 가능
ㄴ. 단점
- 정상행위를 모델링하기 어렵다
- 방대한 사용자 네트워크에 대한 학습이 필요
- 오판율이 높음
* 용어 정리
- False Positive : 정상을 악의적인 것으로 판단(오탐)
- False Negative : 악의적인 것을 정상으로 판단(미탐)
- FRR(False Rejection Rate) : 정상을 비정상으로 판단하여 거부하는 비율(오탐율)
- FAR(False Acceptance Rate) : 비정상을 정상으로 판단하여 허용하는 비율(미탐율)
* 침입방지시스템(IPS : Intrusion Prevention System) : 침입차단시스템 + 침입탐지시스템
* 각 시스템 검사 영역
- 침입차단시스템 : 네트워크, 전송 계층
- IDS/IPS : 네트워크 ~ 응용 계층
*침입방지시스템 구축 기대효과
- 방화벽에서 탐지 못하는 기능을 IPS에서 지원
- 해킹 시도와 웜 바이러스 감소
- 외부로부터 유입되는 유해한 패킷 제어 가능
- 내부 네트워크의 대역폭을 확보
- 네트워크 다운 및 서비스 중지 감소
'정보보안기사' 카테고리의 다른 글
콘솔 정리 (0) | 2020.03.27 |
---|---|
네트워크 보안 (4) (0) | 2020.03.22 |
정보보안 용어 정리 (2) (0) | 2020.03.17 |
정보보안 용어 정리 (1) (0) | 2020.03.16 |
개인정보의 조치 (0) | 2020.03.16 |