보안에 관해서

 

침입차단 시스템  = 방화벽

내부 네트워크의 컴퓨터를 외부로부터 보호하기 위한 보안정책과 이를 수행하는 하드웨어 및 소프트웨어 등

외부 네트워크에서 공격자나 인증되지 않은 사용자, 혹은 유해한 정보가 내부 네트워크로 진입하지 못하도록 차단해 주는 보호정책과 보호장치

방화벽은 보통 라우터 옆에 존재한다.


방화벽 구성이 크게보면 있다.

1. 패킷 필터링
2. 서킷 게이트웨이
3. 애플리케이션 게이트웨이
4. 하이브리드 방식

패킷필터링

OSI 7계층에 3,4 계층에서 패킷을 관리해주는 것, TCP,IP관련 패킷들이 만들어지는데 패킷 필터링하는것

패킷 필터링 라우터에 의해 TCP 포트와 IP주소 패킷중 전부 또는 일부를 필터링

장점 = 네트워크 제어에 대한 반응속도가 매우 빠르다.
사용자는 있는지 없는지 모른다.
기존 프로그램과의 연동에 유연성이 있다.

단점 = TCP/IP 헤더는 조작이 쉬워 보안성이 약하다.
로그인과 인증방식이 강력하지 않다.
트래픽의 접속제어 방식과 접속량에 따라 성능에 큰 영향을 줄 수 있다.

서킷 게이트웨이

1. OSI 7계층 중 5계층(세션)에서 7계층까지 기능을 수행한다.
2. 외부 네트워크에서 내부 네트워크에 접속하려면 서킷 프록시 프로그램이 설치되어 있어야 통신회선이 형성되어 정보전달 가능
3. 초기의 방화벽 방식으로, 현재는 보안기능이 복잡해지면서 거의 사용되지 않는다.

애플리케이션 게이트웨이

1. OSI 7계층 중 7계층에서 방화벽 기능을 수행한다.
7계층에서 인증 관련된게 완료되면 프록시를 만들어 7계층으로 보내짐

Proxy gateway
2. 각 서비스별로 프락시 서버가 존재할 수 있다.
3. IP 주소 및 TCP 포트를 이용하여 네트워크 보안 설정
4. 사용자 인증과 서비스별로 프락시 서버가 트래픽의 보안검사 실시


장점 = 패킷 필터링과 반대 이다.
외부와 내부 네트워크가 프락시 서버를 통해서만 연결되므로 패킷 필터링 방식보다 보안설정이 우수
강력한 로그인과 감시기능을 가진다.

단점 = 애플리케이션 계층에서 처리하므로 속도가 떨어진다.
일부 서비스의 투명도가 떨어진다.
프록시 사용으로 새로운 서비스에 대한 유연성이 부족하다.

하이브리드 방식

페킷 필터링과 애플리케이션 게이트웨이를 혼합한 방식

사용자 편의성과 보안성을 충족시킬 수 있도록 원하는 서비스에 따라 선택적으로 보안정책을 구축 및 관리

방화벽의 구축 형태

스크린 = 패킷 필터링
호스트 = 애플리케이션 방식

스크리닝 라우터

외부 네트워크로 나가는 패킷을 허용하거나 거부할 수 있고 내부 네트워크로 들어오는 패킷을 통과시키거나 거부할 수 있는 네트워크 장비

누군가가 패킷을 전송할 떄 첫번째로 도달하는 라우터가 ip 헤더를 보고 목적지가 어디인지 찾아오는데 내부망쪽으로 들어오려고 시도할 때 패킷 필터링이 시도된다.
여기서 송신자(출발지)를 봤을 때 차단되어야하는 아이피라면 차단해주는 역할

IP주소 에 의한 필터링, TCP 포트 번호에 의한 필터링 수행
즉 라우터 딴에서 차단이 가능하다.

 

베스천 호스트

외부 네트워크와 내부 네트워크를 연결해주는 통로가 되는 방화벽 호스트

외부 네트워크와 내부 네트워크를 연결해주는 통로가 되는 방화벽 호스트

접근제어 및 애플레키에션 게이트웨이로서 프록시 서버의 설치, 인증, 로그 등을 담당한다.

듀얼 홈 호스트

외부 네트워크와 내부 네트워크가 별도로 존재하는 형태로 두 네트워크 간의 유일한 통로를 구축하여 두 인터페이스에 필터링 실시

베스천 호스트와 다른점이 있다면 각 인터페이스를 둔다고 가정하고 물리적으로 차단하는 느낌이다.

