관리 메뉴
kjh00n의 기록저장소
보안 시스템 구축 (이론) 본문
보안시스템 이해
- 보안시스템(보안솔루션)
- 정보보안의 내/외부 위협 요인들로부터 정보 자산(H/W, S/W, Data, Service 등)을 보호하여 보안 사고를 최소화하는 정책을 통한 기술적, 관리적 행위
- 방화벽(=F/W)
- 원래 의미: 화재가 더 이상 번지는 것을 막는 불연재로 만든 벽
- 보안 위협으로부터 불법적인 침입을 차단하여 보안 사고를 사전에 예방하는 Software 또는 Hardware
- 방화벽을 기준으로 신뢰할 수 있는 영역(Trusted Network)과 신뢰할 수 없는 영역(Untrusted Network)을 구분하여 정책에 해당하는 데이터를 제어 또는 통제(허용/거부)하는 동작을 수행함
접근제어
- 자산을 보호할 정책에 맞게 데이터를 필터링하는 기능
- 패킷 필터링, Proxy 필터링
인증
- 내부 네트워크에 접근할 수 있는 사용자, 메시지를 인증함
모니터링 및 로깅(Logging)/감사추적(Auditing)
- 모니터링: 지속적으로 트래픽을 모니터링하면서 유동적인 정책을 세울 수 있게 함
- 로깅/감사추적: 침해가 발생했을 때 역추적의 정보를 남겨야 함
NAT
- 내부 네트워크의 주소를 외부에 노출시키지 않음
- 내부 네트워크로의 직접적인 접근을 차단함
VPN
- 방화벽에서 다른 방화벽 또는 호스트까지 전달되는 트래픽을 암호화해서 전달함
보안시스템 종류
- 방화벽(Firewall)
- 침입 차단 시스템
- 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 정책(규칙)에 따라 차단하거나 보내주는 기능을 하는 하드웨어 또는 소프트웨어
- 보안에서 가장 기본적인 솔루션
- IDS(Intrusion Detection System)
- 침입 탐지 시스템
- 네트워크를 통한 공격을 탐지하기 위한 장비이며, 방화벽이 차단하지 못한 해킹이나 악성코드의 활동을 탐지
- 설치 위치와 목적에 따라 호스트 기반이나 네트워크 기반으로 설치
- IPS(Intrusion Prevention System)
- 침입 차단 시스템
- IDS + Firewall과 같은 네트워크 기반의 솔루션을 논리적으로 결합한 시스템
- 방화벽(Firewall)의 단순한 룰 셋 적용을 통한 차단으로 실질적인 공격의 차단율이 낮다는 점을 보완하기 위해 개발
- 비정상적인 트래픽(공격)에 대해 능동적인 분석과 차단을 수행
- Web Filter
- 웹 브라우저의 통신 내역을 감시하여 위험성 높은 내용을 차단 (웹 해킹 탐지가 목적이 아님)
- 위험한 사이트 접속 차단 및 위험한 컨텐츠 차단
- WAF(Web Application Firewall)
- 웹 방화벽
- VPN(Virtual Private Network)
- 가상 사설망
- 인터넷(공용망)을 전용선처럼 사용할 수 있도록 제공하는 서비스
- 본사와 지사 간에 전용망을 설치한 것과 같은 효과를 거둘 수 있으며, 기존 사설망의 고비용 부담을 해소하기 위해 사용(비용 절감)
- 터널링 + 암호화
- Anti DDoS Solution
- DDoS 공격 탐지/차단
- Anti SPAM Solution
- 스팸 탐지/차단 또는 스팸 필터 솔루션
- Anti Virus Wall
- 악성코드 탐지/차단 솔루션
- Load Balancing
- 부하 분산
- SLB(Server Load Balancing) / NLB(Network Load Balancing)
- 동작 방식: 라운드 로빈, 가중치 라운드 로빈 등
- LVS(Linux Virtual Server)
- 리눅스를 이용해서 고가용성 확보를 위해 로드 밸런싱을 운영하는 시스템
- UTM(Unified Threat Management)
- 통합 위협 관리
- 하나의 장비에서 여러 보안 기능을 통합적으로 제공하여 다양하고 복잡해진 공격에 대응
- Firewall / WebFilter / WAF / VPN / IDS / IPS / Antivirus / AntiSpyware / AntiSPAM / Wireless Security 등
