네트워크 보안 장비(방화벽/IDS) 개념 및 설명

네트워크 보안 장비인 방화벽과 IDS가 개념과 어떻게 동작하는 지에 대해 알아보았다.

---

구간별 보안 솔루션

인터넷을 통해 들어오는 악성행위를 차단하거나 탐지하기 위해서 구간별로 다양한 보안 솔루션이 위치한다.

네트워크 보안

1. Anti DDoS 시스템 : 대규모 비정상 트래픽 공격을 통한 서비스 공격 차단, 방화벽보다 앞단에 위치

2. 방화벽 : 서로 다른 네트워크 간 접속에서 규칙에 따라 트래픽을 제어

3. 네트워크 침입탐지시스템(N-IDS) : 네트워크상 유해 트래픽 및 침해를 탐지

4. 네트워크 접근통제 시스템(NAC) : 허용된 네트워크만 접속하도록 하여 침해를 방지

5. 인터넷 접근제어 시스템 : 비 업무용 사이트 차단 및 사용 현황 모니터링

6. 인터넷 메일/바이러스 차단 시스템 : 스팸메일 및 메일을 통한 바이러스 유입 차단

7. 외부용 사내 접속 시스템(VPN) : 트래픽을 암호화하여 공중망을 전용망으로 활용해 사내망 원격 접속

 

어플리케이션 보안

8. Web 방화벽 : 웹쉘, 스크립트 등 웹 업무시스템에 대한 침해공격 차단 및 방지

9. 홈페이지 위/변조 방지 시스템 : 디페이스 공격 등 위/변조에 대한 모니터링 및 탐지

 

시스템 보안

10. 서버 바이러스 방역 프로그램 : 서버의 바이러스, 악성코드를 방역, 실제로는 많이 없음

11. 서버접근통제 시스템 : 서버 접근 권한 관리를 통해 침입 및 해킹 차단

 

데이터 보안

12. DB보안, DB접근제어 : DB에 대한 암호화 및 접근 기록 관리/모니터링

 

클라이언트 보안

13. 전자문서 보안관리시스템(DRM) : 전자문서 및 파일에 대한 권한 관리 솔루션 / 설계도, 저작물 등을 보호

14. 패치자동적용시스템(PMS) : 보안 패치 업데이트를 자동으로 실시

15. PC 바이러스 방역 프로그램 : PC의 바이러스 및 스파이 웨어 등을 방역/치료

16. 개인정보보호시스템(PTS) : 개인정보 유출을 방지, PC 내부 파일들의 개인정보를 확인해 경고를 보냄

데이터 유출 방지 시스템(DLP)
개인정보 유출 차단 설정 시 USB, 웹 업로드 등 파일이 복사될 때 차단시키고 로그를 기록

 

관리

17. 통합 보안관제 시스템 : 보안시스템 운영 현황 실시간 모니터링

 

네트워크 보안 장비

네트워크 장비는 다음으로 구분될 수 있다.

• Intrusion Blocking System (Firewall) : 침입 차단 시스템 = 인터넷 방화벽
• Intrusion Detection System (IDS) : 침입 탐지 시스템, IPS의 등장으로 잘 쓰이지 않음
• Intrusion Prevention System (IPS) : 침입 예방 시스템, FW+IDS+추가기능으로 발전된 시스템

아래에서 하나씩 자세히 알아볼 것이다.

 

방화벽(FireWall)

외부에 알 수없는 접근을 차단하고 외부로 나가는 정보를 통제하는 차단 시스템이다.

기능 : 접근제어(Access Control), 로깅(Logging), 인증(Authentication), 데이터 암호화

단일 제품을 방화벽이라고 할 수도 있고 여러 종류의 조합을 방화벽이라고 하기도 한다.

 

구성요소

Screen Router	라우터에 접근 제한 목록(ACL)을 적용하여 패킷의 흐름을 제어하는 기능을 활성화 L3, L4에서 동작하여 패킷 헤더 내용을 필터링함
Bastion Host	방화벽 소프트웨어가 설치되어 내/외부 네트워크 사이 게이트 역할을 수행하는 호스트 데이터 부분을 조사하여 서비스에서 허용 또는 거부할 것인지 결정함 최대한 라우터와 가장 가까이 설치함

 

