IPS, WAF, FW 의 공통사항 : 악의적인 의도를 가지고 전산시스템을 공격하는 사용자에 대한 탐지 및 차단
IPS
IPS (Instruction protection system, 침입방지 시스템) : 네트워크 Layer3 ~ Layer7 계층에서 IPS가 가지고 있는 취약점 패턴에 대해서만 탐지 및 차단
웹 방화벽의 일부 기능을 가지고 있으나, HTTP(80)에 대한 패턴이 미비 함
-
필요성: 전반적인 네트워크 트래픽에 대한 침해사고 대응
-
보호대상: 모든 서버
WAF
WAF(Web Application firwall, 와프, 웹어플리케이션 방화벽)
네트워크 Layer7(Application Level)계층에서 HTTP(80) 프로토콜을 베이스로하는 취약점 공격만 탐지 및 차단
실무에선 줄여서 WAF 또는 와프라고 부르기도 합니다.
HTTP(80)으로 시도되는 DOS, DDos 공격 차단
일반적인 네트워크 방화벽(Firewall)과는 달리 웹 애플리케이션 보안에 특화된 방화벽
-
필요성: 침해사고의 90%이상을 차지하고 있는 웹 침해사고 대응
-
보호대상: 웹 서비스를 하는 모든 웹서버
FW
FW(firewall, 방화벽, 침입 차단 시스템) :
네트워크 Layer3(Network Level)계층에서 IP와 Port를 제어함으로써 인가된 사용자에 대해서만 전산시스템에 접근 허용
Routing Mode에서 NAT(주소 변환) 기능 제공
-
필요성: 보호 대상 시스템과 그 이외 다른 시스템들과의 경계선 역할
-
보호대상: 모든 서버
IDS 란?
자제적으로 내장된 각종 해킹수법을 기반으로 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 보안솔루션. 네트워크 기반(NIDS)과 호스트기반(HIDS)으로 구분되나, 국내에서는 일반적으로 NIDS를 IDS라 칭함
-
수동적 IDS(Passvie IDS) : 침입자가 있다는 것을 메신저나 메일을 통해 알리는 방식
-
능동적 IDS( Active IDS) : 침입자가 세션을 강제로 종료하고 이후 접속하지 못하도록 차단 하는 방식으로 방화벽과 함께 동작.
IPS 란?
자체적으로 내장된 각종 해킹수법을 기반으로 비정상적인 트래픽에 대해 능동적으로 해당 트래픽을 차단, 격리 등 방어조치를 취하는 보안 솔루션.
능동형 보안솔루션이라고도 불리는 IPS는 인터넷 웜, 악성코드 및 해킹등에 기인한 유해트래픽을 차단하는 네트워크 보안 기술 중 예방적 차원의 시스템에 해당한다.
악의적인 공격에 대한 공격탐지를 하고 설정해 놓은 규칙에 기반한 즉각적인 대응이 가능한 시스템이라고 할 수 있다.
전송된 특정 패킷을 점검하여 부적절한 패킷이라 판단되면 해당 포트 및 IP에 대한 연결을 봉쇄하고 적절한 패킷에 대해서는 지연없이 바로 전달한다.
탐지 기법으로는 주소 대조, HTTP 스트링과 서브스트링 대조, 일반 패턴 대조, TCP 접속 분석, 변칙적인 패킷 탐지, 비정상적인 트래픽 탐지 및 TCP/UDP 포트 대조 등이 있다.
HIPS ( Host-based Intrusion Prevention System/ 호스트 기반 IPS)
개별 단말(PC, 서버 등)상에 존재하는 침입 탐지 애플리케이션으로 전통적인 시그니처 기반의 백신에 휴리스틱 기반의 탐지기능이 들어가 있다. 주기적인 엔진 업데이트 없이도 신규 악성코드에 대처하는 것을 목표로 한다. 단점으로는 어떤 의심행위가 수행되려고 할 때 마다 알림창이 나타나기 때문에 조금 번거로울 수 있다.
NIPS( Network-based IPS / 네트워크 기반 침입방지시스템)
원하지 않는 트래픽을 막기 위해 패킷레벨에서 탐지및 방지 사용, 공격 세션으로 부터 원하지 않는 패킷들만 탈락기능 단점으로는 효과적인 보안업데이트에 의존해야 한다.
VPN
VPN은 Virtual Private Network(가상사설망)란 의미 그대로 공중 데이터 통신망을 사용자가 마치 자신이 구축한 개인 통신망과 같이 직접 운용, 관리할 수 있게한 네트워크 아키텍처를 말한다. 이같은 특징으로 사용자들은 공중 통신망을 회사의 전용회선처럼 이용할 수 있게 된다. 이처럼 전용회선 비용보다 훨씬 저렴한 비용으로 원거리 통신망을 가능하게 하기에 점차 이용이 늘고 있다.
그러나 VPN은 개방된 망을 사용하기 때문 보안을 위해 파이어월이나 인증, 암호화 장비 등의 별도의 장치를 설치해야 안전하게 이용할 수 있는 단점이 있다. 그래서 최근 VPN의 보안에 IKE(인터넷 키 교환)과 IPSec(인터넷 프로토콜 보안) 방식이 이용되고 있다.
VPN의 보안에 있어 암호화는 VPN의 한 지점에서 인터넷을 거쳐 다른 지점(다른 네트워크 또는 독립형 PC가 될 수 있음)까지의 프라이버시를 유지하는데 사용된다.
데이터에 허용되는 보호 수준은 다음 사항에 달려 있다.
- 사용되는 암호 알고리즘 - 사용되는 암호 키의 길이 - 암호 키가 변경되는 빈도
단순한 VPN은 두 컴퓨터 사이의 '가상 터널'이다. 이 컴퓨터 사이의 모든 네트워크 트래픽은 이 가상 터널을 통과한다. 네트워크 레이어에서 암호화가 이루어지기 때문에 네트워크 스택에서 VPN을 지원해야 한다.
터널이 처음 만들어지면 두 컴퓨터는 상대 컴퓨터를 상호 인증해야 한다. 인증 후 두 컴퓨터는 어떤 암호화 알고리즘을 사용할 것인지, 암호화 알고리즘과 함께 사용할 기밀 사항이 무엇인지, 어떤 데이터 무결성 알고리즘을 사용할 것인지, 어떤 네트워크 트래픽이 터널을 통과할 것인지 등을 협의한다. 협의가 성공적으로 완료되면 두 컴퓨터 사이의 네트워크 트래픽이 구축된 VPN을 통해 흐른다.
UTM
UTM(Unified Threat Management)는 네트워크의 단일 장치 또는 서비스에서 다양한 보안 기능 및 서비스를 제공하여 간편한 방식으로 보안 위협으로부터 사용자를 보호합니다.
포함기능 은 바이러스 차단, 안티스스페이스, 컨텐츠 필터링, 웹 필터링과 같은 기능이다.
UTM(Unified Threat Management) Deep Packet Inspection을 사용하여 수신 데이터를 검사하여 바이러스, 악성 코드 또는 악성 첨부 파일로부터 네트워크를 보호하고 강화된 웹 필터링을 설치하여 원치 않는 웹사이트에 대한 액세스를 차단한다.
Router :
Load Balancer :
L2 Switch :
public switch :
monitoring switch :
private switch :