- PMS(Patch Management System)
- 패치 관리 시스템
- 조직 내에서 최신의 패치를 적용시키는 것이 중요
- 보안 솔루션 강제 설치/ 불법 소프트웨어 차단/ 하드웨어 자산 관리 등을 수행
- NAC(Network Access Control)
- IP 관리 시스템에서 발전한 솔루션
- 네트워크에 연결된 단말의 여러 가지 정보를 수집하고, 수집된 정보를 바탕으로 단말들을 분류하며, 분류한 그룹의 보안 위협 정도에 따라 제어를 수행
-
- ESM(Enterprise Security Management)
- 해킹 행위 차단
- 완벽한 증거 수집 능력
- GUI를 통해 각종 시스템 및 장비의 상태, 성능, 장애 여부 등을 모니터링하고 관리하기 위한 시스템
- 회사의 비즈니스 안정성을 확보하고 가치를 높이고 자원의 최적화 등을 위해 구성
보안시스템 운용 기술
방화벽의 분류(기술적)
- Packet Filter Firewall
- Application Layer Gateway(=ALG)
- Circuit Gateway
- Stateful Inspection
- Dynamic Packet Filtering
- Hybrid 방식
- Packet Filter Firewall
- 1세대 방화벽 → Screening Router
- OSI 7 Layer의 Network, Transport에서 동작함
- 데이터의 출발지 및 목적지 IP/PORT 정보를 이용하여 정책을 구성함
- Router의 기본 ACL 기능
- Application Layer Gateway(=ALG)
- 2세대 방화벽 → Proxy
- OSI 7 Layer의 Application에서 동작함
- 각 Service Daemon별 Proxy 기능을 이용하여 Application 계층의 데이터를 필터링함
- Circuit Gateway
- 2세대 방화벽 → Proxy
- OSI 7 Layer의 Session Layer에서 동작함
- 요청자와 응답자의 가상 Session을 인식하여 데이터를 필터링하는 역할을 수행
- 내부 시스템에 Circuit Gateway 구현을 위한 별도의 하드웨어가 설치되어야 함
- Stateful Inspection
- 3세대 방화벽 → 상태 정밀 검사
- OSI 7 Layer의 Network, Transport에서 동작함
- 필터링 속도를 개선함
- 방화벽에서 상태 추적 테이블을 생성하여 L3, L4 정보를 기억하여 정책 검사를 한번만 수행함
- 동적으로 보안 정책을 수정하며 실제 접속 상태를 감시하여 통신 상태에 따라 허용/거부를 수행함
- Dynamic Packet Filtering 방식
- 보안 정책을 동적으로 수정 가능
- 실제 접속 상태를 감시해 상태에 따라 Packet들이 방화벽을 통과하도록 허용/거부할지를 결정
- 세션 정보를 기록/유지함으로써 능동적인 보안 관리가 가능
- 방화벽 + IDS 방식
- 방화벽이 잡지 못한 트래픽을 내부의 IDS가 알람을 띄우고 방화벽은 보고를 받아 차단시키는 방식은 Dynamic Packet Filtering 방식에 하나의 예라고 할 수 있음
- Hybrid 방식
- 대부분의 Firewall이 채택하는 방식
- Packet Filtering + Application Gateway 방식 등의 혼합
- 사용자의 편의성과 기업 환경에 따라 유연성 있게 방화벽을 구성할 수 있지만, 관리가 복잡한 단점이 있음
보안시스템 구축 형태
방화벽의 분류(구축 형태)
- 스크리닝 라우터(Screening Router)
- 기존의 Router에 패킷 필터링 기능을 이용하는 방화벽 구축 형태
- 베스천 호스트(Bastion Host Architecture)
- 내부 네트워크의 하나의 시스템을 proxy로 운영하며 특정 서비스에 대해서만 필터링하는 방식
- 듀얼 홈드 호스트(Dual Homed Host Architecture)
