[보안관련 용어] 보안과정을 시작하기 전에

 

 

■ 침입차단시스템 – 방화벽(Firewall)

 

방화벽이란 건물내에 화재가 일어났을 때 불길이 건물의 다른 곳으로 번지는 것을 차단하는 벽을 말한다. 따라서, 방화벽이라는 보안 솔루션은 외부의 위험 요소가 내부로 침입하고 확산하는 것을 막는 시스템을 말한다.

 

네트워크에서 방화벽은 보안을 높이기 위한 가장 일차적인 것으로, 신회하지 않은 외부 네트워크와 신회하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어를 말한다.

 

관리자는 방화벽에 통과시킬 접근과 그렇지 않은 접근을 명시해야 한다.

방화벽의 가장 기본적인 기능인 접근 제어는 룰셋(Rule Set)을 통해서 이루어지는데, Rule Set은 방화벽을 기준으로 보호하고자 하는 네트워크의 외부와 내부에 존재하는 시스템들의 IP와 포트 단위로 이루어진다.

EX: iptables(ipchain), ipfilter, SecureWorks, ....

 

----------------------------------------------------------------------------

source IP Port destination IP Port Policy

----------------------------------------------------------------------------

any any 10.10.10.5 80 allow

10.5.10.3 any any any deny

----------------------------------------------------------------------------

 

방화벽을 구현하는 방법에 따른 분류

소프트웨어로 구현된 방화벽 - (예제) 윈도우즈 방화벽

네트워크 장비 형태로 구현된 방화벽 - (예제) 방화벽 어플라이언스(Appliance)

ㄴ 장비형태가 기능이 좋다. 운영체제 내부에 기능이 탑재 되어 있기 때문

커널 밖에 기능이 있는 소프트웨어 방식보다 장비형태의 성능이 좋다.

 

* 어플라이언스란 하드웨어 운영체제 및 응용프로그램 모두 설치되어 있어서, 최소한의 설정 만으로도 동작되는 정보 기기이다.

 

 

■ 침입탐지시스템(IDS)

 

침입탐지 시스템(IDS, Intrusion Detection System)은 설치 위치와 목적에 따라 호스트 기반의 침입탐지 시스템(HIDS, Host-Based Intrusion Detection System)과 네트워크 기반의 침입탐지 시스템(NIDS, Network-Based Intrusion Detection System)으로 나눈다.

 

호스트 기반의 침입 탐지 시스템(HIDS, Host-Based Intrusion Detection System)운영체제에 설치된 사용자 계정에 따라 어던 사용자가 어떤 접근을 시도하고 어떤 작업을 했는지에 대한 기록을 남기고 추적한다. 네트워크에 대한 침입탐지는 불가능하며 스스로가 공격 대상이 될때만 침입을 탐지할 수 있다. (EX: Tripwire)

네트워크 기반의 칩입 탐지 시스템(NIDS, Network-Based Intrusion Detection System)네트워크에서 하나의 독립된 시스템으로 운용한다. 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않는다. (EX: snort)

 

 

* tripwire : http://sourceforge.net/projects/tripwire

* snort : http://www.snort.org

 

IDS : 현재 사용하지 않고 명칭만 남아있는 상태. 차단기능은 없고 확인기능만 가지고 있음

 

IPS : 차단 기능까지 탑재 되어있다.

 

■ 침입방지시스템(IPS, Intrusion Preventing System)

 

침입탐지 시스템과 방화벽의 조합으로 생각할 수 있다. 침입탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사하여 그 패턴을 분석한 뒤, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 이를 차단한다.

 

일반적으로 IPS는 방화벽 다음에 설치한다. (L2 L4 사이)

방화벽이 네트워크의 앞부분에서 불필요한 외부 패킷을 한번 걸러주어 침입차단 시스템이 더 효율적으로 패킷을 검사할 수 있다.

 

 

 

예) 방화벽 -> IPS -> 웹방화벽 -> 서비스

      방화벽 -> IPS -> 메일차단시스템 -> 웹메일

 

 

방화벽, 침입 탐지 시스템, 침입 방지 시스템의 비교

 

	방화벽(Firewall)	침입 탐지 시스템(IDS)	침입 차단 시스템(IPS)
패킷 차단	0	X	0
패킷 내용 분석	X	0	0
오용 탐지	X	0	0
오용 차단	X	X	0
이상 탐지	X	0	0
이상 차단	X	X	0

 

오용 탐지(Misuse Detection)는 침입에 대해 미리 정의해 놓은 패턴이 있어서 정제된 데이터에서 이러한 칩입 패턴을 찾아 내는 방법이다.

 

이상 탐지(Anomaly Detection)는 정상적이고 평균적인 상태를 기준으로 전달받은 데이터가 급격하게 차이가 있는지를 비교하는 방법이다.

 

 

 

■ 가상사설 네트워크(VPN)

 

VPN(Virtual Path Network)

암호화를 이용한 기밀성 확보를 통해 인터넷 회선을 임대 회선과 비슷하게 사용할 수 있도록 해 주는 솔루션이다.

 

VPN 사용예

해외여행을 가서도 국내 온라인 게임을 할 수 있다.

