Firewall, DDoS, IDS, IPS

정지범·2023년 11월 30일
0

refactoring

목록 보기
5/20

Firewall

Firewall은 네트워크 보안의 중요한 구성 요소로서, 외부에서 내부로의 불법 액세스를 방지하고 내부 네트워크의 안전성을 유지하는 역할을 수행합니다. 다양한 기능과 설정을 통해 보안 정책을 구현하며, 이를 통해 네트워크 리소스와 데이터를 보호합니다.

Firewall의 여러 기능과 특징을 알아보겠습니다.


Packet filter(패킷 필터링)

특징

  • 패킷 필터는 각 패킷의 헤더 정보를 기반으로 동작합니다.
  • 소스 IP 주소, 목적지 IP 주소, 소스 포트, 목적지 포트 등의 헤더 필드를 검사하여 패킷이 규칙에 부합하는지 확인합니다.
  • 만약 규칙에 맞다면 패킷을 허용하고, 그렇지 않으면 차단합니다.

규칙

  • IP 주소 및 포트 기반 규칙
    • 특정 IP 주소 또는 IP 주소 범위로부터의 패킷을 차단하거나 수락할 수 있습니다.
    • 특정 포트 번호를 기반으로 패킷을 제어할 수 있습니다.
  • 프로토콜 기반 규칙
    • TCP, UDP, ICMP와 같은 특정 네트워크 프로토콜에 대한 허용 또는 차단 규칙을 설정할 수 있습니다.
  • 방향성 기반 규칙
    • 패킷의 전송 방향에 따라 규칙을 적용할 수 있습니다. 예를 들어, 외부에서 내부로의 트래픽이나 그 반대의 경우에 따라 다르게 처리할 수 있습니다.
  • 상태 기반 필터링
    • 패킷의 연결 상태를 추적하고, 연결이 초기화되었거나 종료되었을 때의 패킷을 구분하여 처리할 수 있습니다.

장점

  • 간단하고 효과적인 보안: 패킷 필터는 단순한 규칙을 사용하므로 구현이 간단하고 효과적입니다.
  • 성능 향상: 다른 일반적인 방화벽과 비교해 상대적으로 낮은 오버헤드를 가지므로, 빠른 패킷 처리가 가능합니다.

단점

  • 상태를 고려하지 않음: 패킷 필터는 패킷을 독립적으로 처리하므로, 연결 상태에 대한 추적이 미흡할 수 있습니다.
  • 응용 계층 제어 어려움: 헤더 정보만을 기반으로 동작하므로 응용 계층에서의 판단이 어려울 수 있습니다.
  • 보안 수준이 낮음: 고급 보안 기능을 제공하지 못할 수 있으며, 더 복잡한 공격에 취약할 수 있습니다.

Stateful Filtering(상태 기반 필터링)

특징

  • 패킷의 헤더 정보뿐만 아니라 패킷이 특정 연결에 속하는지 여부를 고려하여 동작합니다.
  • 연결이 초기화되면, 상태 테이블에 해당 연결 정보를 저장하고, 패킷이 해당 연결과 연관되어 있는지 확인합니다.
  • 패킷이 허용되는 경우, 해당 연결 정보를 갱신하고, 연결 종료 시 상태 테이블에서 해당 정보를 제거합니다.

규칙

  • 연결 상태 추적
    • 연결이 초기화되고 연결이 유지되는 동안, 패킷이 특정 연결에 속하는지 여부를 추적합니다.
  • 동적 규칙 관리
    • 연결의 상태에 따라 동적으로 규칙을 적용하며, 특정 상태의 연결에 대한 추가적인 보안 규칙을 적용할 수 있습니다.
  • 패킷 필터링과 함께 사용
    • 주로 패킷 필터링과 결합하여 사용되어, 상태 정보를 기반으로 허용되거나 차단되는 패킷을 결정합니다.

장점

  • 보다 강력한 보안: 연결의 상태를 고려하므로, 단순한 패킷 필터링보다 더 강력한 보안을 제공합니다.
  • 허용된 연결만 추적: 상태를 추적하기 때문에 트래픽이 특정 연결에 속하지 않는 경우에는 차단할 수 있습니다.

단점

  • 상태 정보 저장의 오버헤드: 많은 연결을 동시에 추적해야 하므로, 상태 정보를 저장하는데 일정한 오버헤드가 발생할 수 있습니다.

Proxy 서버 기능

  • 클라이언트와 서버 간에 중개자 역할을 하는 서버로서, 사용자의 요청을 대신 받아 원격 서버에 전달하고, 서버로부터 받은 응답을 클라이언트에게 반환합니다.
  • 프록시 서버가 내부 네트워크를 외부로부터 감추고, 외부에서 내부로의 직접적인 접근을 막음.

NAT (Network Address Translation)

  • 사설 IP 주소를 공인 IP 주소로 변환하거나, 반대로 공인 IP 주소를 사설 IP 주소로 변환
  • 네트워크에서 사용 중인 사설 IP 주소를 숨기고, 여러 내부 디바이스가 하나의 공인 IP 주소로 통신할 수 있도록 함.

VPN (Virtual Private Network)

  • 안전한 원격 액세스 및 사이트 간 연결을 제공.
  • 암호화된 터널을 통해 안전한 통신을 지원하며, 외부에서 내부로의 안전한 액세스를 제공.

DDoS(Distributed Denial of Service)

DDoS(분산 서비스 거부 공격)

처리할 수 있는 용량을 초과하는 통신 요청과 데이터를 표적 장치의 IP 주소로 보내어 온라인 서비스 중단을 시도하는 사이버 공격의 한 형태입니다. 이러한 요청은 시스템에 과부하를 일으키고 대상 장치의 네트워크 연결을 차단하여 일반적인 트래픽이 더 이상 통과할 수 없습니다.

