정보보안기사/네트워크 보안
방화벽, IDS, IPS
CyberRanger
2024. 8. 6. 21:05
1. 방화벽(Firewall, 침입 차단 시스템)
· 가장 기본적인 네트워크 보안장비로 인증되지 않은 데이터가 네트워크를 통해 유입되는 것을 방지하는 보안장비.
· 네트워크를 통해 내부 시스템으로 들어오는 트래픽을 모니터링.
· 접근 통제 목록(Access Control List, ACL)을 적용하여 접근 가능한 사용자, IP, 포트를 결정.
· 접근 제어, 기록 및 감사 추적, Traffic의 암호화, NAT(Network Address Translation)의 기능이 있다.
구현방식에 따른 방화벽 유형
| 구축 유형 | 설명 |
| 패킷 필터링 | · Network, Transport 계층에서 동작. · 미리 정해진 규칙에 따라 Inbound / Outbound 접근 제어. · 속도가 빠름. · TCP/IP 패킷의 헤더는 쉽게 조작이 가능. |
| 애플리케이션 게이트웨이 | · Application 계층에서 동작. · Proxy Gateway라고도 함. · 패킷 필터링에 비해 보안성이 우수함. · 강력한 접근 통제, 로그 기록 기능. · 성능이 떨어짐. |
| 회선 게이트웨이 | · Session, Application 계층에서 동작. · 내부 IP주소를 숨길 수 있음. · 관리가 수월함. · 비표준 포트로 우회 접근 시 방어 불가. |
| 상태 기반 패킷 검사 (Stateful Packet Inscpetion, SPI) |
· OSI 전 계층에서 동작. · 세션을 추적 · 패킷 헤더 내용을 해석해서 침입차단을 제공. |
| 혼합형 타입 | · 복합적으로 구성하는 방화벽. · 구축 및 관리가 어려움. |
방화벽 구축 유형
· 스크리닝 라우터
· 베스천 호스트
· 듀얼 홈드 호스트
· 스크린드 호스트
· 스크린드 서브넷
2. IDS(Intrusion Detection System, 침입 탐지 시스템)
· 침입 패턴 정보를 데이터베이스에 저장하고 지능형 엔진을 사용
· 네트워크나 시스템의 침입을 실시간 모니터링 및 침입탐지 여부를 확인.
침입차단 시스템 절차
| 절차 | 설명 |
| 정보 수집 | · 침입탐지를 위한 패턴정보 수집. · HIDS(Host based)와 NIDS(Network based)로 나뉘어짐. |
| 정보 가공 및 축약 | · 불필요한(침입과 관련 없는) 정보 제거. · 침입 판정을 위한 최소 정보만 남김. |
| 침입 분석 및 탐지 | · 침입 여부 탐지, 분석 · 방식에 따라 이상탐지 / 오용탐지로 분류. |
| 보고 및 조치 | · 침입 탐지 시 보고 및 대응. · 다른 보안장비 등과 연계. |
· 시그니처 기반 오용탐지 / 행동 기반 이상탐지가 있다.
| 오용 탐지 | 이상 탐지 |
| 시그니처 기반, 지식 기반 탐지 | 행동 기반, 통계 기반, 프로파일 기반 탐지 |
| 속도가 빠르고 구현이 쉽다. | 알려지지 않은 공격(Zero Day Attack)에 대응할 수 있다. |
| False Negative 존재 (공격인데 공격 아니라고 오판) |
False Positive 존재 (공격 아닌데 공격이라고 오판) |
3. IPS(Intrusion Prevention System, 침입 방지 시스템)
· 침입이 일어나기 전, 네트워크 트래픽에서 잠재적인 위협을 모니터링
· 경고 발생
· 위험한 연결 종료
· 악성 콘텐츠 제거
· 다른 보안 장치로 연계 등 위협을 자동으로 차단.
· 오용 / 이상탐지
· DDoS 대응
· 침입 탐지 및 대응.