- Bastion Host 구조에서 네트워크 카드를 하나 더 장착하여 내부/외부 네트워크를 분리시키는 형태
- 스크린드 호스트(Screened Host Architecture)
- Screening router + Bastion Host(또는 Dual Homed Host) 구조
- 스크린드 서브넷(Screened Subnet Architecture)
- Screening router + Bastion Host(또는 Dual Homed Host) + Screening router 구조
스크리닝 라우터(Screening Router)
- 특징
- 정상적인 내부/외부 사용자는 패킷 필터링 라우터의 존재를 인식하지 않고 서비스를 이용함
- 패킷 필터링 기반으로 동작함
- 내부 네트워크와 외부 네트워크를 분리함
- 단점
- 실패한 접속에 대한 로깅과 감사 추적이 어려움
- 패킷 필터링 규칙에 대한 검증이 어려움
- 외부 네트워크에서 공격자에 의해 공격당하거나 고장 등의 문제가 발생할 경우 보안상 치명적임
- 스크리닝 라우터 구조
베스천 호스트(Bastion Host Architecture = Single Homed Host 구조)
- 특징
- 내부/외부 네트워크를 분리하지 않음
- 접근 제어, 프록시, 인증, 로깅 등의 방화벽 기본 기능을 수행
- 윈도우 NT 또는 유닉스 등의 운영체제에 설치하여 사용
- 설치되는 운영체제에는 일반 사용자 계정이 없어야 하며, 방화벽 기능 외의 유틸리티는 모두 삭제
- 대용량의 모니터링과 로깅이 가능해야 하며, IP 포워딩 및 소스 라우팅 기능이 없어야 함
- 단점
- 운영체제에 운영되기 때문에 강력한 보안 정책이 가능하나 방화벽이 손상될 경우 네트워크에 대한 무조건적인 전송이 가능함
- 방화벽으로 원격 로그인 정보가 노출되어 공격자가 방화벽에 대한 제어권을 탈취한 경우 내부 네트워크가 위험해짐
- 2계층 공격 등을 통한 방화벽 우회 공격에 취약함
- 베스천 호스트 구조
듀얼 홈드 호스트(Dual Homed Host Architecture = Dual Home Gateway)
- 특징
- 두 개의 인터페이스를 가지는 Bastion Host
- 응용 서비스 종류에 좀 더 종속적이기 때문에 스크린 라우터보다 안전
- Application Layer 공격 방어 가능
- 로깅 및 감사 추적이 용이함
- 설치 및 유지보수가 쉬움
- 단점
- 제공되는 서비스가 증가할수록 proxy 소프트웨어 가격 상승
- 게이트웨이가 손상되면 내부 네트워크 보호 불가
- 방화벽으로 원격 로그인 정보가 노출되어 공격자가 방화벽에 대한 제어권을 탈취한 경우 내부 네트워크가 위험해짐
- 듀얼 홈드 호스트 구조
스크린드 호스트(Screened Host Architecture = Screen Host Gateway)
- 특징
- 2단계 방어
- Screen Router에 의해 L3 + L4에 대한 Access Control
- Bastion Host에 의해 L7에 대한 Access Control
- 가장 많이 이용되는 구조
- 융통성이 좋음
- 2단계 방어
- 단점
- Screening Router가 해킹될 경우 Bastion host를 거치지 않고 내부 Network로 침입이 가능
- 구축 비용이 높음
- 스크린드 호스트 구조
스크린드 서브넷(Screened Subnet Architecture)
- 특징
- 외부 네트워크와 내부 네트워크 사이에 완충지대를 두는 구조
- 완충지대의 서브넷에 DMZ가 위치함
- 서브넷에 Bastion Host 또는 Dual Homed Host를 설치함
- 공격자가 내부로 침입하려면 통과해야 할 보안 장비가 많아서 보안이 강화됨
- 단점
- 설치와 관리가 어려움
- 비용이 많이 소모됨
- 스크린드 서브넷 구조
보안시스템 장비별 특성
- 방화벽의 분류(장비)
- Software 기반 Firewall
- 일반적인 호스트 PC에 설치하는 소프트웨어 형태의 프로그램
- Open Source Software Firewall
