네트워크 침해유형 대비 및 대책방안
DDoS 및 DDoS 공격에 대한 대응책
- 방화벽을 이용해서 패킷 및 포트 필터링을 통한 진입 차단
- 침입 탐지 시스템 IDS(Intrusion Detection System)를 이용한 공격 탐지
- 침입 방지 시스템 IPS (Intrusion Prevention System)를 이용한 대처
- 취약점 및 버그를 이용한 악성코드 및 침입방지를 위한 시스템 패치
- 안정적인 네트워크 설계
- 다양한 보안 툴을 활용하여 DoS 공격 탐색과 제거
- 로드 밸런싱을 통한 대용량 트래픽 분산 처리 및 네트워크 성능 강화
- 서비스별 대역폭 제한
- 불필요한 서비스 제거
방화벽(Firewall, 침입 차단 시스템)
방화벽의 개요 및 기능
방화벽의 원래 의미는 화재가 발생했을 때 불길이 다른 곳으로 번지는 것을 막기 위해 설치해놓는
구조물을 의미합니다
동일한 의미로 컴퓨터 네트워크 분야에서 내부 네트워크를 보호하기 위해
불법적인 트래픽 유입을 막고, 허가 및 인증된 트래픽만을 허용하는 기능을 가진 하드웨어나
소프트웨어를 말합니다
방화벽의 기능
- 접근제어
접근을 허가할 대상과 거부할 대상을 정하는 것으로 패킷 필터링 방식과 프록시 방식으로 나눕니다 - 로깅과 감사추적(Auditing)
접근 허가 및 거부된 내용을 기록하고 추적합니다 - 인증
메세지 인증, 사용자 인증, 클라이언트 인증을 통해 허가된 접근을 인증합니다 - 데이터 암호화
VPN을 이용해서 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화합니다
방화벽 종류
배스천 호스트 (Bastion Host)
배스천이란 중세 성곽의 가장 중요한 수비 부분을 담당하는 곳을 의미하는데
배스천 호스트도 방화벽 시스템에서 접근 제어, 응용 시스템의 게이트로서 가상 서버의 설치,
인증, 로깅 등을 담당합니다
이 호스트가 외부에 노출되어 공략 대싱이 되는 시스템으로 사용자 계정 등을 만들지 않고
최소한의 서비스만 가능한 상태로 구성됩니다
스크리닝 라우터 (Screening Router)
스크리닝 라우터는 방화벽 역할을 수행하는 라우터로서 외부 네트워크와 내부 네트워크의 경계에 위치합니다
스크리닝 라우터는 패킷의 헤더 내용을 보고 필터링 할 수 있는 기능을 제공하는데,
세부적인 규칙 적용이 어렵고 많은 규칙을 적용하면 라우터에 부하가 걸려 대역폭을 이용하기 어렵습니다
또한 실패한 접속에 대한 로깅을 지원하지 않고, 패킷 필터링 규칙에 대한 검증이 어려워
낮은 수준의 접근 제어를 지원합니다
단일 홈 게이트웨이 (Single-Homed Gateway)
스크리닝 라우터보다 좀 더 발전된 형태의 방화벽입니다
접근 제어, 프록시, 인증, 로깅 등 방화벽의 가장 기본적인 기능을 수행하며
리눅스, 윈도우 등과 같은 운영체제에 설치되어 운용됩니다
이중 홈 게이트웨이 (Dual-Homed Gateway)
최소 2개 이상의 네트워크 카드를 이용해서 구성하는 방화벽으로 하나의 네트워크로부터
전송된 패킷이 다른 네트워크로 직접 전송되지 않고 게이트웨이로 정의된 장치와 통신하게 됩니다
양방향의 직접적인 IP트래픽을 제한하고, 응용 프로그램 패킷을 전달하는 프록시 프로그램이 있어
클라이언트와 서버가 직접 통신을 하지 않습니다
프록시 프로그램은 패킷의 소스 주소, 목적지 주소, 포트 번호를 이용해서 통신 패킷의 전달을 제한합니다
스크린 호스트 게이트웨이 (Screened Host Gateway)
스크린 라우터와 단일 홈 게이트웨이를 조합한 형태로 스크린 라우터에서 패킷 필터링을 1차로 수행하고,