 

스크린 호스트 게이트웨이

 

스크리닝 라우터와 베스천 호스트 혹은 듀얼홈 호스트가 결합

외부에서 내부 네트워크로 들어오는 정보

1차 : 패킷 필터링
2차 : 프록시 서버로 사용자 인증 및 서비스 인증

장점 : 트래픽을 2단계로 방어하여 보안에 우수함
많이 사용되는 방화벽 시스템으로 융통성 우수

단점 : 구축 비용이 많이듬
라우팅 테이블이 변경되면 방어할 수 없음


### 스크린 서브넷 게이트웨이

두 개의 스크리닝 라우터와 베스천 호스트를 이용하여 중립적 네트워크를 외부와 내부 네트워크 사이에 구축

내부에서 외부로 나가는 곳에도 스크리닝 라우터가 존재

저 사이에 중간 지역을 DMZ라고 함.

웹 서버 등 기관에서 외부로 공개할 정보 서버를 DMZ에서 운영한다.

 

방화벽 유의 사항

내부 사용자들이 요구하는 보안과 서비스를 적절히 구성

방화벽 형태에 따른 보안능력 결정
- 네트워크, 애플리케이션, 하이브리드

구축 비용: 네트워크 규모, 사용목적

방화벽의 서비스 : 인터페이스의 안정성이나 편리성 등

방화벽의 운용: 내부 사용자에게 투명성 있는 서비스 제공, 운영자에게 편리

방화벽의 사양: 최신 기술 동향을 반영

 

a

asdfasdf

방화벽의 취약점

 

터널링 공격

차단되어야 할 패킷이 다른 네트워크 프로토콜에 의해 캡슐화되어 공격에 사용될 때는 방화벽이 이를 차단할 수 없음

 

응용기반 공격

응용개체 간의 직접적인 통신방식으로 패킷을 전송하는 경우, 응용 모듈에 포함된 취약성에 의해 발생될 수 있는 공격은 방화벽이 차단할 수 없음.

ex) 80 포트는 모두 통과되도록 설정된 경우, 버퍼 오퍼플로가 발생할 수 있는 HTTP 명령어를 웹 응용 모듈에 전송


VPN

공중망을 이용하여 사설망처럼 직접 운용관리하는 것

VPN의 목적
1. 좀 더 저렴한 비용으로 서비스 제공자와의 유연한 연결을 가능하게 하여 안정성, 성능향상, QoS, 보안을 제공
2. 인트라넷 안에서 사용되어 중요정보, 시스템, 자원에 대한 접속 컨트롤, 기밀정보의 안전한 전송 등을 보장


VPN의 기능

보안 및 정보보호
 - 내부에서 전송되는 정보에 대한 보안가능
서비스 품질 향상
- 손실률, 패킷 지연율 등 개선
다중 VPN 구성
신뢰성, 유용성, 보안관리 가능
다중 서비스 공급자 지원
다중 방송 가능


방화벽 기반 = 관리 포인트 단순
트래픽 증가 시 암,복호화에 따른 성능저하 우려

라우터 기반 : 성능문제 극복
보안성 제공 불가


VPN 전용 장비 사용 = 성능문제 극복, 편의성 제공

소프트웨어 형태 = 개인 용도, 이동중 사용목적



VPN 구성

기반 기술 : 터널링 기술, 키 관리 기술, VPN 관리 기술
그 외: 인증 및 암호화 기술, 라우터나 방화벽에서 제공하는 보안기술

VPN 구현 과 관련된 주요 이슈

최신 보안 모델의 변화 움직임
MPLS VPN과 IPsec VPN의 적절한 이용을 통한 전체 VPN 서비스망 구축 등

네트워크 접근제어(NAC) 시스템

Network Access Control

패치가 제대로 이루어지지 않은 시스템이나 인증을 제대로 거치지 않은 시스템의 네트워크 접근을 통제

내부 네트워크는 잘 준수하고 있지만 새로 올 장비(client)에 대한 접근을 어떻게 할 것인지에 대한 처리시스템

NAC 동작과정

1. 네트워크 접근을 요청하는 장치가 있으면 해당 장치가 NAC에 등록되어 있는지 확인
2. 만약 등록되지 않은 장치라면 정책에 따라 추가로 사용자 인증을 거쳐 진행여부를 결정
3. 등록된 장치이거나 인증된 사용자의 새로운 장치라면 보안 패치나 백신 저용 확인 후 미흡하면 보완
4. 모든 준비가 완료되면 네트워크 접근을 허용

IDS 시스템 (침입탐지 시스템)

 

침임탐지 시스템은 컴퓨터가 사용자하는 자원의 기밀성,무결성, 가용성을 저해하는 행위를 실시간으로 탐지하는 시스템이다.

침입탐지 시스템은 분석 데이터의 소스에 따라 호스트기반, 네트워크 기반, 하이브리드 기반이 있다.

분석방법

시그니처 기반의 오용탐지, 프로파일 기반의 비정상탐지

침입탐지에 더해 자동으로 대응작업을 수행하여 행위를 중지시키는 보안 솔루션이다.