8. 서버인증 보안 - 82. 보안 설루션

728x90

반응형

SMALL

82. 보안 설루션

1. IDS

2. 침입 탐지 기법

3. 방화벽 구성형태

4. IPsec

5. VPN

---

1. IDS (Intrusion Detection System, 침입 탐지 시스템) ☆

침입 탐지 기법
오용 탐지 (Misuse Detection)	● 이미 발견되어 알려진 공격 패턴과 일치하는지를 검사하여 침입을 탐지한다. ● 속도가 빠르고 구현이 간단하다. ● False Positive가 낮은 반면 False Negative가 높다.
이상 탐지 (Anomaly Detection)	● 장기간 수집된 올바른 사용자 행동 패턴을 활용해 통계적으로 침입을 탐지한다. ● 알려지지 않은 공격을 탐지하는데 적합하다. ● False Negative가 높은 반면 False Positive가 낮다. ● 호스트 기반과 네트워크 기반 침입 탐지 시스템에 모두 적용될 수 있다. 예 ) ID와 PW를 넣는데 기존 패턴과는 달리 뭔가 이상한 코드를 넣고 확인을 3번 누른다. 그러면 이상을 탐지한 것이다.

# False Positive (거짓 양성)

실제 공격인데도 공격을 탐지하지 못한다.

다른 말로 Type1 에러라고 한다. 

 

# False Negative (거짓 음성)

실제 공격이 아닌데도 공격으로 탐지한다.

다른 말로 Type2 에러라고 한다.

---

방화벽(Firewall)

내부-외부 네트워크 사이에 위치하여, 보안 정책을 만족하는 트래픽만 통과할 수 있다.

방화벽이 제공하는 기능에는 접근 제어, 인증, 감사 추적, 암호화 등이 있다.

 

불법 사용자의 침입 차단을 위한 정책과 이를 지원하는 하드웨어 및 소프트웨어를 제공한다.

방화벽 같은 경우에는 일반적으로 윈도우즈에도 방화벽이 있다. 소프트웨어적으로도 구축되는 경우도 있고, 별도로 하드웨어로 장착이 되는 경우도 있다. 

 

방화벽 하드웨어 및 소프트웨어 자체의 결함에 의해 보안상 취약점을 가질 수 있다.

그래서 항상 업데이트해 줘야 된다. 하드웨어적인 방화벽 같은 경우에는 특히 더 주의해야 된다. 자주 업데이트를 해야 되는데, 소프트웨어는 온라인상에서 업데이트가 되지만, 하드웨어는 그렇지 않아 펌웨어를 업데이트해야 된다. 

 

내부 네트워크에서 외부 네트워크로 나가는 패킷은 그대로 통과시키므로 내부 사용자에 의한 보안 침해는 방어하지 못한다. 

내부 안에서, 컴퓨터 시스템 안에서 이루어지는 것이 아닌 외부의 침입이 된다. 

---

3. 방화벽의 유형 

방화벽의 유형. 규칙
패킷 필터링 (Packet Filtering)	● 패킷의 출발지 및 목적지 IP 주소, 서비스의 포트 번호 등을 이용한 접속 제어를 수행한다. ● 특정 IP, 프로토콜, 포트의 차단 및 허용을 할 수 있다. ● 바이러스에 감염된 파일 전송 시 분석이 불가능하다. ● OSI 참조 모델의 제3/4계층에서 처리되므로 처리 속도가 빠르다.
상태 검사 (Stateful Inspection)	패킷 필터링 기능을 사용하며 현재 연결 세션의 트래픽 상태와 미리 저장된 상태와의 비교를 통하여 접근을 제어한다.
웅용 레벨 게이트웨이  (Application Level Gateway)	● OSI 참조 모델의 7계층의 트래픽을 감시하여 안전한 데이터만을 네트워크 중간에서 릴레이한다. ● 응용 프로그램 수준의 트래픽을 기록하고 감시하기가 용이하며, 추가로 사용자 인증과 같은 부가 서비스를 지원할 수 있다. ● 응용 계층에서 동작하기 때문에 다른 방식의 방화벽에 비해 처리 속도가 가장 느리다.
회선 레벨 게이트웨이 (Circuit Level Gateway)	● 종단-대-종단 TCP 연결을 허용하지 않고, 두 개의 TCP 연결을 설정한다. ● 시스템 관리자가 내부 사용자를 신뢰할 경우 일반적으로 사용한다. ● 내부 IP 주소를 숨길 수 있다.

