보안관련용어들

★ 방화벽(Firewall)

★ IDS(침입탐지시스템)

★ IPS(침입방지시스템)

★ VPN(가상 사설 네트워크)

★ IP관리시스템

★ DRM(문서 보안 솔루션)

★ 허니팟,허니넷

★ ESM(Enterprise Security Management)

 

방화벽(Firewall) - 침입차단시스템

> 외부사용자(WAN) 내부네트워크(LAN)에 접근하지 못하도록 하는 일종의 내부 네트워크 방어도구.

> 다른 소프트웨어적인 프로그램 도구와는 달리 독립된 시스템이나 전용 하드웨어 등을 뜻함.

> 연결요청에 대해서 승인된 호스트에 한하여 처리하는 간단한 인증에서부터 패킷 필터링 및 분석, 프로토콜 내 특정 공격서명을 막는 기술, 사용자 연결의 인증과 암호화 단계까지 다양하게 존재.

 

패킷 필터링

> 가장 기초적인 방화벽, "라우터"에서 행해짐.

> 발신지 IP / Protocol / Port / 패킷 등을 선별적으로 인증해 접속요청에 대해 판단하는 것을 의미.

 

NAT(Network Address Translation)

> LAN영역에서 사설 IP주소를 사용하다가 라우터를 거쳐서 WEN통신으로 갈 때 그 라우터에서 공인 IP주소로 바꿔주는 것.

> 한개의 공인 IP주소와 한 개의 사설IP주소가 맞물리는 것.

 

PAT(Port Address Tranlation)

> 내부의 다수 IP포트들을 공인 IP의 포트로 변환해주는 것.

> 공유기가 PAT를 이용한 통신

 

NAT/PAT 참고사이트

http://rednooby.tistory.com/25

아주 설명이 잘되어있다.

 

 

IDS(Intrusion Detection System) - 침입탐지시스템.

> 탑지 대상 시스템에 인가 받지 않은 행위와 비정상적인 행동을 탐지하고 불법이라고 판단되면 차단하는 시스템.

> 데이터수집, 데이터 필터링과 축약, 침임탐지, 책임 추적성과 대응.

 

HIDS(호스트 기반 침입 탐지 시스템)

> 윈도우나 유닉스 시스템 등의 운영체제에 부가적으로 설치, 운용

> 운영체제에 설정된 사용자 계정에 따라 접근 시도와 수행 작업등을 하였는지를 기록, 추적

> 네트워크에 대한 침입 탐지 불가능, 스스로 공격 대상이 될 때만 탐지

> ex) 개인 PC 방화벽

 

NIDS(네트워크 기반 침입 탐지 시스템)

> TCP Dump를 기반으로 하는 Snort가 기본

> 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이트가 변조 되지 않음

> 네트워크 전반의 감시, 감시영역이 HIDS에 상대적으로 넓음.

> IP 주소를 소유하지 않기 때문에 직접적인 해커의 공격에 방어가 탁월

> 공격 당한 시스템에 결과에 대해서는 알 수 없다.

 

IPS(Intrusion Preventing System) - 침입방지 시스템

> 네트워크에서 공격하려고 행동을 취하려는 대상을 찾아서 자동으로 예방하여 비정삭적인 트래픽을 중단시키는 보안 솔루션.

> 침입참지 시스템 + 방화벽

> 일반적으로 방화벽 다음에 설치

> 방화벽이 네트워크의 앞부분에서 불필요한 외부 패킷을 한번 걸러주어 침입차단 시스템이 더 효율적으로 패킷을 검사할 수 있음.

 

방화벽, 침입 탐지 시스템, 침입 방지 시스템의 비교

 

	방화벽(Firewall)	침입 탐지 시스템(IDS)	침입 차단 시스템(IPS)
패킷 차단	O	X	O
패킷 내용 분석	X	O	O
오용 탐지	X	O	O
오용 차단	X	X	O
이상 탐지	X	O	O
이상 차단	X	X	O

 

VPN(Virtual Path Network, Virtual private Network) - 가상 사설 네트워크

> Virtual Path Network - Site-to-site - 외부에서 침입하는 것.

> Virtual private Network - Remote Access VPN-  기존의 인터넷 망으로 사이트 연결할 때 씀.

 

> 인터넷과 같은 여러사람이 공용으로 사용하는 공중망(인터넷망)을 특정 사용자나 조직이 가상의 터널을 만들어 단독으로 사용하는 사설망 처럼 동작시키는 것.