- IPTABLES, IPFIRE, PFSENSE, ENDIAN, MONOWALL, SMOOTHWALL 등
- Hardware 기반 Firewall
- 네트워크 장비 기반으로 자체적으로 보안 기능을 수행하도록 제작된 하드웨어
- Software 기반 Firewall
- IDS(Intrusion Detection System)
- 침입 탐지 시스템
- 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지
- 탐지된 불법 행위를 구별하여 실시간으로 침입 탐지
- 정상 트래픽의 흐름을 간섭하지 않고 단지 감시하는 기능을 제공함
- 원본 데이터를 복사하여 검사
- 물리적 장비: tap
- SW 기능: port mirroring
- IDS의 주요 기능: 보안상의 위협 찾기
- IDS 사용 목적
- 단순 접근 제어나 방화벽 등의 침입 차단 시스템의 탐지 기능 한계
- 인증된 사용자나 이를 가장한 침입자의 공격에 대비
- 침입 경로의 다양화, 해킹 수법의 고도화에 대한 대비
- IDS 기능
- 데이터 수집
- 데이터 필터링 및 축약
- 침입 탐지
- 책임 추적성 및 대응
- IDS 동작 단계
- 데이터 수집
- 대상 시스템에서 제공하는 시스템 사용 내역, 컴퓨터 통신에 사용되는 패킷 등과 같은 데이터 수집
- 데이터 가공 및 축약
- 수집된 감사 데이터를 침입 판정이 가능할 수 있도록 의미 있는 정보로 전환
- 침입 분석 및 탐지
- 수집된 데이터를 분석하여 침입 여부를 판정
- 침입 탐지 시스템의 핵심 단계
- 보고 및 대응
- 침입으로 판단된 경우 이에 대한 적절한 대응
- 보안 관리자에게 침입 사실을 보고하여 보안 관리자에 의해 조치를 취하게 함
- 데이터 수집
- IDS 탐지 방법
- 지식 기반, 행위 기반
- 지식 기반 탐지(Misuse Detection IDS)
- 오용 침입 탐지
- Signature 기반으로 비정상적인 트래픽을 탐지
- 오탐 가능성이 낮으며 백신처럼 트로이목마, 백도어 등의 공격도 탐지 가능
- Signature가 없는 공격에 대한 대응이 불가능
- 부정 오류(False Negative): 미탐(탐지X) 가능성이 높음
- 행위 기반 탐지(Anomaly Detection IDS)
- 비정상 행위 탐지
- 정상적인 상황의 트래픽에 위배되는 급격한 변화가 발견되면 위협으로 판단하는 탐지 기법
- 정량적 분석, 통계적 분석 기법을 사용
- 관리자가 상황에 따른 프로필을 제작할 수 있으며 IDS 장비 자체가 인공지능(학습 능력)을 지원함
- Zero-day Attack에 대해 탐지 가능
- 긍정 오류(False Positive): 오탐(잘못 탐지) 가능성이 높음
- IDS 배치별 분류
- NIDS, HIDS
- N-IDS(Network IDS)
- 해당 네트워크를 모니터링
- NIC가 Promiscuous 모드로 동작해야 함
- 적절한 위치에 배치되어야 네트워크 내의 모든 트래픽을 모니터링할 수 있음
- 장점
- 호스트 기반 IDS에서는 탐지 불가능한 침입을 탐지
- 포트 스캐닝, Land Attack 등의 공격 탐지
- 전체 네트워크에 대한 침입 탐지
- 기존 네트워크 환경을 변경할 필요가 없음
- 단점
- 탐지된 침입의 공격 성공 여부를 알지 못함
- 다양한 우회 가능성이 존재함
- 종류
- 국내: Siren3.0, NeoWatcher@ESM package V3.0, NetspecterV1.2, TESS/TSNV2.0, Sniper V2.0 등
- 국외: BlackIce(ISS), Cisco Secure IDS, IntruShield, Snort 등
- H-IDS(Host IDS)
- 시스템 내부에 설치하여 하나의 시스템 내부 사용자들의 활동을 감시
- 해킹 시도를 감지
- N-IDS와 다른 점: 자신이 실행되는 호스트 시스템만을 보호
- Non-Promiscuous 모드로도 작동 함
- 장점
- 네트워크 기반 IDS에서 탐지 불가능한 침입 탐지: 트로이목마, Race Condition 등
- 단점
- 모든 개별 호스트에 대한 설치/관리가 어려움