 

베스천 호스트 (Bastion Host)

- 베스천 호스트는 성이다. 유럽의 중세의 성들을 우리가 캐슬이라고 한다.  이 성을 베스천 호스트라고 이야기한다.

- 외부에서의 침입을 막아주기 위한 것을 베스트 호스트 일반적으로 방화벽 시스템이라고 이야기한다. 

중세 성곽의 가장 중요한 수비 부분을 의미하는 단어로,

- 방화벽 시스템 관리자가 중점 관리하는 시스템을 말하며 액세스 제어 및 응용 시스템 게이트웨이로서 프록시 서버의 설치, 인증, 로그 등을 담당하는 호스트를 말한다.

- 보통은 성문 앞에 보초들이 서있고 다 검사 후 성문에 들어올 수 있다. 그것을 이야기하는 것이다.  

 

프록시 

대체자, 대응자 그런 의미이다.

그래서 집에 있는 공유기가 프록시의 일부 기능이 있다. 대표적인 프록시 서버의 기능은 크게 두가지로 구분한다.

 

프록시 서버 기능 

1. 원칙적으로 제일 먼저 만들어지게 된 것은 caching이다.

예)

대학교에서 컴퓨터가 1,000대가 있다.

여기에 있는 사람들이 네이버나 구글에 항상 들어간다. 그러면 한번 방문했던 자료들을 서버에 보관한다. 

(즉, 굳이 네이버나 구글까지 가지 않는다.) 프록시 서버에서 가져온다. 보통 애네를 cashing 서버라고 이야기한다. 

2. 자기 자신을 숨길 수 있는, 가상의 내부에 있는 네트워크를 숨길 수 있는 별도의 장벽 역할을 하게 된다.

구체적인 방식에 대해서는 집에 있는 공유기에는 원래 사설 IP인 202.3.6.7 할당이 된다. 근데 실제 집에 있는 컴퓨터는 192.168.0.33 식으로 간다. 이 192로 시작되는 대역은 비상용으로 인터넷에서 사용되지 않는다. 근거리 통신망에서만 사용된다. 즉, 프록시 서버를 중간에 걸어두면 외부에서 이 192 IP로 접근할 수 없다. 이것은 좀 더 말하자면 DHCP 기능이라고 한다.

이 IP가 달리는 컴퓨터들에다가 자동으로 다이나믹하게 할당해 주는 기능이 있다. 그래서 이 프록시를 주게 되면 기본적으로 보완이 되는 것이다. 그러나 요즘에 프록시서버가 있다고 해서 공유를 못하는 것은 아니다. 공유기를 보면 기본적으로 방화벽 기능이 일부 들어있는 장치들이 있다.

 

기본적으로 DHCP나 cashing기능 때문에 프록시 서버를 쓰기도 하지만

프록시 서버가 있다고 한들 외부에서 접근 못하는 것은 아니다. 왜냐면 내 컴퓨터에 악의적으로 소프트웨어 깔면

IP가 없어도 원격으로 다 제어가 가능하다. 

---

방화벽 종류

스크리닝 라우터 (Screening Router)

외부(인터넷)와 내부망의 가운데에서 패킷 필터링 규칙을 적용해서 방화벽의 역할을 수행하는 구조이다.

3 계층과 4 계층에서 IP와 Port에 대해 접근 제어를 하는 스크리닝 라우터는 매우 저렴하게 방화벽의 역할을

수행할 수 있으나 세부적인 규칙을 적용하기 어렵고 만약에 접속이 폭주할 경우 부하가 걸려 효과적이지 못하다.

---

방화벽 종류

이중 홈 게이트웨이 (Dual-Homed Gateway)

2개의 네트워크 인터페이스를 가진 베스천 호스트로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결한다.

- 방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅 하지 않기 때문에 프록시 기능을 부여한다.