방화벽 유형

Packet Filtering	네트워크로 들어오는 패킷을 IP, Port를 기준으로 규칙(Rule Set)을 적용하여 허가 또는 거부 L3, L4 계층 동작으로 속도가 빠름 정책(Policing)에 따라 규칙을 생성 IPspoofing이나 데이터에 포함된 악성코드(XSS, SQLi, RAT)의 탐지는 어려움
Application Level Firewall (Application Proxy)	패킷을 통과하지 않고 방화벽 시스템이 대신 처리해 주는 Proxy 방식 패킷의 데이터 부분까지 조사하여 세부적인 통제가 가능 (ex) 업로드는 허용, 다운로드 불가 서비스마다 데몬이 존재해야 하므로 서비스가 한정적이고 속도가 느림
Sataeful packet inspection (SPI)	상태를 저장한 테이블을 통해 트래픽을 허용하거나 거부하는 상태 기반 방화벽 테이블에는 IP, Port, 프로토콜, 전송 방향 등을 지정함 이전 방법에 비해 속도가 빠르고 안전 cf. DPI : SPI와 달리 5~7계층의 정보를 이용하여 더 깊은 보안 서비스를 적용
Dynamic packet Filtering	Applcation Proxy와 SPI의 조합 트래픽에 기반해 규칙을 실시간으로 수정이 가능
Kernal Proxy Firewall	OS와 방화벽을 일체형으로 만든 개념 패킷을 검사하기 위해 필요한 프로토콜 프록시로만 구성된 가상 네트워크 스택을 생성해 모든 계층에서 면밀히 조사
Hybrid Gateway Firewall	두 가지 이상의 방화벽 유형을 단일 방화벽 솔루션으로 조합

 

방화벽 규칙 집합(Rule Set)

Check point IPS의 패킷 필터링

규칙은 위에서부터 내려가면서 차례대로 적용된다.

가장 아랫줄의 조건은 위 조건들에 모두 해당되지 않았을 경우에 적용된다.

규칙을 올바르게 작성하기 위해 다음과 같은 방법을 이용한다.

• 맨 아래 줄에는 모두 거부하는 규칙을 배치한다.(Deny All policy)
• 최소한 하나의 허용은 존재해야 인터넷이 가능하다.
• 작은 규칙은 큰 규칙보다 위에 배치하여 적용한다.
• 자주 참조될수록 위로 배치하여 효율성을 고려한다.
• 방화벽 규칙의 수정은 공식적인 방식을 통해서만 요청되어야 한다.

규칙 수는 100~200줄을 권장한다.

DMZ
완충지역으로 Web Server, Mail Server 등 외부에서 출입이 많은 서버들을 배치하기 위해 구분한 공간이다.

 

IDS (Intrustion Detection System)

침입 탐지 시스템은 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 조작을 탐지한다.

일반적으로 방화벽 다음에 설치하여 효율적으로 패킷을 검사한다.

 

종류

NIDS	네트워크 주요 구간에 배치되어 독립된 시스템으로 운용 네트워크 전반에 대한 감시를 할 수 있어 감시 영역이 크고 데이터가 변조되지 않음
HIDS	서버의 운영체제나 일반 클라이언트에 설치 어떤 사용자가 어떤 접근과 작업을 했는 지에 대한 기록을 남기고 추적함 네트워크 침입 탐지는 불가능하고 자신이 공격 대상이 되었을 때만 침입 탐지 가능

 

침입 탐지 기법

오용 탐지 (Misuse Detection)	공격이나 악성코드/스크립트 등이 들어오면 DB에 있는 패턴들과 비교하여 탐지 후 관리자에게 알림 주요 패턴을 모아놓은 시그니처 DB가 필요(지식/서명 기반) 오탐이 적은 편이지만 알려진 공격이 아니면 탐지가 어려움 반드시 업데이트 계약을 맺어 주기적으로 새로운 패턴을 추가해야 함.
이상 탐지 (Anomaly Detection)	정상 상태를 기준으로 급격한 변화나 확률이 적은 일이 발생하면 침입 탐지를 알림 약 2주간 트래픽의 평균을 계산해 허용 범위를 설정하고 범위를 벗어나는 행위는 이상 행위로 식별 미탐은 적으나 판단의 근거가 확실하지 않아 오탐이 많음 최근에는 인공지능을 이용한 방식이 개발되고 있다.

 

IPS(Intrusion prevention System)
침입 차단 시스템으로 침입 탐지 모듈이 패킷을 검사/분석한 뒤 정상 패킷이 아니면 방화벽 기능의 모듈로 차단
침입탐지 시스템(IDS) + 방화벽(Firewall)이라고 볼 수 있음.

 

대표적인 IDS 오픈소스

• Snort(스노트) : 원조IDS, 주기적 패턴을 업데이트하고 신뢰도가 높아 상용 IDS들이 참고한다.
• Argus IDS : 정확도가 높고 관리가 편리함, 리눅스에서 잘 동작한다.
• Suricata : 스노트를 대체하기 위해 개발, 성능이 좋은 편이며 기능 활성화시 IPS로도 동작할 수 있다.

SW는 대부분 오픈소스로 무료배포하지만 패턴은 지식 재산이기 때문에 유료로 제공한다.