네트워크 보안 - Firewall, IDS, IPS, UTM
본문 바로가기

네트워크 보안 - Firewall, IDS, IPS, UTM

액트 2019. 8. 27.

네트워크 보안 - Firewall, IDS, IPS, UTM


Firewall/IDS/IPS/UTM 비교설명

방화벽 Firewall

  - 네트워크 보안장비로는 외부 인증되지 않은 트래픽을 막는 방화벽

 

IDS

  - 웜바이러스나 내부/외부 해킹을 감시하는 IDS

 

IPS

  - 내부 보안감시와 동시에 능동적으로 유해트래픽을 차단하는 IPS 등이 있다.

 

 

구성도

 - 일반적인 기업의 네트워크는 아래 그림처럼 라우터, 스위치등의 네트워크 장비와 방화벽, IDS 등의 보안시스템 그리고 네트워크 구성 자체로 구분

 - 인터넷 라우터와 같은 네트워크 장비는 기업의 네트워크로 들어오는 접점,

 

기업 네트워크 구성 예시

 

 

 

1. 침입차단시스템(Firewall, 방화벽)

 가. 개요

    - 방화벽은 침입차단시스템으로 외부망으로부터 내부망을 보호하는 기법임

    - 방화벽이란 건물에 화재가 발생하였을 경우 더 이상 주변으로 화재가 번지지 않도록 하기 위해 모든 연결 경로를 차단하는 방화벽에서 기인한 용어

    - 네트워크에서 방화벽은 보안을 높이는데 가장 일차적인 것

    - 네트워크를 외부망과 내부망으로 분리, 그 사이에 방화벽을 배치시켜 허가되지 않은 모든 트래픽은 차단

    - 두 네트워크 간을 흐르는 패킷들을 미리 정해놓은 규칙에 따라 차단하거나 보내주는 간단한 패킷필터를 해주는 라우터라 할 수 있다

 

 나. 방화벽의 기능

    - 접근제어: 정책에 의하여 허용/차단 결정하기 위한 검사

    - 로깅(Logging) 및 감사(Auditing) 추적: 허가되지 않은 정보에 대한 로그파일 기록, 의심스러운 사항이나 명백한 침입 사실이 학인될 경우, 이에 대한 자세한 정보를 관리자가 추적할 수 있도록 하는 기능

    - 사용자 인증(Authentication)

    - 데이터 암호화

 

 다. 방화벽의 종류

    (1) 패킷필터링 방식

        - 단순히 IP 주소와 Port 번호를 이용해 패킷을 허용하거나 Drop하는 방식

        -  IP와 Port를 통한 보안 정책
        - OSI 7 Layer 모델 중 네트워크(IP address)계층과 전송 계층(TCP/UCP)에서 동작
        - 애플리케이션 레벨 방화벽에 비하여 처리속도가 빠름

         - 정책이 많을수록 delay가 생기고 바이러스에 감염된 메일과 첨부파일 등을 전송할 경우 차단 불가능

 

     (2) Application Gateway(프록시 방식)

         - Application Gateway 방식은 별도의 Gateway를 통해 Application 계층까지 검사하여 이를 허용하거나 차단하는 방식

         - 외부 시스템과 내부시스템은 방화벽의 Proxy를 통해서만 연결이 허용되고, 직접 연결은 허용되지 않기 때문에 외부에 대한 내부망의 완벽한 경계선 방어 가능

         -장점
               packet의 data부분까지 제어가능
               proxy 사용으로 인해 보안성이 packet filtering 방식에 비해 우수
               외부에 대한 내부망의 완벽한 경계선 방어 및 내부 IP 주소 숨김
        -단점
              해당 Service 마다 proxy데몬이 구동되어야 함
              packet filtering 방식에 비해 처리속도가 느림
              상위 레벨에서 동작하기 때문에 많은 부하를 유발 할 수 있음

 

     (3) Hybrid 방화벽

         - 여러 유형의 방화벽들을 겨우에 따라 복합적으로 구성할 수 있는 방화벽

         - 서비스의 종류에 따라서 다양한 보안정책을 부여함으로써 구축 및 관리하는데 어려움이 따를 수 있음

 

     (4) 상태기반 감시(Stateful inspection)

         - 스테이트풀 인스펙션은 현재 방화벽업계 표준으로 자리잡아가고 있다.

         - 상태기반감시는 연결 상태를 추적하고, 정상상태에서 벗어난 패킷을 차단하는 방법

         - 상태표의 세부 내용은 일반적으로 출발지 IP 주소, 목적지 IP주소, 포트번호 그리고 연결상태정보를 포함

 


 

2. 침입탐지시스템(IDS: Intrusion Detection System)

  가. 개요

     - 허가받지 않은 접근이나 해킹시도를 감시하여 시스템 또는 망관리자에게 통보해주고 필요한 대응을 취하도록 하는 시스템 

 

  나. IDS의 종류 및 특징

     (1) 데이터 소스 기반 분류

         - 네트워크 기반 IDS: 네트워크의 패킷 자료를 침입 판정에 사용, 네트워크 영역 전체를 탐지 영역으로 하기 때문에 스위치 등 네트워크 장비에 연결하여 설치

         - 호스트 기반 IDS: 단일 호스트로부터 수집된 감사 자료를 침입 판정에 사용하며, 하나의 호스트만을 탐지 영역으로 하기 때문에 호스트에 설치

     (2) 침입모델 기반 분류

 

 오용 탐지(Misuse Detection)

이상 탐지(Anomaly Dectection)

 개념

 - 일정한 공격 패턴을 미리 입력하여 거기에 해당하는 패턴을 탐지

 - 평균적인 상태를 기준으로 상대적으로 급격한 변화가 있을 때 침입 탐지 알림

 - 시스템 사용자가 정상적이거나 예상된 행동으로부터 이탈하는지의 여부를 조사함으로써 탐지하는 방법

 특징

 - 비능동적

 - 오판율이 낮음

 - 능동적 대체 가능

 - 오판율이 높음

 

 다. IDS의 작동 원리

    - 침입 탐지 시스템은 데이터 수집 단계, 데이터의 가공 및 축약 단계, 침입분석 및 탐지 단계, 그리고 보고 및 대응 단계의 4단계의 구성요소를 갖음

 

3. 침입예방시스템 IPS(Intrusion Prevention System)

  가. 개요

    - IDS는 기본적으로 침입을 알려주는 시스템으로, 침입에 대한 능동적인 기능은 별로 없음

    - 이러한 IDS에 능동적인 기능을 많이 탑재한 것을 IPS(Intrusion Prevention System)라고 함

    - IPS는 IDS에서 한발 더 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책

 

  나. 특징

    - 정보보안 손실 전에 대응이 가능함

    - 알려지지 않은 공격도 유추하여 차단 가능함

    - 독립된 agent를 갖고 있음

 

 

4. UTM(Unified Threat Management)

  - 안티바이러스, 방화벽, VPN, IDS, IPS, QoS 장비 등 여러 기능을 통합한 네트워트 통합보안시스템

  - 각종 보안기능 통합 관리, 설치, 비용 절감

  - 날로 진화하는 보안 위협 대응에 적합

  - 실시간 긴급 대응 체계가 가능함

 

※ 상호 비교

firewall, ids, ips, utm 비교

 

 

 

댓글