| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
- HIDS
- ViursTotal
- 악성샘플 사이트
- 악성샘플
- 악성 샘플 수집
- 공유폴더만들기
- 바이러스 웜 트로이목마
- 보안관제 업무유형
- snort rule signature
- 동적분석도구
- False Negatvie
- 보안관제 업무
- 악성샘플수집
- bintext
- 공유 폴더 만드는법
- 스노트 룰 시그니처
- 동적 분석 도구
- AWS
- snort 패턴
- MalwareBazaar
- 지식기반탐지
- VirusShare
- 보안관제 업무절차
- 리팩토링
- 보안
- AutoRuns
- IAM
- 바이러스 웜 차이
- saa
- Exeinfo PE
- Today
- Total
배이빗의 공부 공간
Firewall, IDS, IPS, DDOS 본문
방화벽(Firwall)
- 외부 네트워크(악의적인 해커, 공격자 등)로부터 내부 네트워크 혹은 내부자산(PC, 서버, DB 등)을 보호하는 보안장비
- IP와 port number를 바탕으로 허용 차단을 결정
방화벽의 주요기능(장점)
1. 접근통제(Access Control)
- 패킷 필터링을 통해 외부에서 내부 네트워크로의 접근을 제어하는 기능
※ 패킷 필터링: IP 주소, 포트 등을 검사하여 내부 및 외부 네트워크 간의 접근을 제어하는 과정
2. 인증(Authentication)
- 메시지 인증: 신뢰할 수 있는 통신 경로(ex: VPN)를 통해 전송되는 메시지의 신뢰성을 보장하는 기능
- 사용자 인증: 방화벽을 통과하는 트래픽에 대해 사용자가 누구인지를 확인하는 기능.
ex) 일회용 비밀번호(OTP), 토큰 기반 인증, 패스워드 인증 등 - 클라이언트 인증: 특정 상황(ex: 모바일 사용자)에서 접속을 요청하는 호스트 자체가 인가된 호스트인지 확인하는 기능.
3. 감사 및 로깅(Auditing & Logging)
- 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽의 허용 또는 차단과 관련된 정보를 기록하는 기능
- 이러한 로그는 보안 정책에 따라 실제 서비스를 수행하는 서버에서 클라이언트의 서비스 요청을 받아 전달하고, 결과를 수신하여 사용자에게 전달하는 과정에서 생성된다.
4. 프록시(Proxy) 기능
- 내부 네트워크와 외부 네트워크 사이에서 중개자 역할을 수행하는 기능
- 클라이언트의 요청을 받아들여 외부 서버로 전달하고, 서버의 응답을 받아들여 클라이언트에게 전달하기 전에 보안 정책을 적용할 수 있다.
5. NAT(Network Address Translation) 기능
- 주소 변환 기능으로, 외부 호스트의 IP 주소나 목적지 호스트의 IP 주소를 전송 단계에서 변환하여 전달하는 기능
- 이를 통해 네트워크에서 외부 네트워크와 내부 네트워크를 분리하는 역할을 수행하여 가능하게 한다
6. 취약점 보완
- 방화벽은 알려진 취약점에 대해 대응하여 시스템의 취약성을 보완한다.
- 악성 트래픽이나 해킹 시도 등을 탐지하고 차단하여 시스템의 안정성을 유지한다.
7. 비밀성향상
- 침입차단시스템의 보안 설정을 통하여 확장된 개인정보보호 기능을 수행
- Finger 명령어를 통해 로그인 정보를 얻을 수 있는 기능과 사이트 이름 및 IP 주소를 알려주는 DNS 서비스 기능을 차단함으로써 개인의 시스템 사용 정보 등을 보호한다.
※ Finger: 유닉스 기능으로, 특정 컴퓨터의 사용자 정보를 볼 수 있다.
