네트워크 보안 (3)

* 침입차단시스템(Firewall) 특징 

- 외부 네트워크와 내부 네트워크의 경계선에 위치

- 패킷 처리 및 제어

- 내부 네트워크를 안전하게 하기 위한 보안장치

- 내부 네트워크에서의 취약부분 회피

- 로깅기능과 감사증적 제공

 

* 침입차단시스템 주요 기능 

- 접근통제 : 외부에서 내부로 접근하는 것을 패킷 필터링을 통해 통제

- 사용자 인증 : 트래픽에 대한 사용자의 신분을 증명하는 기능

- 감사 및 로그기능 : 모든 트래픽에 대한 접속 정보, 네트워크 사용에 따른 유용한 통계정보 기록

- 프록시 기능 : 클라이언트 서비스 요청을 받아 실제 서비스를 수행. 요청을 전달하고 결과를 수신하여 클라이언트에게 전달

- 보안정책 구현 : 방화벽을 통하여 보안정책을 수립하여 구현 가능

 

* 침입차단시스템 종류 

- 패킷필터링(Packet Filtering) 방식

- 어플리케이션 게이트웨이 방식

- 서킷게이트웨이(Circuit Gateway)

- 하이브리드 방식

- 상태추적 방식(Satefull Inspection)

* 패킷필터링(Packet Filtering) 방식 

- 네트워크층, 전송층에서 동작하는 방식. 1세대 방화벽

1) 장점 : 처리속도가 빠름, 하드웨어에 의존하지 않음, 기존 프로그램과 연동이 쉬움, 사용자에게 투명성 제공

2) 단점 : 패킷헤더의 조작이 가능, 바이러스 감염된 파일은 분석이 불가능,

접근통제 리스트와 접근통제 순서에 따라 방화벽 부하 가능, 로깅 및 사용자 인증 기능 미제공

 

* 어플리케이션 게이트웨이 방식

- 어플리케이션 레이어에서 동작. 2세대 방화벽

- 매우 높은 보안정책 실현 및 바이러스 검사 등 부가기능 제공

- 어플리케이션 유연성이 부족하여 하드웨어에 의존적인 방식

1) 장점

- 프록시 서버를 통해서만 연결. 방화벽의 프록시를 이용하여 사용 가능

- 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다

- 패킷필터링보다 높은 보안성 설정 가능

- 일회용 패스워드를 이용한 강력한 인증 기능 제공

- 각 서비스별로 프록시 데몬이 존재

2) 단점

- 응용계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다

- 일부 서비스에 대해 투명성 제공이 어려움

- 하드웨어에 의존적

- 새로운 서비스 제공을 위해 새로운 데몬이 필요

 

* 서킷게이트웨이(Circuit Gateway) 

- 세션 레이어, 어플리케이션 레이어에서 동작

- 전용 게이트웨이가 아닌 하나의 일반 게이트웨이로 모든 서비스를 처리 가능

- 내부의 IP 주소를 숨기는 것이 가능

ㄱ. 장점

- 첫 패킷 검사 후 다음 패킷은 전달만 수행

- 5계층 ~ 7계층 사이에서 동작

- 각 서비스별 프록시가 존재하지 않는다 -> 어느 어플리케이션도 가능한 일반적인 프록시가 존재(Generic Proxy)

- 투명한 서비스 제공

ㄴ. 단점 : 수정된 클라이언트가 필요, 지원 불가능한 프로토콜이 존재할 가능성

 

* 하이브리드 방식

- 패킷필터링 + 어플리케이션 게이트웨이

- 장점 : 내부 보안정책 및 어플리케이션에 따른 선택적 보안설정 가능

- 단점 : 관리상 복잡성

 

* 상태추적 방식(Statefull Inspection)

- 패킷의 상태정보를 이용하여 관리자의 보안정책에 의해 빠르고 높은 보안성을 제공

- 패킷의 흐름을 통제하기 위해 패킷의 헤더 정보 외에 세션 정보를 활용

 

* 방화벽 구축 방법 

- 베스천 호스트(Bastion host)

- 스크린 라우터(Screen Router)

- 듀얼 홈 게이트웨이(Dual Home GateWay)

- 스크린 호스트 게이트웨이(Screen host GateWay)

- 스크린 서브넷 게이트웨이(Screen Subnet GateWay)

