★ 방화벽(Firewall)
★ IDS(침입탐지시스템)
★ IPS(침입방지시스템)
★ VPN(가상 사설 네트워크)
★ IP관리시스템
★ DRM(문서 보안 솔루션)
★ 허니팟,허니넷
★ ESM(Enterprise Security Management)
방화벽(Firewall) - 침입차단시스템
> 외부사용자(WAN) 내부네트워크(LAN)에 접근하지 못하도록 하는 일종의 내부 네트워크 방어도구.
> 다른 소프트웨어적인 프로그램 도구와는 달리 독립된 시스템이나 전용 하드웨어 등을 뜻함.
> 연결요청에 대해서 승인된 호스트에 한하여 처리하는 간단한 인증에서부터 패킷 필터링 및 분석, 프로토콜 내 특정 공격서명을 막는 기술, 사용자 연결의 인증과 암호화 단계까지 다양하게 존재.
패킷 필터링
> 가장 기초적인 방화벽, "라우터"에서 행해짐.
> 발신지 IP / Protocol / Port / 패킷 등을 선별적으로 인증해 접속요청에 대해 판단하는 것을 의미.
NAT(Network Address Translation)
> LAN영역에서 사설 IP주소를 사용하다가 라우터를 거쳐서 WEN통신으로 갈 때 그 라우터에서 공인 IP주소로 바꿔주는 것.
> 한개의 공인 IP주소와 한 개의 사설IP주소가 맞물리는 것.
PAT(Port Address Tranlation)
> 내부의 다수 IP포트들을 공인 IP의 포트로 변환해주는 것.
> 공유기가 PAT를 이용한 통신
NAT/PAT 참고사이트
http://rednooby.tistory.com/25
아주 설명이 잘되어있다.
IDS(Intrusion Detection System) - 침입탐지시스템.
> 탑지 대상 시스템에 인가 받지 않은 행위와 비정상적인 행동을 탐지하고 불법이라고 판단되면 차단하는 시스템.
> 데이터수집, 데이터 필터링과 축약, 침임탐지, 책임 추적성과 대응.
HIDS(호스트 기반 침입 탐지 시스템)
> 윈도우나 유닉스 시스템 등의 운영체제에 부가적으로 설치, 운용
> 운영체제에 설정된 사용자 계정에 따라 접근 시도와 수행 작업등을 하였는지를 기록, 추적
> 네트워크에 대한 침입 탐지 불가능, 스스로 공격 대상이 될 때만 탐지
> ex) 개인 PC 방화벽
NIDS(네트워크 기반 침입 탐지 시스템)
> TCP Dump를 기반으로 하는 Snort가 기본
> 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이트가 변조 되지 않음
> 네트워크 전반의 감시, 감시영역이 HIDS에 상대적으로 넓음.
> IP 주소를 소유하지 않기 때문에 직접적인 해커의 공격에 방어가 탁월
> 공격 당한 시스템에 결과에 대해서는 알 수 없다.
IPS(Intrusion Preventing System) - 침입방지 시스템
> 네트워크에서 공격하려고 행동을 취하려는 대상을 찾아서 자동으로 예방하여 비정삭적인 트래픽을 중단시키는 보안 솔루션.
> 침입참지 시스템 + 방화벽
> 일반적으로 방화벽 다음에 설치
> 방화벽이 네트워크의 앞부분에서 불필요한 외부 패킷을 한번 걸러주어 침입차단 시스템이 더 효율적으로 패킷을 검사할 수 있음.
방화벽, 침입 탐지 시스템, 침입 방지 시스템의 비교
|
방화벽(Firewall) |
침입 탐지 시스템(IDS) |
침입 차단 시스템(IPS) |
패킷 차단 |
O |
X |
O |
패킷 내용 분석 |
X |
O |
O |
오용 탐지 |
X |
O |
O |
오용 차단 |
X |
X |
O |
이상 탐지 |
X |
O |
O |
이상 차단 |
X |
X |
O |
VPN(Virtual Path Network, Virtual private Network) - 가상 사설 네트워크
> Virtual Path Network - Site-to-site - 외부에서 침입하는 것.
> Virtual private Network - Remote Access VPN- 기존의 인터넷 망으로 사이트 연결할 때 씀.
> 인터넷과 같은 여러사람이 공용으로 사용하는 공중망(인터넷망)을 특정 사용자나 조직이 가상의 터널을 만들어 단독으로 사용하는 사설망 처럼 동작시키는 것.
> A라는 사무실에서 사용하는 네트워크 기반을 물리적으로 멀리 떨어진 B라는 사무실에서도 마치 A사무실의 네트워크에 같이 있는 것처럼 해주는 네트워크의 한 종류.
