1. 침입차단 시스템 (Firewall)
네트워크를 경유해서 내부 시스템으로 진입하는 트래픽을 모니터링하고 접근 통제를 적용하며 시스템에 접근이 허용 가능한 사용자, IP, 포트를 결정
- 인바운드 규칙 : 외부에서 내부로 들어오는 패킷 중 어떤 IP, 프로토콜, 포트 및 프로그램을 차단할 것인지 허용할 것인지 설정
- 아웃바운드 규칙 : 내부에서 외부로 〃
리버스 텔넷(Reverse Telenet) : 내부 망에서 외부 망으로 telenet을 통하여 연결하는 것이 리버스 텔넷
1.침입차단 시스템 구현 방식에 따른 유형
- 패킷 필터링 : 특정 IP, 포트, 프로토콜 차단 및 허용. 유연성↑- 네트워크 계층, 전송 계층
- 애플리케이션 게이트웨이 : 접근 통제, 로그 관리. Proxy Gateway, 보안성↑, 유연성↓ - 응용 계층
- 회선 게이트웨이 : 클라이언트 측에 Proxy를 인식할 수 있는 수정된 프로그램. 관리가 수월
- 상태 기반 패킷 검사 : 세션 추적 가능, 방화벽 표준, 내부 대응이 어려움 - 전 계층
- 심층 패킷 분석(DPI, Deep Packet Inspection) : 패킷이 가진 콘텐츠까지 모두 검사 가능 - 전 계층
2.침입차단 시스템 구축 유형
- 스크리닝 라우터 : 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 permit/drop
- 배스천 호스트 : 내부 네트워크 전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크 연결
- 듀얼 홈드 호스트 : 2개의 NIC(Network Interface Card)로 외부 네트워크와 내부 네트워크 연결, Proxy 기능
- 스크린드 호스트 : 패킷 필터링 라우터(패킷을 통과시킬 것인지)와 배스천 호스트(패킷 인증)로 구성
- 스크린드 서브넷 : 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크 생성 (스크리닝 라우터2 + 배스천 호스트1)
2. 침입탐지 시스템 (Intrusion Detection System)
침입 패턴정보를 DB에 저장하여 시스템의 침입을 실시간으로 모니터링 할 수 있는 보안 시스템
1.침입탐지 방법
- 오용탐지(Misuse) : 미리 정의된 공격패턴과 비교 False Positive ↓ False Negative ↑
- 이상탐지(Anomaly) : 정상적 상태를 기준으로 급격한 변화 시 침입 판단, 알려지지 않은 공격(Zero Day Attack) 대응 가능 False Positive↑
False Positive : 공격이 아닌데도 공격이라 오판
False Negative : 공격이지만 공격이 아니라고 오판
2.침입탐지 시스템 분류
- NIDS (Network based IDS) : 네트워크 패킷 검사, 부가장비(스위치 등) 필요 → Dos, 해킹, 스캐닝
- HIDS (Host based IDS) : 사용자가 시스템에서 행하는 행위 검사, 시스템로그 검사 → 바이러스, 웜, 백도어
3.Snort : 패킷을 스니핑해서 지정한 Rule과 동일한 패킷을 탐지하는 침입탐지 시스템(실기할 때 더 자세하게 공부 ,, )
3. 침입대응 시스템 (Intrucsion Prevention System)
공격 시그니처를 찾아 비정상적인 활동을 감시하고 자동으로 해결 조치하는 보안 솔루션
4. 허니팟 (Honeypot)
- 해커의 행동, 공격 기법 등을 분석하는 데 사용
- Zero Day 공격을 탐지하기 위한 수단
- Padded-cell : IDS에서 탐지 후 Honeypot으로 패킷을 전달하는 것
UTM (Unified Thread Management) : Firewall, IDS, IPS 등의 보안 솔루션을 하나의 하드웨어에 통합한 보안 솔루션5. 가상사설망(VPN, Virtual Private Network)
공중망(인터넷)을 이용하여 사설망(기업 전용 네트워크)과 같은 효과를 얻기 위한 컴퓨터 시스템
- SSL(Secure Socket Layer) : 웹브라우저만 있으면 언제 어디에서나 사용 가능 → 인증, 무결성, 기밀성, 부인방지
- IPSEC(IP Security) : 터널모드(전체 암호화, 새로운 헤더 생성), 전송모드(End-to-End 보안)
- PPTP (Point-to-Point Tunneling Protocol) : IP 네트워크에 전송하기 위한 터널링 기법
- L2TP : PPTP 프로토콜과의 호환성
6. NAC (Network Access Control)
사전에 IP주소, MAC주소를 등록하고 등록되지 않은 단말기 식별하여 차단 (End Point 보안 솔루션)
1. NAC 구성요소
- 정책관리 서버 : 정책등록, 접근 로그 관리
- 차단 서버 : 연결된 단말기 통제, 단밀기 정보 수집 및 분류, 유해 트래픽 감지 및 차단
- 에이전트 : 사용자 단말기에 설치, 무선인증 지원
- 콘솔 : 웹 기반 네트워크 보안정책 설정, 감사, 모니터링
2. NAC 동작방식
- Agent 방식 : 단말기에 NAC 프로그램 설치
- Agentless : 단말기에 NAC 프로그램 설치X
7. ESM (Enterprise Security Management)
기업의 정보보안 정책을 반영하여 다수 보안 시스템을 통합한 통합 보안관제 시스템
1.ESM 주요기능
- 기업 자산 및 자원 관리
- 침입발생 시 탐지 가능
- 각종 보안로그 및 이벤트에 대한 조회, 분석, 대응
- 실시간 보안감사, 상관성 분석
- 분석 보고서 관리
2.ESM 구성요소
- ESM Agent : 각종 보안 솔루션의 로그 수집
- ESM Manager : 로그를 데이터베이스에 저장하고 상관성 분석
- ESM Console : 보안 정보 모니터링하며 침입 발생 시 명령 전달
SIEM vs ESM
SIEM과 ESM은 모두 각종 보안 솔루션으로부터 로그를 수집하고 분석하는 기능
ESM은 수집된 로그 및 분석정보를 데이터베이스에 저장하고 관리, 알려진 패턴에 대해 분석
SIEM은 빅데이터를 사용해서 대용량의 데이터를 분석하여 알려지지 않은 패턴에 대해 분석
8. 무선 LAN 보안 기법
1.SSID (Service Set ID) : AP(Access Point)는 동일한 SSID를 가진 클라이언트만 접속 허용
2.WEP (Wired Equivalent Privacy) : IEEE 80.11b, RC4기반의 스트링 암호화 기법을 사용하여 40bit의 키 사용
3.WPA (Wi-Fi Protected Access) : IEEE 802.1x/EAP, 128bit 동적 암호화
4.WPA2 : IEEE802.11i, WPA+AES
'InfoSec > 정보보안기사' 카테고리의 다른 글
| Window 인증 및 SID (Security ID) (0) | 2024.03.10 |
|---|---|
| 네트워크 보안 02. 네트워크 기반 공격 기술의 이해 및 대응 (1) | 2022.09.19 |
| 네트워크 보안 01. 네트워크 활용(TCP/IP 구조) (2) | 2022.09.19 |
| 리눅스 서버 보안 (0) | 2022.09.03 |