- IDS가 설치된 플랫폼의 성능 저하
- IDS가 설치된 플랫폼 자체가 침입에 노출됨
- 종류
- 국내: Siren 3.0, NeoGuard@ESM Package V3.0, SafezoneHostV1.0
- 국외: Appshield, auditGUARD, Centrax, Dragon Squire, NFR HID 등
- D-IDS(Distribution IDS = 분배 IDS)
- Manager/Probe로 동작
- 원격지에 N-IDS 탐지 센서가 있으며 중앙 관리 장비로 탐지된 정보를 전송
- 탐지된 정보를 주기적으로 관리 장비로 업로드 및 데이터베이스에 저장
- 각 센서는 새로운 공격 Signature를 다운로드할 수 있음
- 각 센서의 정책은 개별 호스트에 맞게 최적화
- 경고 메시지는 메시징 시스템으로 전달되며 IDS 관리자에게 통보
- 장점
- N-IDS 장점 + H-IDS 장점
- 단점
- 모든 네트워크에 설치하기 어려움
- IDS가 설치된 플랫폼의 성능 저하
- 종류
- 국내: Siren 3.0
- 국외: NFR HID, Prelude, RealSecureServer Sensor, Stormwatch
- IPS(Intrusion Prevention System)
- 침입 차단 시스템
- 탐지와 차단을 함께 수행하는 실시간 보안 장비
- OS나 애플리케이션의 취약점을 능동적으로 사전에 예방
- 비정상적인 트래픽 또는 Zero-day Attack까지 차단 가능
- 외부에서 내부 네트워크로의 침입을 방지
- 위험 인지와 시스템 인지를 통해 능동적인 방어를 제공
- IPS 기능별 구분
- Switch 기반
- 알려지지 않은 공격 방어: Signature(알려진 공격)에 의한 방어가 약함
- 성능적인 면이 강함
- Firewall 기반
- 기존의 ACL 기능에 웜 또는 DoS 공격 탐지 모듈 추가: 알려지지 않은 공격 방어가 약함
- 유해 정보 차단
- IDS 기반
- 기존의 IDS를 일부 수정
- 알려진 공격 차단 및 대응에 강함: 성능적인 면이 약함
- 기존의 IDS의 단점인 높은 오탐율과 관리 어려움이 있음
- Switch 기반
- UTM(Unified Threat Management)
- 통합 위협 관리 시스템
- 단일 장비에 다양한 보안 기능을 결합한 통합 보안 장비
- 현재 제공될 수 있는 모든 보안 기능들을 제공하며 업데이트를 통해 추후 업데이트 가능
- 초기에는 중소기업용으로 개발됨
- 하드웨어 리소스의 한계로 소규모의 네트워크에서만 사용 가능했음
- 현재는 리소스의 성능이 높아져서 중/대형 네트워크로 확장되는 추세
- 앞으로 점차 사용량이 증가하면서 보안 솔루션의 중심이 될 것이라 예측
- ESM(Enterprise Security Management)
- GUI를 통해 각종 시스템 및 장비의 상태, 성능, 장애 여부 등을 모니터링하고 관리하기 위한 시스템
- 회사의 비즈니스 안정성을 확보하고 가치를 높이고 자원의 최적화 등을 위해 구성
- ESM 주요 기능
- 통합 관리
- 성능 관리
- 구성 관리
- 장애 관리/보안 관리
- NAC(Network Access Control)
- 네트워크 접근 제어
- 호스트가 네트워크에 접근하기 전에 보안 정책 수준을 준수했는지 여부를 검사하여 네트워크 접속을 통제하는 기술
- End device의 보안 기술을 기존 네트워크 보안 체계와 결합하여 기업 전체 네트워크에 통합 보안 체계를 구현
- 보안 위협 경로를 미리 차단하여 방어적인 네트워크 보안 체계 구축
- NAC 동작 순서
- 호스트의 네트워크 접근
- NAC 시스템에서 호스트의 사용자를 인증
- 호스트의 보안 상태가 보안 정책을 준수하고 있는지를 점검한 후 네트워크 접속 허가 또는 거부
- 보안 정책에 수준 미달된 호스트는 네트워크에서 격리
'보안 장비 운용' 카테고리의 다른 글
| 통합 위협 관리 시스템(UTM) 구축 (0) | 2025.01.20 |
|---|
'보안 장비 운용' Related Articles
more