회사내의 서버를 집에서도 보안된 상태로 접근 할 수 있다.

 

방화벽 뒤에 VPN을 설치하는 경우

방화벽 앞에 VPN을 설치하는 경우

 

 

 

 

 

■ IP 관리시스템

 

네트워크의 보안을 위한 것으로 임의의 사용자가 접속할 수 없게한다. 회사의 네트워크에 최초로 접속하기 원하는 사용자는 네트워크 접속에 사용할 시스템의 MAC 주소를 IP 관리 시스템의 관리자에게 알려 주어야 한다. 관리자가 해당 MAC 주소를 IP 관리시스템에 등록해야 비로서 해당 네트워크를 사용할 수 있는 권한을 가진다.

 

IP 관리 시스템 에어전트 <------------> IP 관리 시스템

 

효율적인 IP 관리 시스템 (IP를 내어 주면서 해당 MAC주소를 등록하여 보안을 강화한다)

 

HanTool IPv4를 관리 및 제어하는 매니저프로그램 등..

 

 

 

 

 

■ 보안 운영체제(Secure OS)

 

seLinux 방화벽

 

운영체제에 내재된 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위해, 보안 기능이 통합된 보안 커널을 추가로 이식한 운영체제

 

 

 

 

2중보안 시 사용.

 

최신 안드로이드 모바일 rooting시 반루팅 상태가 되는 사례

 

 

 

 

 

 

 

■ 문서보안 솔루션 DRM

 

DRM(Digital Right Management)은 문서 보안에 초점을 맞춘 기술로, 문서 열람/편집/인쇄까지의 접근 권한을 설정하여 통제한다.

- 디지털 저작권 관리 시스템 : 라이센스를 통한 문서 및 파일 암호화/각인

 

커널에 삽입된 DRM 모듈은 응용 프로그램이 문서를 작성하여 하드 디스크에 저장할 때 하드 디스크에 저장할 때 이를 암호화하여 기록한다.

 

응용 프로그램에서 하드 디스크에 암호화되어 저장된 파일을 읽을 때는, 문서를 읽고자 하는 이가 암호화된 문서를 읽을 자격이 있는지를 확인한 후 이를 복호화하여 응용 프로그램에 전달해 준다.

 

DRM(Digital Right Management) Solution: 디지털 저작권 관리 솔루션

DLP(Data Loss Prevention) Solution: 데이터 손실 방지 솔루션

(대표적인 예 : 외부 유출 방지 / 인가되지 않은 USB인식불가 / )

 

 

 

 

 

■ 허니팟(Honepot), 허니넷(Honenet)

 

실제로 자료를 가진 호스트인것 처럼 침입자를 속이는 최신 침입탐지기법으로 허니팟 시스템을 이용하면, 공격하거나 침입하는 해커를 유인한다.

 

Zero-Day 취약점의 조기 발견, 잠재적 공격자에 대한 초기 경고 제공, 보안 전략의 결정 파악을 위하여 사용한다.

 

허니팟은 웹서버, 메일서버, 데이터베이스 서버, 응용프로그램 서버, 그리고 방화벽까지도 포함하는 다양한 내, 외부 장비를 시뮬레이션 할 수 있다.

 

Internet ----- Screening Router ------ Firewall ----- 인트라넷망

                     |

                  Firewall

                     |

                        허니넷(DMZ)

허니팟호스트(가상서버)

 

데이터 수집 및 분석 에 이용

 

 

 

■ ADDoSS(Anti DDoS Solution)

분산서비스 거부 공격(DDoS, Distributed Denial Of Service)를 탐지 및 차단하기 위한 솔루션이다. 2000년 이후부터 금전적 요구를 주로 하는 Ransom DDoS가 성행하고 있다.

 

 

■ PC용 백신(Anti Virus Vaccine)

 

백신 프로그램은 시스템에 항상 상주하며 바이러스나 웜이 구동하면 이를 실시간으로 제거하는 형태로 운영된다. 백신은 바이러스나 웜, 그리고 최근에는 인터넷으로 유포되는 악성 코드까지 탐지하고 제거하는 기능이 있다.

 

 

■ PC용 방화벽

 

PC 방화벽은 네트워크상의 윔이나 공격자로부터 PC를 보호하기 위해서 설치되는데, 일반적으로 보안 운영체제도 이러한 기능을 가지고 있다.

 

 

■ ESM(Enterprise Security Management)

 

ESM은 네트워크를 통해 들어오는 모든 위협요소들을 총체적으로 분석하여 미리 사전에 예방할 수 있도록 운영자에게 알려주는 시스템이다.

 

네트워크 운영자 및 서버시스템 운영자는 ESM을 통하여 얻어온 위험 정보를 바탕으로 네트워크에 생겨질 이상부분을 미리 파악하고 대처할 준비를 함으로써 시스템 운용을 원활하게 할 수 있다.

 

Agent가 설치된 보안 장비들 -------- 수집서버 -------+----- 데이터베이스 서버

                                                   |

                                                   +----- 분석 서버

 

log서버의 기능을 갖는다. Agent -> server -> DB -> 분석&관리