정보보호 시스템 종류 및 기능

방화벽

네트워크에서 방화벽은 보안의 가장 일차적인 것으로, 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어를 말함

방화벽 방어 기능

패킷 필터링

• 소스 및 대상자 IP주소, 포트번호 등 통신 데이터의 통과여부를 판단해 무단 접근을 방지
• 모든 방화벽 정책은 위에서 아래 순으로 적용 / 필요한 정책만 허용하고 나머지 모두 Deny
• 방화벽 제조사가 매우 많아 정책을 운영하는 환경은 다양하나 기본적인 운영은 큰 차이 없음

애플리케이션 게이트웨이

• 통신을 중계하는 프록시 서버를 이용해 사내 네트워크과 인터넷 사이에 직접 통신 차단
• 많은 방화벽은 네트워크 주소변환(NAT) 기능을 가지고 있음
• 내부 네트워크 사용하는 IP 주소와 외부에 드러나는 주소가 다르게 유지할 수 있기 때문에 내부 네트워크에 대한 어느 정도의 보안 기능을 지원

방화벽을 이용한 로그 분석 및 관제

• 방화벽은 일반적으로 탐지패턴 적용이 아닌 IP 주소와 포트기반으로 패킷을 통과시키거나 차단하는 시스템 즉, 패턴으로 탐지를 못한다 해도 방화벽에서 어떤 IP에서 어떤 포트로 접속 했는지 세션 정보가 확인됨
• 방화벽의 Accept와 Deny 로그를 이용하면 시그니처 기반으로 탐지 못한 이상행위 발견 가능성
• 최근에는 방화벽을 빅데이터 기반으로 분석하여 유용하게 사용 되기도 함

방화벽의 한계

• 방화벽은 네트워크 트래픽이 흐르는 경로 내부(In-Line)에 위치하기 때문에 방화벽 자체 공격의 대상이 되어서 대용량의 트래픽을 견디지 못하고 다운되는 경우가 많음
• 전체 네트워크 마비(장애)가 발생할 위험이 상당히 높음
• 정상적인 서비스 HTTP, DNS 같은 일반적인 인터넷 프로토콜을 이용한 공격은 방어가 어려움

IDS/IPS

IDS

• 공격패턴을 기반으로 패턴과 일하는 패킷에 대해서 차단하는 보안 시스템
• 주기적인 패턴 업데이트가 필요하며 정상트래픽도 패턴과 일치 할 경우 차단하므로 오탐 가능성이 존재
• 임계치 기반으로 트래픽을 탐지해 차단 가능 IDS와 다르게 네트워크 상에 In-Line 구조로 설치

IPS

• IDS는 침입을 탐지만 하고 IPS는 방어기능까지 수행
• TAP 방식이나 Mirror 방식으로 설치

IDS / IPS 트래픽 분석 구성

TAP

• 트래픽 손실이나 변조 없이 복사해 주는 장비인 TAP으로 트래픽을 검사하는 구조
• 최초 설치 시 네트워크 단절 필요
• 장비 장애 발생 시 서비스 중단 추가 비용 발생

스위치 미러링

• 일반적으로 EnterPrise급 Switch에는 Analyzer의 연결을 위한 Mirroring 기능을 지원
• Switch management utility를 통하여 mirror port를 설정

In-Line

• 트래픽 손실이나 변조 없이 복사해 주는 장비인 TAP으로 트래픽을 검사하는 구조
• 모든 트래픽이 보안시스템을 거쳐서 가기 때문에 하드웨어 장애에 민감

By-Pass

• In-Line 장비에 제공되는 전원에 이상이 있을 경우(정전 등)
• In-Line 장비에 물리적인 문제가 발생할 경우
• In-Line 장비에 에 탑재되어 있는 O.S에 문제가 발생할 경우(O.S Panic 등)
• IPS 엔진에 문제가 발생할 경우 (Dead Lock으로 인한 Hang Up 등)

보안관제 사업수행 업무

훈련 지원