[정보보안] 네트워크 보안 시스템: 방화벽, 침입 탐지와 침입 감지 시스템

방화벽

 

내/외부를 지나는 패킷들에 일정한 규칙을 기준으로 차단하거나 허용하는 시스템을 말한다.

 

방화벽은 접근 제어, 로깅과 감시추적, 인증, 데이터의 암호화 등의 역할을 한다.

 

방화벽: 패킷 필터

룰셋을 정의하여 해당 규칙에 맞는 패킷만 통과시키는 방법이다.

 

외부IP	외부PORT	내부IP	내부PORT	동작
External	Any	192.168.0.2	80	Allow
Any	Any	Any	Any	Deny

이 경우 외부에서 192.168.0.2:80으로 들어오는 패킷만 허용하고 나머지는 전부 허용하지 않는다.

패킷 필터는 패킷 상태에 대한 정보가 없으며, TCP 연결을 볼 수 없으므로 Boink, Teardrop 공격을 방어할 수 없다.

 

상태성 패킷 필터는 패킷에 상태를 추가하여, 연결 상태를 저장하고 연결 상태를 추적할 수 있지만,

응용 계층의 데이터는 볼 수 없고, 패킷 필터보다 느리다.

 

방화벽: 응용 프록시

데이터가 목적지에 도착하기 전에 특정 프로그램(프록시 프로그램)을 거쳐 가게 한다.

 

따라서 어떤 응용 프로그램에 진입하는지, 어떤 데이터가 보내지는지를 전부 프록시가 볼 수 있게 된다.

 

그러나 응용 프로그램에 바로 가지 않고 다른 프로그램의 검사를 거쳐 들어가기 때문에 속도가 느리다.

 

침입 탐지 시스템

방화벽이 침입 방어만 한다면, 침입 탐지 시스템은 이를 탐지하고 1차적 대응을 할 수 있다.

 

침입 탐지 시 관리자에게 사실을 알리고, 방화벽과 연동하여 해당 패킷을 차단할 수도 있다.

 

주요 기능으로는 데이터 수집, 필터링, 축약, 침입 탐지, 추적과 대응이 있다.

 

데이터 수집

HIDS와 NIDS로 나뉘어지며,

HIDS(host-based) 는 OS에 부가적으로 설치되며 자신이 공격 대상이 되었을 때만 탐지가 가능하고

NIDS(network-based)는 네트워크 내에 하나의 독립적 시스템으로 운영되어 네트워크 전반에 대한 탐지를 수행한다.

 

데이터 필터링과 축약

데이터의 필터링과 축약 없는 수집은 관리자를 지치게 하여 대응이 늦어질 수 있다.

특정 계수를 Clipping Level로 설정하여 선택적으로 로깅할 수 있다.

(비밀번호 5회 오류 탐지 시 로그 기록)

 

오용 탐지

이미 알려진 공격 기법을 미리 입력하고 감지

알려지지 않은 공격에 대해서는 탐지 불가능

 

이상 탐지

평균적인 상태를 기준점으로 보고 그보다 너무 낮거나 높은 상태가 발견되면 공격으로 간주한다

(오판율이 높다)

 

책임 추적성과 대응

공격이 발견된 후 관리자에게 알리고 연결을 끊거나 방화벽에 차단 등록 등으로 공격 차단

 

침입 탐지 시스템의 설치 위치

1(외부): 악의적인 패킷의 사전 차단 기능(검사할 패킷이 많아 비용이 높다)

2(라우터 내부): 라우터에 의해 이미 내부로 들어온 패킷을 검사

3(방화벽 뒤쪽): 방화벽에서 걸러진 패킷에 대해서 검사

4(내부 네트워크): 내부 네트워크에서 나가거나 들어오는 공격 검사

5(서버쪽 내부 네트워크): 불특정 다수에 의해 실제 외부에서 들어온 패킷이 들어오고, 다시 나가는 패킷이 이동하며, 각 시스템에 중요한 데이터들이 존재하기 때문에 보안이 매우 중요하다.

 

침입차단 시스템

침입탐지시스템과 방화벽의 기능을 모두 수행하는 시스템이다.

 

일반적으로 방화벽 뒤에 설치되며, 모든 패킷을 검사하고 패턴을 파악하며 비정상적인 패킷을 방화벽 기능의 모듈로 차단한다.

(모든 패킷을 검사하기 때문에 방화벽이 1차적으로 거르고 난 다음의 패킷들을 검사해 효율을 높인다)