실행 시 현재 컴퓨터 시스템에 접속해 있는 사용자의 로그인 여부와 사용자 정보(이름, 마지막 접속 시간, 단말 회선, 단말기 위치 등)을 화면에 출력
8. 트래픽 관리
- 방화벽은 네트워크 트래픽을 관리하여 대역폭 할당, 트래픽 우선순위 설정, 트래픽 혼잡 제어 등을 수행하여 네트워크 성능을 최적화한다.
방화벽의 종류
1세대 방화벽 - 패킷 필더링 방식 (Packet Filtering)
- L2(데이터링크 계층)에서 L3(네트워크 계층)으로 전달되는 패킷 헤더의 IP주소와 Port 번호를 검색하여 서비스 접근 허용 여부를 파악하는 방식
| 장점 | 단점 |
| - 네트워크 계층, 전송 계층에서 동작 - 처리속도가 빠름 |
- 패킷 내 데이터 파악 힘듦 - 패킷 헤더 조작이 가능 -> 보안상 취약하다 - 사용자 인증 및 로깅 기능 약함 - 패킷 필터링 규칙 검증 힘듦 -> 방화벽 부하 |
2세대 방화벽 - 애플리케이션 게이트웨이 방식 (Application Gateway)
- OSI 7계층 전 구간 동작, 패킷의 헤더안의 Data 영역까지 확인
- 해당 서비스별로 Proxy라는 통신 중계용 데몬 구동 -> 각 서비스 요청에 대해 방화벽이 접근 규칙을 적용하고 연결을 대신하는 역할을 수행
| 장점 | 단점 |
- 외부 네트워크, 내부 네트워크가 프록시 서버를 통해서만 연결이 됨. -> 경계선 방어 및 정보 은닉 가능 - 패킷 필터링 방화벽 보다 높은 보안 설정 가능 - 일회용 패스워트를 통한 강력한 인증 기능 제공 - 세션(Session)에 대한 정보 추적 및 내용 보안 가능 |
- 응용 계층에서 동작, 네트워크에 많은 부하 예상 - 일부 서비스에 투명성 제공이 어려움 - 하드웨어에 의존적 - 새로운 서비스 추가 = 새로운 데몬 추가 - 시그니쳐 기반으로 미리 정의된 애플리케이션만 수용 가능 |
2세대 방화벽 - 서킷 게이트웨이 방식 (Circuit Gateway)
- OSI 7계층 구조에서 5계층(세션) ~ 7계층(응용) 사이에서 동작.
- 서비스별로 Proxy가 존재하는 것이 아닌 공용 가능한 일반적이고 대표적인 Proxy가 존재함.
| 장점 | 단점 |
| - 내부 IP주소 은닉 가능 - 첫 패킷 검사 후 , 다음 패킷부터 전달만 가능 - 일반적인 공용 Proxy 존재 - 수정된 클라이언트 프로그램이 설치된 사용자에게 별도의 인증절차 없이 투명한 서비스 제공가능 |
- 방화벽에 접속하기 위해 서킷 게이트웨이를 인식할 수 있는 수정된 클라이언트 필요 -> 수정된 프로그램 재배포 or 재수정해야함 |
3세대 방화벽 - 상태추적 방식 (Stateful inspection)
- 패킷 필터링과 어플리케이션 방식을 혼합한 것.
- 방화벽의 보안정책(ACL)을 통해서 허용된 패킷은 일정 시간 동안 상태 테이블에 저장 -> 방화벽에서의 상태 테이블의 허용된 내용을 통해 패킷을 필터링
| 장점 | 단점 |
| - 모든 통신채널에 대해 추적 가능 - 높은 필터링 기능 제공 - UDP, RPC 패킷 추적이 가능 - 패킷 내 데이터의 상태 저장이 가능, 지속적으로 갱신됨 |
- 상태목록에 DOS, DDOS 공격으로 인한 거짓정보가 차게되면 장비가 일시적으로 정지하거나 재가동 해야함. - 예기치 않은 상황에서 방화벽 재가동 시 모든 정보를 잃음 -> 정당한 패킷 거부 발생 가능성 |
방화벽의 한계(단점)
1. 성능 저하
- 방화벽은 네트워크 트래픽을 모니터링하고 처리해야 하므로 시스템의 성능에 영향을 준다.