- Fail Over를 이용한 HA 방화벽 구조 구축

* 베스천 호스트(Bastion host) 

- 유일하게 내외부에 노출되는 내외부 네트워크의 연결점으로 사용되는 호스트

- 방화벽 소프트웨어가 설치되는 호스트 -> 보안의 취약점이 완벽히 제거

- 관리자의 철저한 감시, 주기적인 검사 필요 -> 공격자의 목표가 되기 쉬움

ㄱ. 장점

- 스크린 라우터보다 안전

- 로깅기능 및 정보생성 및 관리가 용이

- 방화벽 기능 외에는 유틸리티 삭제

- IP포워딩 및 소스라우팅 기능이 없어야 한다

ㄴ. 단점

- 베스천호스트 손상시 내부 네트워크 미보호

- 로그인 정보 유출시 내부 네트워크 미보호

- 2계층 공격을 통한 방화벽 우회 공격에 취약

 

* 스크린 라우터(Screen Router) 

- 라우터 기능 외에 필터링 기능을 가진 라우터

- 통신 프로토콜의 형태. 서비스 포트, 프로토콜을 이용하여 내/외부 네트워크 사이의 트래픽을 허용/거절

- 일반적으로 라우터 필터링 기능을 이요한 방화벽을 패킷필터링 방화벽이라 부른다

ㄱ. 장점

- 필터링 속도가 빠르고 비용이 적게 든다

- 하나의 스크린 라우터로 내부 네트워크 전체 보호

- 네트워크, 전송 계층 방어만 가능

ㄴ. 단점

- 패킷필터링 규칙을 검증하기 어렵다

- 데이터 영역을 차단하지 못한다

- 통과/거절 패킷에 대한 기록을 관리하기 어렵다

 

* 듀얼 홈 게이트웨이(Dual Home GateWay)

- 두 개의 랜카드를 가진 베스천 호스트 구조

- 하나는 내부 네트워크에 연결, 하나는 외부 네트워크에 연결. 두 네트워크간 라우팅 미허용

ㄱ. 장점

- 스크린 라우터보다 안전

- 각종 기록 정보 생성 및 관리 용이

- 설치 및 유지보수 용이

ㄴ. 단점

- 게이트웨이 손상시 내부 네트워크 미보호

- 로그인 정보 유출시 내부 네트워크 미보호

 

* 스크린 호스트 게이트웨이(Screen Host GateWay)

- 베스천호스트 + 스크린 라우터 방식

- 외부 네트워크 -- 스크린라우터 -- 베스천호스트 -- 내부 네트워크 순서

ㄱ. 장점

- 보안성 강화

- 네트워크, 응용 계층 방어로 공격이 어려움

- 융통성이 좋음

- 듀얼 홈 게이트웨이의 장점을 그대로 가진다

ㄴ. 단점

- 단일 포인트 장애시 전체 네트워크 마비, 필터링을 두 번 거치기 때문에 속도 지연 발생

- 라우팅 테이블이 변경되면 방어 불가능

- 구축 비용이 많음

* 스크린 서브넷 게이트웨이(Screen Subnet GateWay) 

- 스크린 호스트 게이트웨이 + 듀얼 홈 게이트웨이

- 두 개의 스크린 라우터, 베스천호스트를 이용하여 스크린 서브넷 DMZ를 구성(외부라우터, 베스천호스트)

- 외부 네트워크 -- 외부 라우터 -- 베스천호스트 -- 내부 라우터 -- 내부 네트워크 순서

ㄱ. 장점 : 융통성이 뛰어나며 가장 강력한 보안성 제공

ㄴ. 단점

- 설치와 관리가 어려움

- 구축비용이 많음

- 서비스 속도가 느림

 

* 침입탐지시스템(IDS : Intrusion Detection System) 

- 시스템 자원의 보호 및 정보 유출 방지

- 공격 대응 및 복구, 증거 수집 및 역추적 기능

- 기록 및 통계적인 상황 분석 보고

- 보안 정책에 대한 검증 제공

 

* IDS 기술적 구성요소 : 정보수집, 정보가공 및 축약, 침입 분석 및 탐지, 보고 및 조치

 

