방화벽, IDS, IPS

1. 방화벽(Firewall, 침입 차단 시스템)

· 가장 기본적인 네트워크 보안장비로 인증되지 않은 데이터가 네트워크를 통해 유입되는 것을 방지하는 보안장비.

· 네트워크를 통해 내부 시스템으로 들어오는 트래픽을 모니터링.

· 접근 통제 목록(Access Control List, ACL)을 적용하여 접근 가능한 사용자, IP, 포트를 결정.

· 접근 제어, 기록 및 감사 추적, Traffic의 암호화, NAT(Network Address Translation)의 기능이 있다.

 

구현방식에 따른 방화벽 유형

구축 유형	설명
패킷 필터링	· Network, Transport 계층에서 동작. · 미리 정해진 규칙에 따라 Inbound / Outbound 접근 제어. · 속도가 빠름. · TCP/IP 패킷의 헤더는 쉽게 조작이 가능.
애플리케이션 게이트웨이	· Application 계층에서 동작. · Proxy Gateway라고도 함. · 패킷 필터링에 비해 보안성이 우수함. · 강력한 접근 통제, 로그 기록 기능. · 성능이 떨어짐.
회선 게이트웨이	· Session, Application 계층에서 동작. · 내부 IP주소를 숨길 수 있음. · 관리가 수월함. · 비표준 포트로 우회 접근 시 방어 불가.
상태 기반 패킷 검사 (Stateful Packet Inscpetion, SPI)	· OSI 전 계층에서 동작. · 세션을 추적 · 패킷 헤더 내용을 해석해서 침입차단을 제공.
혼합형 타입	· 복합적으로 구성하는 방화벽. · 구축 및 관리가 어려움.

 

방화벽 구축 유형

· 스크리닝 라우터

· 베스천 호스트

· 듀얼 홈드 호스트

· 스크린드 호스트

· 스크린드 서브넷

 

 

---

2. IDS(Intrusion Detection System, 침입 탐지 시스템)

· 침입 패턴 정보를 데이터베이스에 저장하고 지능형 엔진을 사용

· 네트워크나 시스템의 침입을 실시간 모니터링 및 침입탐지 여부를 확인.

 

침입차단 시스템 절차

절차	설명
정보 수집	· 침입탐지를 위한 패턴정보 수집. · HIDS(Host based)와 NIDS(Network based)로 나뉘어짐.
정보 가공 및 축약	· 불필요한(침입과 관련 없는) 정보 제거. · 침입 판정을 위한 최소 정보만 남김.
침입 분석 및 탐지	· 침입 여부 탐지, 분석 · 방식에 따라 이상탐지 / 오용탐지로 분류.
보고 및 조치	· 침입 탐지 시 보고 및 대응. · 다른 보안장비 등과 연계.

 

· 시그니처 기반 오용탐지 / 행동 기반 이상탐지가 있다.

오용 탐지	이상 탐지
시그니처 기반, 지식 기반 탐지	행동 기반, 통계 기반, 프로파일 기반 탐지
속도가 빠르고 구현이 쉽다.	알려지지 않은 공격(Zero Day Attack)에 대응할 수 있다.
False Negative 존재 (공격인데 공격 아니라고 오판)	False Positive 존재 (공격 아닌데 공격이라고 오판)

 

 

 

---

3. IPS(Intrusion Prevention System, 침입 방지 시스템)

· 침입이 일어나기 전, 네트워크 트래픽에서 잠재적인 위협을 모니터링

· 경고 발생

· 위험한 연결 종료

· 악성 콘텐츠 제거

· 다른 보안 장치로 연계 등 위협을 자동으로 차단.

· 오용 / 이상탐지

· DDoS 대응

 

· 침입 탐지 및 대응.