- 내부에서 외부로 가려면 반드시 이중 홈 게이트웨이를 지나가야 하므로 좀 더 효율적으로 트래픽을 관리할 수 있다.

---

방화벽 종류

듀얼 홈드 호스트 (Dual-Homed Host)

2개의 네트워크 인터페이스를 가진 베스천 호스트로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결한다.

방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅 하지 않기 때문에 프록시 기능을 부여한다.

 

두 개의 인터페이스를 가지는 장비를 말한다.

하나의 인터페이스는 외부 네트워크와 연결되고 다른 인터페이스는 내부 네트워크로 연결되며, 라우팅 기능이 없는 방화벽을 설치하는 형태이다.

---

방화벽 종류

단일 홈 게이트웨이 (Single-Homed Gateway)

스크리닝 라우터와 비슷한 구조를 가진다.

접근 제어, 프록시, 인증, 로깅 등 방화벽의 기본 기능을 수행하며, 보다 강력한 보안 정책을 실행할 수 있지만 방화벽이 손상되면 내부의 공격에 대해 무방비 상태가 된다.

 

2 계층에서 우회를 통한 공격이 가능하다.

일반적으로 이런 구조를 베스천호스트라고 한다.

---

방화벽 종류

스크린된 호스트 게이트웨이 (Screened Host Gateway) ☆

 

듀얼 홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 '숨겨진'이라는 의미로 방화벽이 숨겨져 있다.

패킷 필터링 호스트와 베스천 호스트로 구성되어 있다.

 

패킷 필터링 라우터는

외부 및 내부 네트워크(인터넷 쪽)에서 발생하는 패킷을 통과시킬 것인지를 검사한다.

 

베스천 호스트는

외부에서 내부로 유입되는 패킷(라우터와 내부 네트워크 사이)에 대해서는 베스천 호스트로 검사 된 패킷을 전달한다.

즉, 베스천 호스트는 내부 및 외부 네트워크 시스템에 대한 인증을 담당한다.

 

3 계층과 4 계층에 대해서 

접근 제어를 해주고 베스천 호스트에서 7 계층에 대한 접근 제어를 하게 되지만 구축 비용은 위의 방식들보다 많이 비싼 편이다.

---

방화벽 종류

스크린된 서브넷 게이트웨이 (Screened Subnet Gateway)

 

스크린드 호스트의 보안상 문제점을 보완한 모델이다.

외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 분리하기 위한 구조이다.

 

스크린된 서브넷 게이트웨이 방식은

외부와 내부의 가운데에 DMZ를 위치시키며 방화벽도 DMZ 부분에 위치하고 주로 프록시가 설치된다.

 

단점

설치 및 관리가 어렵고 속도 느리며 고비용이다.

---

IPS (Intrusion Prevention System, 침입 방지 시스템) ☆

후에 조치를 취하는 기술이다.

침입 공격에 대하여 방지하는 것을 목표로 하는 보안 솔루션이다.

 

IDS와 방화벽의 장점을 결합한 네트워크 보안 시스템이다.

- 호스트의 IP 주소, 포트 번호, 사용자 인증에 기반을 두고 외부 침입을 차단한다.

- 허용되지 않는 사용자나 서비스에 대해 사용을 거부하여 내부 자원을 보호한다.

---

DMZ(DeMilitarized Zone, 비무장 지대)

DMZ는 보안 조치가 취해진 네트워크 영역이다.

- 특정 영역에 대해서 보안이 설정된 부분이다. "여기는 공격을 받지 않을 거야" 

- 메모리, 네트워크 연결, 접근 포인트 등과 같은 자원에 대한 접근을 제한하기 위해서 구축된다.

 

내부 방화벽과 외부 방화벽 사이에 장착/위치할 수 있다.

웹 서버, DNS 서버, 메일 서버 등이 위치할 수 있다.

---

4. IPSec(IP security)

통신 세션의 각 IP 패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜(IP)이다.

IP 자체도 공격에 노출이 될 수도 있으니깐 보안을 추가한 것이다.

 

ESP (Encapsulation Security Payload)는

발신지 인증, 데이터 무결성, 기밀성 모두를 보장한다.