* 호스트 기반 IDS 

- 각 호스트 내에서 운영체제 감사 자료와 시스템 로그 분석, 프로세스 모니터링을 통한 침입탐지를 하는 시스템

- 감사 자료는 커널레벨에서 생성되어 보안성이 있으나 사람이 판독하기 어려움

- 감시 대상이 되는 서버에 각각 설치

ㄱ. 장점

- 공격의 성공, 실패 여부 식별 가능

- 암호화 세션과 스위치 환경에서도 분석 가능

- 네트워크 IDS에서 탐지 못하는 침입탐지(Local Buffer Overflow)가 가능

- 추가적인 하드웨어 불필요

- NIDS보다 비용이 저렴

- 우회 가능성이 거의 없다

ㄴ. 단점

- 일정 부분의 호스트 자원 점유

- 네트워크 스캐닝은 탐지 못함

- 운영체제가 취약한 경우 무결성 보장이 어렵고 DoS 공격에 취약 할 수 있다

- IDS가 설치된 플랫폼의 성능이 저하

 

* 네트워크 기반 IDS 

- Promiscuous mode로 동작하는 NIC를 통해 네트워크 패킷을 캡처 후 분석을 통한 침입 탐지

- 네트워크 세그먼트의 모든 트래픽 검사

- 독립된 서버에 설치. 보통 스위치에서 업링크 포트 미러링을 하여 검사 가능

ㄱ. 장점

- 네트워크 또는 호스트에 영향을 최소화

- 독립된 서버에 설치되어 운영체제에 독립적

- 넓은 네트워크 감시, 실시간 침입 탐지 및 대응 가능

- HIDS에서 탐지 못한 침입을 탐지 가능

- 기존 네트워크 환경을 변경할 필요가 없음

ㄴ. 단점

- 트래픽 양에 영향

- 암호화 세션 분석 불가능

- 공격의 성공, 실패 여부 식별 불가능

* 하이브리드(Hybrid) 기반 IDS 

ㄱ. 장점

- NIDS, HIDS의 장점을 모두 가짐

- 네트워크와 호스트의 개별 감시 및 통합 감시 가능

ㄴ. 단점

- 단일 호스트 기반, 단일 네트워크 기반 상호 연동할 수 있는 업계 표준이 없다

- 설치 및 관리가 훨씬 어려움

 

* 침입탐지 방법에 따른 분류 : 오용탐지(Misuse Detection), 비정상행위(Anomaly Based) 

 

* 오용탐지(Misuse Detection) : 정해진 공격 모델과 일치할 때 침입으로 간주. 알려진 침입행위 탐지

ㄱ. 장점

- 잘못된 탐지 가능성이 적다

- 침입에 사용된 특정 도구나 기술에 대한 분석 가능

- 신속, 정확한 대응

ㄴ. 단점

- 다양한 우회 가능성 존재

- 새로운 침입 유형 탐지 불가능

- 새로운 공격에 대한 지속적인 업데이트 필요

- 안티 바이러스 제품과 유사

- 오탐을 줄이기 위한 세밀한 패턴 정의가 필요

 

* 비정상행위(Anomaly Based) : 비정상적인 행위나 컴퓨터 자원의 사용을 탐지. 정해진 모델을 벗어나는 경우 침입으로 간주

ㄱ. 장점

- 새로운 침입 유형에 대한 탐지 가능

- 정상에서 벗어남 으로 탐지가 가능

ㄴ. 단점

- 정상행위를 모델링하기 어렵다

- 방대한 사용자 네트워크에 대한 학습이 필요

- 오판율이 높음

 

* 용어 정리

- False Positive : 정상을 악의적인 것으로 판단(오탐)

- False Negative : 악의적인 것을 정상으로 판단(미탐)

- FRR(False Rejection Rate) : 정상을 비정상으로 판단하여 거부하는 비율(오탐율)

- FAR(False Acceptance Rate) : 비정상을 정상으로 판단하여 허용하는 비율(미탐율)

 

* 침입방지시스템(IPS : Intrusion Prevention System) : 침입차단시스템 + 침입탐지시스템

 

* 각 시스템 검사 영역

- 침입차단시스템 : 네트워크, 전송 계층

- IDS/IPS : 네트워크 ~ 응용 계층

 

*침입방지시스템 구축 기대효과

- 방화벽에서 탐지 못하는 기능을 IPS에서 지원

- 해킹 시도와 웜 바이러스 감소

- 외부로부터 유입되는 유해한 패킷 제어 가능

- 내부 네트워크의 대역폭을 확보

- 네트워크 다운 및 서비스 중지 감소