- 복잡한 보안 정책이나 대용량의 트래픽을 처리할 때 성능 저하가 발생할 수 있다.
2. 오용 가능성
- 방화벽이 엄격하게 설정되었거나 잘못된 정책이 적용될 경우 오용 가능성이 있다.
3. 우회하는 트래픽 제어 불가
- 허용된 ip로 우회를 해서 들어오면 제어 불가.
4. 단일 지점 장애
- 방화벽은 단일 장치로 구성되기 때문에 장치 자체에 문제가 발생하면 네트워크 전체에 영향을 미친다.
5. 새로운 형태의 공격 대응의 어려움
새로운 악성 소프트웨어나 공격 기술을 대응하기 어렵다.
6. 악의적인 내부 사용자로부터 시스템 취약
- 내부 사용자로부터 감염이 이루어져 외부로 나가는 형태는 탐지할 수 없다.
IDS (Instrusion Detection System / 침입 탐지시스템)
네트워크나 시스템에서의 비정상적인 행위나 악성활동을 감지하는 보안 도구.
비인가된 사용자의 기밀성, 무결성, 가용성을 저해하는 침입을 탐지함
IDS 구성요소
정보 수집기, 정보 분석기, 로그 저장소, 이벤트 보고기, 패턴 생성기, 패턴 DB
IDS 주요기능
- 모니터링을 통한 실시간 침입탐지 가능
- 세션 차단 기능 : 의심스러운 행위 감지 -> 해당 세션 차단
- 통계적 분석 및 리포팅(Reporting) 기능 -> 새로운 침입 패턴 생성 가능
- 사후 보안 검사 및 보안 대책 지원
IDS 장/단점
| 장점 | 단점 |
| - IPS보다 적극적인 방어가능 - 내부 사용자의 오남용 탐지 및 방어 가능 - 해킹 사고 발생 시 근원지 추적 가능 |
- 대규모 네트워크에 사용하기 힘듦 -> 관리 및 운영 문제 - 새로운 침입기법에 대해 대응 어려움 |
IDS 실행단계
| 단계 | 설명 |
| 데이터 수집 | 네트워크 트래픽, 시스템 이벤트 등 탐지대상의 데이터를 수집 |
| 데이터 가공 및 축약 | 수집된 데이터를 분석할 수 있게 의미 있는 정보로 전환 |
| 침입 분석 및 탐지 | 이상,오용 탐지 기술, 통계적 분석, 패턴 인식 등 분석 및 탐지 |
| 보고 및 대응 | 침입으로 판정 시 보안 관리자에게 보고 하거나 이에 대한 적절한 대응 조치 |
NIDS (Network Intrusion Detection System)
네트워크 침입 탐지 시스템
IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석
- 특징
- 네트워크 전체를 몇개의 감지기를 통해 커버 -> 비용이 저렴함.
- 운영체제에 독립적이다.
- 흘러가는 트래픽을 수집하여 분석 -> 해커가 임의로 지우기 어려움.
- 복호화 기능 x -> 암호화된 트래픽 분석 불가
- 고속 네트워크에선 패킷 손실이 많다.
- 호스트 내부에서 벌어지는 비정상적인 행위에 대해선 감지가 불가능하다.
HIDS (Host Based IDS)
호스트 기반 IDS.
특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지
- 특징
- 복호화된 데이터를 분석가능o, 패킷의 손실이 없음. -> 탐지가 정확함.
- 추가적인 장비가 필요하지 않다. -> 각 pc에 설치되어 있는 백신과 동일
- 운영체제에 종속적이다. ( ex) 리눅스 전용 IDS면 윈도우 서버에선 못 씀.)
- 시스템에 부하가 발생한다.