 

운영 모드는

Tunnel 모드와 Transport 모드로 분류된다.

 

AH (Authentication Header)는

발신지 호스트를 인증하고, IP 패킷의 무결성을 보장한다.

---

DLP (Data Loss Prevention)

기업 데이터 유출을 방지하는 것을 목표로 하는 보안 솔루션이다.

사용자의 PC에서 기업 내 기밀 데이터가 외부로 반출되는 것을 항시 감시하고 기록하며, 정책에 따라 유출을 차단시킨다.

---

ESM (Enterprise Security Management, 통합 보안 관리)

방화벽, 침입 탐지 시스템, 가상 사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템이다.

서로 다른 보안 장비에서 발생한 각종 로그를 통합적으로 관리하여 통합 보안 관제 서비스를 제공한다.

 

전사적 차원의 보안 정책 통합 관리와 적용을 통해

정보시스템 보안성을 향상하고 안전성을 높인다.

---

5. VPN (Virtual Private Network, 가상 사설망) ☆

이용자가 인터넷과 같은 공중망에 사설망을 구축하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션이다.

우리가 쓰고 있는 것은 다 공중망이다. 그렇다고 해서 내가 재택근무하는데 우리 집까지 회사가 전용선을 깔아주지는 않는다. 그래서 전용선을 가상으로 깔아주는 네트워크를 VPN이라고 한다. 

 

안전하지 않은 공용 네트워크를 이용하여 사설 네트워크를 구성하는 기술이다.

사설 네트워크, 나만의 보안된 네트워크 

 

전용선을 이용한 사설 네트워크에 비해 저렴한 비용으로 안전한 망을 구성할 수 있다.

공용 네트워크로 전달되는 트래픽은 암호화 및 메시지 인증 코드 등을 사용하여 기밀성과 무결성을 제공한다.

 

인터넷과 같은 공공 네트워크를 통해서 기업의 재택근무자나 이동 중인 직원이 안전하게 회사 시스템에 접근할 수 있도록 해준다.

- 큰 기업 같은 경우에는 별도의 VPN 가상 사설망이 있어서 해당하는 통로로만 업무를 진행할 수 있다.

- 대신에 컴퓨터 설정은 해줘야 한다. 공유기에 설정할 수도 있고, 브라우저에 설정할 수도 있다.

---

문제 풀이

1. 컴퓨터 시스템의 내부를 감시하고 분석하여 침입을 탐지하는 시스템으로 컴퓨터 시스템의 동작이나 상태를 모두 감시하거나 부분적으로 감시하는 것은?

IDS

 

2. 다음 중 방화벽의 유형이 아닌 것은?

① 크랙 필터링 (Crack Filtering)

② 상태 검사 (Stateful Inspection)

③ 응용 레벨 게이트웨이 (Application Level Gateway)

④ 회선 레벨 게이트웨이 (Circuit Level Gateway)

1번 

 

3. 정보 시스템의 보안을 위협하는 침입 행위가 발생할 경우 이를 탐지하는 기능을 가지고 있는 시스템은?

① 모뎀 (MODEM)

② 게이트웨이 (Gateway)

③ 침입 탐지 시스템 (IDS)

④ 스위치 (Switch)

3번 

 

1. 이용자가 인터넷과 같은 공중망에 사설망을 구축하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션은?

VPN 

 

2. IPSec(IP Security)에 대한 설명으로 틀린 것은?

① 암호화 수행 시 일방향 암호화만 지원한다.

② ESP는 발신지 인증, 데이터 무결성, 기밀성 모두를 보장한다.

③ 운영 모드는 Tunnel 모드와 Transport 모드로 분류된다.

④ AH는 발신지 호스트를 인증하고, IP 패킷의 무결성을 보장한다.

1번 암호화는 양방향 암호화이다.

 

3. 침입 차단 시스템(방화벽) 중 다음과 같은 형태의 구축 유형은?

① Block Host

② Tree Host

③ Screened Subnet

④ Ring Homed

3번

 

4. 방화벽, 침입 탐지 시스템, 가상사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템은?

① NAT

② VPN

③ ESM

④ IDS

3번