> 본 지사 간의 네트워크를 전용선으로 구축하는 것에 비해 훨씬 적은 비용으로 유지할 수 있음.
주요용도
> 지점과 지점간 네트워크 구성(국내/해외)
> 공인된 고정IP 사용
> 보안기능 - 방화벽 및 패킷 암호화
> 대표적인 VPN프로토콜은 PPTP, IPsec, L2TP(Layer 2 Tunneling Protocol) 등
IPsec > 장비끼리 지원되어야 통신가능
SSL > 주로 웹 페이지에 적용.
PPTP, L2TP > 공인아이피를 제공할 때 가장 많이 사용.
IP관리시스템
> 네트워크 보안을 위한 것으로 임의의 사용자가 접속할 수 없게 함.
> 회사의 네트워크에 최초로 접속하기 원하는 사용자는 네트워크 접속에 하용할 시스템의 MAC주소를 IP관리 시스템의 관리자에게 알려주어야 함.
> 관리자가 해당 MAC주소를 IP관리시스템에 등록해야 해당 네트워크 사용 권한을 가짐.
DRM(Digital Right Management) - 문서보안 솔루션
> 디지털 환경에서 콘텐츠를 만들어낸 이의 지적 재산권 보호와 그 창장물을 사용하고자 하는 사용자의 의무와 권리를 보호하기 위한 기술.
참고.
허니팟(Honeypot), 허니넷(Honeynet)
허니팟(Honeypot)
> 해커를 잡는 덫
> 해커의 공격에 대응할 수 있는 시간을 벌고 해커의 움직임을 면밀히 파악함으로서 사이버 테러를 방지하는 기술.
> 취약점이 많아서 소스에 쉽게 접근 할 수 있는 것처럼 보이는 유인 시스템을 설치하는 것.
> 모든 트래픽을 의심스렙게 봐야한 다는 것으로 시작.
> 진짜와 허니팟의 차이는 실제 서버와의 관계에서 기계의 위치. 유인기계는 보통 DMZ에 놓임. 내부네트워크가 노출되지 않음.
> 침입자의 활동을 감시, 로그파일 저장, 과정의 시작, 컴파일, 삭제 등 해커의 모든 작업을 기록하도록 설계.
허니팟의 조건
> 쉽게 노출 되어야한다.
> 쉽게 해킹이 가능할 것처럼 구성.
> 취약점을 드러내는 방식으로 사용.
> 시스템을 구성하는 요소가 모두 갖추어여 있어야하고 시스템을 통과하는 모든 로그 및 패킷의 분석이 가능해야함.
허니팟이 위치할 수 있는 곳.
> 방화벽 앞에 설치 될 경우 내부 네트워크 보호에 우수. but 효율성이 저하 될 수 있다.
> 방화벽 뒤에 설치 될 경우 효율성은 높아지나 내부 네크워크의 위험도가 증가.
> DMZ. 일반적으로 사용을 하나 설치시 시간이 많이 걸리고 내부 서버, 네트워크와의 연결을 철저히 막아야함.
허니팟을 필수 구성요소
> IDS(침입탐지시스템) , 로그서버, 허니팟.
> IDS는 방화벽 다음에 위치하여 내부 네트워크 보호를 위해 작동.
> 허니팟은 로그서버와 같은 위치에 놓이며, 외부 침입에 샌드백 역할.
허니넷(Honeynet)
> 다수의 허니팟으로 구성된 네트워크
> 허니팟을 네트워크 곳곳에 분포시킴. 허니팟의 확장판.
참고사이트 : http://copycode.tistory.com/75
EMS(Enterprise Security Management) - 통합 보안 관리
> 네트워크를 통해 들어오는 모든 위협요소들을 총체적으로 분석하여 미리 사전에 예방 할 수 있도록 운영자에게 알려주는 시스템.
> 각 기업과 기간의 보안정책을 반영, 다양한 보안시스템을 관제, 운영, 관리함으로서 조직의 보안목적을 효율적으로 실현시키는 시스템.
> 기업이 보유하고 있는 각종 보안제품(방화벽, IPS, IDS, VPN 등) 및 네트워크 장비(서버, 라우터 등)를 상호 연동하여 효율적으로 운영할 수 있도록 지원.
> 기업의 IT자산에 대한 가용성, 무결성, 기밀성 보장을 위한 위험관리를 수행.
'보안과정 > 네트워크' 카테고리의 다른 글
IP주소 (0) | 2017.10.18 |
---|---|
ARP, ARP Spoofing (0) | 2017.10.17 |
네트워크 인터페이스 계층(Network Interface Layer) (0) | 2017.10.17 |
TCP/IP 4계층 (0) | 2017.10.16 |
OSI 7 계층 (0) | 2017.10.16 |