🌊 Surf.Log

donotdisturb

UNIV

2022-05-16 01:11

컴퓨터보안 - 7강. 보안 시스템 I

보안 시스템의 개요

  • 침입의 종류와 대응 방식에 따른 분류
    • 침입 차단 시스템 (Firewall)
    • 침입 탐지 시스템 (IDS)
    • 침입 방지 시스템 (IPS)
    • 가상 사설망 (VPN)
  • 최근 동향
    • 네트워크 접근 제어 (NAC) 기술
    • 통합된 형태의 보안 위협 관리 기술 (UTM)
    • 새로운 서비스에 대한 위협대응 기술
  • 침입 차단 시스템 (방화벽, Firewall)
    • 내부 네트워크의 컴퓨터들을 외부로부터 보호하기 위한 보안 정책과 이를 수행 하는 하드웨어 및 소프트 웨어 등
    • 외부의 공격자나 인증되지 않은 사용자, 혹은 유해한 정보가 내부 네트워크로 진입하지 못하도록 차단해주는 보호정책과 보호장치
    • 기능
      • 내부 네트워크와 외부 네트워크의 중간 지점에 위치시켜 두 네트워크 사이를 오가는 트래픽의 종류와 양을 제어
    • 구성 방식
      • 패킷 필터링 (Packet Filtering)
        • OSI 7 계층 중 3, 4 계층인 네트워크 계층과 전송 계층의 패킷을 필터링하여 내부 네트워크 보안을 설정하는 것
        • 패킷 필터링 라우터에 의해 TCP 포트와 IP 주소 패킷 중 전부 또는 일부를 필터링 할 수 있음
        • OSI 7 계층의 하위 3, 4계층을 이용하므로 네트워크 제어에 대한 반응 속도가 매우 빠름
        • 사용자에게 투명한 서비스를 제공
        • 기존 프로그램과의 연동 유연성
        • 비용이 적음
        • TCP/IP 헤더는 구조적인 문제로 조작이 쉬움
        • 모든 트래픽이 내부 / 외부 네트워크에 직접 연결되어 변형된 정보가 직접적으로 영향을 미침
        • 패킷 헤더에 있는 목적지 주소, 포트, 소스 등의 정보는 해석하지 않으므로 이런 정보의 조작은 알 수 없음
        • 로그인과 인증 방식이 강력하지 않음
        • 트래픽의 접속 제어 방식과 접속량에 따라 방화벽 성능에 큰 영향을 줌
      • 서킷 게이트웨이 (Circuit Gateway)
        • OSI 7 계층의 5계층에서 7계층까지의 기능을 수행
        • 내부 네트워크에서 외부 네트워크의 접근을 제어하는 기능을 담당
      • 애플리케이션 게이트웨이 (Application Gateway)
        • OSI 7계층중 7계층인 애플맄케이션 계층에서 방화벽 기능 수행
        • 서비스 요청 및 요구된 데이터는 애플리케이션 게이트웨이를 통해서만 전달하는 방식
          • 이러한 과정에서 로그인 정보가 애플리케이션 게이트웨이에 기록되고 제어됨
        • 각 서비스 별로 프록시 서버가 존재할수 있으므로 프록시 게이트웨이 라고도 함
        • 외부네트워크와 내부네트워크가 직접 연결되지 않고 프록시 서버를 통해서만 연결되므로 패킷 필터링 방식보다 보안설정이 우수
        • 강력한 로그인, 감시 기능을 가진 인증 시스템
        • 프록시 서버를 활용하여 확장성이 우수
        • 응용계층에서 처리하므로 속도가 떨어질 수 있음
        • 일부 서비스의 투명도가 떨어짐
        • 프록시의 사용으로 새로운 서비스에 대한 유연성이 부족
      • 하이브리드 (Hybrid) 방식
        • 패킷 필터링 방식과 애플리케이션 게이트웨이를 혼합한 방식
        • 빠르고 투명
        • 보안 설정 수준이 높고 변경이 용이
        • 보안 설정과 방식을 복합적으로 사용하므로 관리가 어렵고 복잡
  • 침입 차단 시스템 (방화벽)의 구축 형태
    • 스크리닝 라우터 (Screening Router)
      • 라우터는 외부 네트워크로 나가는 패킷을 허용하거나 거부할 수 있으며, 내부 네트워크로 들어오는 패킷을 통과시키거나 거부할 수 있음
    • 베스천 호스트 (Bastion Host)
      • 외부 네트워크와 내부 네트워크를 연결해 주는 통로가 되는 방화벽 호스트
      • 프록시 서버의 설치, 인증, 로그 등을 담당
      • 해커 및 불법 침입자의 베스천 호스트의 악용을 철저하게 차단하여야 함
    • 듀얼 홈 호스트 (Dual-Homed Host)
      • 외부 네트워크와 내부 네트워크가 존재하는 형태로 두 네트워크 간의 유일한 통로를 구축하여 두 인터페이스에 필터링 실시
    • 스크린 호스트 게이트웨이 (Screened Host Gateway)
      • 스크리닝 라우터와 베스천 호스트 혹은 듀얼 홈 호스트가 결합된 시스템
      • 스크리닝 라우터를 통해 내부 네트워크로 들어가는 모든 트래픽을 전부 베스천 호스트 혹은 듀얼 홈 호스트에서 보안 적용을 받도록 하는 것
      • 트래픽을 2단계로 방어하여 안전성이 우수
      • 라우팅 테이블이 변경되면 방어 할 수 없음
    • 스크린 서브넷 게이트웨이 (Screened Subnet Gateway)
      • 두개의 라우터와 베스천 호스트를 이용하여 중립적인 네트워크 비무장 지대 (DMZ, DeMilitarized Zone)를 외부 네트워크와 내부 네트워크 사이에 구축하여 오고 가는 신호의 완충 지역 개념의 서브넷을 운영하는 것
      • 기관에서 외부로 공개할 정보 서버, 즉 익명 FTP 서버, WWW 서버 등을 DMZ 에서 운영
  • 침입 차단 시스템 (방화벽) 구축의 유의사항
    • 내부 사용자들이 요구하는 봉나과 서비스를 적절히 구성
      • 방화벽 형태에 따른 보안 능력 결정
      • 구축 비용
      • 방화벽의 서비스
      • 방화벽의 운용
      • 방화벽의 사양
  • 침입 차단 시스템 (방화벽) 의 취약점
    • 터널링 공격
      • 네트워크 프로토콜이 가지는 특성에 의해서 발생될 수 있는 공격
      • 차단되어야 할 패킷이 다른 네트워크 프로토콜에 의해 캡슐화 되어 공격에 사용될 때에는 침입차단 시스템이 이를 차단시킬 수 없게 됨
    • 응용 기반 공격
      • 80 포트는 통과되도록 설정 된 경우 버퍼 오버플로우 등을 발생시키는 HTTP 명령어가 웹 응용 모듈에 전송되면 이를 포함한 패킷은 차단시킬수 없게 됨