> A라는 사무실에서 사용하는 네트워크 기반을 물리적으로 멀리 떨어진 B라는 사무실에서도 마치 A사무실의 네트워크에 같이 있는 것처럼 해주는 네트워크의 한 종류.

> 본 지사 간의 네트워크를 전용선으로 구축하는 것에 비해 훨씬 적은 비용으로 유지할 수 있음.

 

주요용도

> 지점과 지점간 네트워크 구성(국내/해외)

> 공인된 고정IP 사용

> 보안기능 - 방화벽 및 패킷 암호화

 

> 대표적인 VPN프로토콜은 PPTP, IPsec, L2TP(Layer 2 Tunneling Protocol) 등

IPsec > 장비끼리 지원되어야 통신가능

SSL > 주로 웹 페이지에 적용.

PPTP, L2TP > 공인아이피를 제공할 때 가장 많이 사용.

 

 

 

IP관리시스템

> 네트워크 보안을 위한 것으로 임의의 사용자가 접속할 수 없게 함.

> 회사의 네트워크에 최초로 접속하기 원하는 사용자는 네트워크 접속에 하용할 시스템의 MAC주소를 IP관리 시스템의 관리자에게 알려주어야 함.

> 관리자가 해당 MAC주소를 IP관리시스템에 등록해야 해당 네트워크 사용 권한을 가짐.

 

DRM(Digital Right Management) - 문서보안 솔루션

> 디지털 환경에서 콘텐츠를 만들어낸 이의 지적 재산권 보호와 그 창장물을 사용하고자 하는 사용자의 의무와 권리를 보호하기 위한 기술.

http://blog.kollus.com/?p=109

참고.

 

허니팟(Honeypot), 허니넷(Honeynet)

허니팟(Honeypot)

> 해커를 잡는 덫

> 해커의 공격에 대응할 수 있는 시간을 벌고 해커의 움직임을 면밀히 파악함으로서 사이버 테러를 방지하는 기술.

> 취약점이 많아서 소스에 쉽게 접근 할 수 있는 것처럼 보이는 유인 시스템을 설치하는 것.

> 모든 트래픽을 의심스렙게 봐야한 다는 것으로 시작.

> 진짜와 허니팟의 차이는 실제 서버와의 관계에서 기계의 위치. 유인기계는 보통 DMZ에 놓임. 내부네트워크가 노출되지 않음.

> 침입자의 활동을 감시, 로그파일 저장, 과정의 시작, 컴파일, 삭제 등 해커의 모든 작업을 기록하도록 설계.

 

허니팟의 조건

> 쉽게 노출 되어야한다.

> 쉽게 해킹이 가능할 것처럼 구성.

> 취약점을 드러내는 방식으로 사용.

> 시스템을 구성하는 요소가 모두 갖추어여 있어야하고 시스템을 통과하는 모든 로그 및 패킷의 분석이 가능해야함.

 

허니팟이 위치할 수 있는 곳.

> 방화벽 앞에 설치 될 경우 내부 네트워크 보호에 우수. but 효율성이 저하 될 수 있다.

> 방화벽 뒤에 설치 될 경우 효율성은 높아지나 내부 네크워크의 위험도가 증가.

> DMZ. 일반적으로 사용을 하나 설치시 시간이 많이 걸리고 내부 서버, 네트워크와의 연결을 철저히 막아야함.

 

허니팟을 필수 구성요소

> IDS(침입탐지시스템) , 로그서버, 허니팟.

> IDS는 방화벽 다음에 위치하여 내부 네트워크 보호를 위해 작동.

> 허니팟은 로그서버와 같은 위치에 놓이며, 외부 침입에 샌드백 역할.

 

허니넷(Honeynet)

> 다수의 허니팟으로 구성된 네트워크

> 허니팟을 네트워크 곳곳에 분포시킴. 허니팟의 확장판.

 

 

참고사이트 : http://copycode.tistory.com/75

 

EMS(Enterprise Security Management) - 통합 보안 관리

> 네트워크를 통해 들어오는 모든 위협요소들을 총체적으로 분석하여 미리 사전에 예방 할 수 있도록 운영자에게 알려주는 시스템.

> 각 기업과 기간의 보안정책을 반영, 다양한 보안시스템을 관제, 운영, 관리함으로서 조직의 보안목적을 효율적으로 실현시키는 시스템.

> 기업이 보유하고 있는 각종 보안제품(방화벽, IPS, IDS, VPN 등) 및 네트워크 장비(서버, 라우터 등)를 상호 연동하여 효율적으로 운영할 수 있도록 지원.

> 기업의 IT자산에 대한 가용성, 무결성, 기밀성 보장을 위한 위험관리를 수행.