목적

  • 정상적인 서비스의 가용성을 저하시킨다.
  • 경쟁자나 개인적인 원한을 가진 자들이 DDoS 공격을 사용하여 상대방의 온라인 비즈니스나 서비스를 이용하지 못하도록 한다.
  • 일부 DDoS 공격은 정치적 웹사이트, 정부 기관, 뉴스 사이트 등에 향할 수 있다.

DDoS 공격의 종류

  • UDP Flood
  • ICMP Flood
  • SYN/ACK Flood
  • 그리고 애플리케이션 계층 공격인 HTTP GET/POST Flood

UDP Flood

  • UDP는 연결을 수립하지 않고 데이터를 전송하는 특성을 가지고 있기 때문에, UDP Flood는 매우 높은 속도로 패킷을 전송하여 대상 시스템을 과도한 트래픽으로 침해합니다.
  • 공격자는 소스 주소를 변조하여 패킷을 전송하는 경우가 많습니다. 이렇게 하면 트래픽의 출처를 숨길 수 있고, 공격에 참여한 여러 컴퓨터들의 IP 주소를 가장하여 분산된 형태로 공격할 수 있습니다.(스푸핑)

ICMP Flood

Ping Flood: 공격자는 대상 시스템에 대량의 ICMP Echo Request 메시지를 전송합니다. 대상 시스템은 이러한 요청에 대해 ICMP Echo Reply로 응답해야 하므로, 많은 수의 ICMP 패킷이 전송되면 대상 시스템의 리소스를 소모하게 됩니다.
Smurf Attack: 공격자는 소스 IP 주소를 대량의 무작위 주소로 조작하여 공격 트래픽을 보내는데, 이를 통해 응답을 요청한 주소로 수많은 응답 패킷이 돌아가게 만들어 대상 시스템의 대역폭을 고갈시키는 공격 형태도 있습니다.


TCP SYN/ACK Flood

  • SYN Flood 공격 도중 악성 클라이언트는 많은 양의 SYN 패킷을 전송하지만 핸드셰이크를 완료하기 위한 ACK를 보내지 않습니다.
  • 이로 인해 서버는 반쯤 열린 TCP 연결에 대한 응답을 기다리며 결국 연결 상태를 추적하는 서비스에 대한 새로운 연결을 수용할 수 있는 용량이 부족하게 됩니다. 
  • 이러한 SYN/ACK 패킷이 계속해서 대량으로 전송되면, 대상 서버의 연결 자원이 고갈되어 정상적인 연결을 처리하지 못하게 됩니다.

HTTP Flood

  • 웹 서버에 대량의 가짜 HTTP 요청을 생성하여 서버의 처리 능력을 초과시키거나, 대역폭을 고갈시켜 서비스의 가용성을 저하시키는 것이 목표입니다.

HTTP 폭주 공격에는 두 가지 종류가 있습니다

HTTP GET Flood

  • GET 요청은 주로 정보를 요청하거나 가져오는 데 사용되는데, 이를 악의적으로 대량으로 보내면 서버는 그에 따른 응답을 생성해야 합니다.
  • 공격 대상이 들어오는 요청과 응답으로 넘쳐나면 합법적인 트래픽 소스의 추가 요청에 대해 서비스 거부가 발생합니다.
    HTTP POST
  • 이 공격은 용량이 포화되고 서비스 거부가 발생할 때까지 많은 게시 요청을 대상 서버로 직접 전송하여 상대적 리소스 소비의 차이를 이용합니다.
  • 이로 인해 서버는 동시에 많은 연결을 처리해야 하므로 리소스가 고갈되고 응답 속도가 느려집니다.

IDS(Intrusion Detection System)

목적

IDS는 네트워크 또는 시스템에서 이상한 활동을 탐지하고 신호를 제공하는 것이 주된 목적입니다.

특징

  • 알림을 생성하여 보안 관리자에게 알려주지만, 직접적으로 트래픽을 차단하지는 않습니다.
  • 알려진 공격 패턴을 감지하는 데 강점이 있습니다.
  • 실시간으로 트래픽을 분석하므로 네트워크 성능에 영향을 미칠 수 있습니다.

IPS(Intrusion Prevention System)

목적

IPS는 알려진 공격 패턴을 탐지하는 데서 출발하여, 실제로 공격을 차단하거나 중단하는 데 중점을 둡니다.

특징

  • 알려진 공격 패턴을 탐지하고 차단하는 데 강점이 있습니다.
  • 공격이 감지되면 자동으로 대응하여 네트워크를 보호합니다.
  • 실시간으로 트래픽을 분석하며, 탐지된 공격을 차단하므로 네트워크 성능에 부하가 발생할 수 있습니다 .

ISD, IPS, Firewall 비교

구분FirewallIDSIPS
목적접근 통제 및 인가침입 여부의 감지침입 이전의 방지
특징수동적 차단로그,Signature기반의 패턴 매칭정책,규칙 기반의 비정상 행위 탐지
장점업격한 접근 통제실시간 탐지, 사후분석 대응 기술실시간 즉각 대응, 세션 기반 탐지 가능
단점내부자 공격 취약, 네트워크 병목현상변형된 패턴 탐지 어려움오작동 감지 현상 발생 가능, 고가의 장비

참고

https://leo-xee.github.io/CS/protocol/
https://12bme.tistory.com/80
https://blog.naver.com/kostry/220899042020
https://blog.naver.com/junhyung17/220506163514
https://itwiki.kr/w/DNS_Zone_Transfer
https://www.akamai.com/ko/glossary/what-is-icmp-flood-ddos-attack
https://work-01.tistory.com/162

profile
안녕하세요

0개의 댓글