- 구현이 어렵다.
탐지 방법에 의한 분류
지식(규칙) 기반 침입탐지 (Knowledge Based Detection)
기존에 알려진 침입 패턴 또는 악성 행위에 대한 지식을 기반으로 침입을 탐지하는 방법
오용탐지라고도 불림
| 장점 | 단점 |
| - 오탐(False-Positive)률이 낮음 - 트로이 목마, 백도어 공격 탐지 가능 |
- 지속적인 공격 패턴 갱신이 필요함 - 패넡이 없는 새로운 공격(Zero-Day Attack)에 대해 탐지가 불가능 |
행위 기반 침입탐지 (Anomaly Detection)
네트워크 사용자 또는 시스템의 행동 패턴을 분석하여 침입을 탐지하는 방법
특징적인 패턴을 학습 후, 이상 탐지를 통해 침입으로 판단함
| 장점 | 단점 |
| - 인공지능 알고리즘 사용 -> 스스로 판단하여 패턴 갱신 - Zero-Day Attack도 탐지 가능 ( ※ 예외적인 행동을 탐지 했을 뿐이기 때문에 정확도는 떨어짐 ) - 침입 이외의 시스템 운용사의 문제점도 발견 가능 |
- 오탐(False-Positive)률이 높다. - 정상과 비정상 구분을 위한 임계치 설정이 어렵다. |
IPS (Intrusion Prevention System / 침입 방지 시스템)
네트워크 또는 시스템에 대한 침입을 탐지하고 차단하여 보안을 강화하는 침입 방지 시스템이다.
침입탐지가 목적인 IDS의 기능을 넘어, 침입 탐지 시에 대한 대처까지 수행할 수 있다
- 특징
- 방화벽과 달리 응용프로그램 수준의 공격과 패턴에 대해서 대응 가능
- 제로데이공격도 방어할 수 있다
- 격리, 차단 , 제거 등 강력한 조치를 취한다. -> 오탐 시 업무에 지장을 줄 수 있다.
방화벽 (Firewall) , IDS , IPS 비교
| 구분 | Firewall | IDS | IPS |
| 목적 | 접근 통제 및 인가 | 침입 여부의 감지 | 침입 이전의 방지 |
| 특징 | 수동적 차단 | 로그, 시그니쳐 기반의 패턴 매칭 | 정책, 규칙DB 기반의 비정상 행위 탐지 |
| 장점 | 엄격한 접근 통제 | - 실시간 탐지 - 사후분석 대응 기술 |
- 실시간 즉각대응 - 세선 기반 탐지 가능 |
| 단점 | - 내부자 공격 취약 - 네트워크 병목현상 |
변형된 패턴에 대해 탐지 어려움 | - 오탐 현상 발생 가능 - 장비 고가 |
DDoS (Distributed Denial of Service)
분산 서비스 거부 공격.
악의적인 공격자가 여러 대의 컴퓨터나 기기를 사용하여 대상 시스템에 대량의 트래픽을 동시에 보내 해당 시스템의 서비스를 마비시키는 공격
공격자
- DDoS 공격을 계획하고 실행하는 개체
- 여러 개의 컴퓨터를 사용하여 공격을 분산시키고 대량의 트래픽 생성
- 공격을 자동화함
마스터
- 공격자와 컨트롤하는 중앙 명령 및 제어 서버
- 공격 명령을 받고, 공격에 참여하는 에이전트(좀비PC)에 명령 전달
에이전트
- 공격 대상에 직접 공격을 가하는 시스템
데몬 프로그램
- 에이전트 역할을 실행하는 프로그램
DDoS 공격 예방법
- 로드 밸런싱 : 로드 밸런서를 사용하여 트래픽을 여러 대의 서버로 분산 시킨다
- 지속적인 PC관리 , 백신 최신 업데이트
- CAPTCHA 또는 인증 기능
- 출처가 불분명한 IP는 차단 권장