네트워크 보안 - Firewall, IDS, IPS, UTM
Firewall/IDS/IPS/UTM 비교설명
방화벽 Firewall
- 네트워크 보안장비로는 외부 인증되지 않은 트래픽을 막는 방화벽
IDS
- 웜바이러스나 내부/외부 해킹을 감시하는 IDS
IPS
- 내부 보안감시와 동시에 능동적으로 유해트래픽을 차단하는 IPS 등이 있다.
구성도
- 일반적인 기업의 네트워크는 아래 그림처럼 라우터, 스위치등의 네트워크 장비와 방화벽, IDS 등의 보안시스템 그리고 네트워크 구성 자체로 구분
- 인터넷 라우터와 같은 네트워크 장비는 기업의 네트워크로 들어오는 접점,
1. 침입차단시스템(Firewall, 방화벽)
가. 개요
- 방화벽은 침입차단시스템으로 외부망으로부터 내부망을 보호하는 기법임
- 방화벽이란 건물에 화재가 발생하였을 경우 더 이상 주변으로 화재가 번지지 않도록 하기 위해 모든 연결 경로를 차단하는 방화벽에서 기인한 용어
- 네트워크에서 방화벽은 보안을 높이는데 가장 일차적인 것
- 네트워크를 외부망과 내부망으로 분리, 그 사이에 방화벽을 배치시켜 허가되지 않은 모든 트래픽은 차단
- 두 네트워크 간을 흐르는 패킷들을 미리 정해놓은 규칙에 따라 차단하거나 보내주는 간단한 패킷필터를 해주는 라우터라 할 수 있다
나. 방화벽의 기능
- 접근제어: 정책에 의하여 허용/차단 결정하기 위한 검사
- 로깅(Logging) 및 감사(Auditing) 추적: 허가되지 않은 정보에 대한 로그파일 기록, 의심스러운 사항이나 명백한 침입 사실이 학인될 경우, 이에 대한 자세한 정보를 관리자가 추적할 수 있도록 하는 기능
- 사용자 인증(Authentication)
- 데이터 암호화
다. 방화벽의 종류
(1) 패킷필터링 방식
- 단순히 IP 주소와 Port 번호를 이용해 패킷을 허용하거나 Drop하는 방식
- IP와 Port를 통한 보안 정책
- OSI 7 Layer 모델 중 네트워크(IP address)계층과 전송 계층(TCP/UCP)에서 동작
- 애플리케이션 레벨 방화벽에 비하여 처리속도가 빠름
- 정책이 많을수록 delay가 생기고 바이러스에 감염된 메일과 첨부파일 등을 전송할 경우 차단 불가능
(2) Application Gateway(프록시 방식)
- Application Gateway 방식은 별도의 Gateway를 통해 Application 계층까지 검사하여 이를 허용하거나 차단하는 방식
- 외부 시스템과 내부시스템은 방화벽의 Proxy를 통해서만 연결이 허용되고, 직접 연결은 허용되지 않기 때문에 외부에 대한 내부망의 완벽한 경계선 방어 가능
-장점
packet의 data부분까지 제어가능
proxy 사용으로 인해 보안성이 packet filtering 방식에 비해 우수
외부에 대한 내부망의 완벽한 경계선 방어 및 내부 IP 주소 숨김
-단점
해당 Service 마다 proxy데몬이 구동되어야 함
packet filtering 방식에 비해 처리속도가 느림
상위 레벨에서 동작하기 때문에 많은 부하를 유발 할 수 있음
(3) Hybrid 방화벽
- 여러 유형의 방화벽들을 겨우에 따라 복합적으로 구성할 수 있는 방화벽
- 서비스의 종류에 따라서 다양한 보안정책을 부여함으로써 구축 및 관리하는데 어려움이 따를 수 있음
(4) 상태기반 감시(Stateful inspection)
- 스테이트풀 인스펙션은 현재 방화벽업계 표준으로 자리잡아가고 있다.
- 상태기반감시는 연결 상태를 추적하고, 정상상태에서 벗어난 패킷을 차단하는 방법
- 상태표의 세부 내용은 일반적으로 출발지 IP 주소, 목적지 IP주소, 포트번호 그리고 연결상태정보를 포함
2. 침입탐지시스템(IDS: Intrusion Detection System)
가. 개요
- 허가받지 않은 접근이나 해킹시도를 감시하여 시스템 또는 망관리자에게 통보해주고 필요한 대응을 취하도록 하는 시스템
나. IDS의 종류 및 특징
(1) 데이터 소스 기반 분류
- 네트워크 기반 IDS: 네트워크의 패킷 자료를 침입 판정에 사용, 네트워크 영역 전체를 탐지 영역으로 하기 때문에 스위치 등 네트워크 장비에 연결하여 설치
- 호스트 기반 IDS: 단일 호스트로부터 수집된 감사 자료를 침입 판정에 사용하며, 하나의 호스트만을 탐지 영역으로 하기 때문에 호스트에 설치
(2) 침입모델 기반 분류
|
오용 탐지(Misuse Detection) |
이상 탐지(Anomaly Dectection) |
개념 |
- 일정한 공격 패턴을 미리 입력하여 거기에 해당하는 패턴을 탐지 |
- 평균적인 상태를 기준으로 상대적으로 급격한 변화가 있을 때 침입 탐지 알림 - 시스템 사용자가 정상적이거나 예상된 행동으로부터 이탈하는지의 여부를 조사함으로써 탐지하는 방법 |
특징 |
- 비능동적 - 오판율이 낮음 |
- 능동적 대체 가능 - 오판율이 높음 |
다. IDS의 작동 원리
- 침입 탐지 시스템은 데이터 수집 단계, 데이터의 가공 및 축약 단계, 침입분석 및 탐지 단계, 그리고 보고 및 대응 단계의 4단계의 구성요소를 갖음
3. 침입예방시스템 IPS(Intrusion Prevention System)
가. 개요
- IDS는 기본적으로 침입을 알려주는 시스템으로, 침입에 대한 능동적인 기능은 별로 없음
- 이러한 IDS에 능동적인 기능을 많이 탑재한 것을 IPS(Intrusion Prevention System)라고 함
- IPS는 IDS에서 한발 더 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책
나. 특징
- 정보보안 손실 전에 대응이 가능함
- 알려지지 않은 공격도 유추하여 차단 가능함
- 독립된 agent를 갖고 있음
4. UTM(Unified Threat Management)
- 안티바이러스, 방화벽, VPN, IDS, IPS, QoS 장비 등 여러 기능을 통합한 네트워트 통합보안시스템
- 각종 보안기능 통합 관리, 설치, 비용 절감
- 날로 진화하는 보안 위협 대응에 적합
- 실시간 긴급 대응 체계가 가능함
※ 상호 비교
'IT > 정보보안' 카테고리의 다른 글
네트워크 보안 - 방화벽 Firewall (0) | 2019.08.28 |
---|---|
네트워크 보안 - 방화벽 구축 방법 (0) | 2019.08.28 |
시스템 보안 - 버퍼 오버플로우(Buffer Overflow) 취약점 (0) | 2019.08.27 |
시스템 보안 - LSA, SAM, NTLM, SRM (0) | 2019.08.27 |
시스템 보안 - 멀웨어(Malware), 바이러스, 웜, 트로이 목자, 스파이웨어 (0) | 2019.08.27 |
댓글