배스천 호스트 역할을 수행하는 단일 홈 게이트웨이에서 프록시와 같은 서비스를 통해
2차 방어를 합니다
또한 배스천 호스트는 스크린 라우터를 거치지 않는 모든 접속을 거부하며,
스크린 라우터도 배스천 호스트를 거치지 않는 모든 접속을 거부합니다
스크린 서브넷 게이트웨이 (Screened Subnet Gateway)
스크린 서브넷 게이트웨이는 외부, 내부 네트워크 사이에 완충지대를 두는 방식으로
완충지대의 네트워크를 서브넷이라고 부릅니다
완충지대에 보통 DMZ(DeMilitarized Zone)이 위치하고 방화벽도 이 위치에 설치됩니다
이 방식은 다른 방화벽의 장점을 모두 갖추고 있습니다
그러나 다른 방화벽에 비해 설치 및 관리가 어렵고 서비스 속도가 느리며 비용도 많이 들어갑니다
침임 탐지 시스템 (Intrusion Detection System)
침입 탐지 시스템 IDS는 서버나 네트워크에 대한 공격을 실시간으로 탐지하는 시스템으로
Raw Data Collection, Data Reduction and Filtering, Analysis and Intrusion Detection,
Reporting and Response 기능을 수행합니다
IDS는 설치 위치와 목적에 따라 호스트 기반 IDS (Host-Based IDS, HIDS)와
네트워크 기반 IDS (Network-Based IDS, NIDS)로 나눕니다
HIDS
HIDS는 윈도우나 리눅스 등 운영체제에 부가적으로 설치되어 사용자 계정에 따라
어떤 접근을 시도하고 어떤 작업을 실행했는지 기록하고 추적하는 역할을 수행합니다
NIDS
NIDS는 네트워크 상에서 하나의 독립된 시스템으로 운영되는데, 네트워크 전반을 감시합니다
침입탐지 기법에는 오용 탐지(Misuse Detection), 이상 탐지(Anomaly Detection)로 나뉩니다
오용탐지 기법은 이미 발견된 공격 패턴을 미리 입력해두고, 해당 패턴을 탐지했을 때 알려주는 방법입니다
오탐율이 적어 효율적이지만, 알려진 공격외에는 탐지할 수 없고 많은 데이터를 분석하는데 부적합합니다
이상 탐지기법은 정상적이고 평균적인 상태를 기준으로 급격한 변화를 일으키거나
확률이 낮은 일이 발생할 때 알리는 방식입니다
침임 방지 시스템 (Intrusion Prevention System)
침입 방지 시스템은 네트워크에서 공격 서명을 찾아내어 자동으로 조치를 취해서
비정상적인 트래픽을 중단시키는 보안 시스템입니다
수동적인 방어 개념의 침입 차단 시스템이나 침입 탐지 시스템과 달리 침입 경고 이전에
공격을 중단시키는데 초점을 둔 시스템으로 침입 유도 기능과 자동 대처 기능이 합쳐진 개념입니다
또한 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지하고
차단조치함으로서 비정상 행위를 통제할 수 있습니다
가상 사설망 (Virtual Private Network, VPN)
VPN은 인터넷과 같은 공중망을 사설망처럼 사용할 수 있도록 해주는 서비스로
암호화 기법을 사용해서 기업 본사와 지사 또는 지사간에 전용망을 설치할 것 같은 효과를
거둘 수 있습니다
VPN은 공중망을 통해 데이터를 송신하기 전에 데이터를 암호화하고,
수신측에서 이를 복호화합니다
VPN은 터널링, 암호화, 인증, 접근 제어 등의 기능을 제공합니다
관련 프로토콜로 PPTP, L2TP등이 초기에 사용되었고, 최근에는 보안강화를 위해 IPSect 등이 사용되고 있습니다
리눅스 기반 IDS 및 IPS 시스템
다양한 리눅스 기반 IDS 및 IPS 시스템이 존재합니다
- Snort
- Suricata
참고
- CentOS 7로 이해하는 리눅스 관리 및 시스템 보안 - 도서
