네트워크 보안 03. 네트워크 대응 기술 및 응용

1. 침입차단 시스템 (Firewall)

네트워크를 경유해서 내부 시스템으로 진입하는 트래픽을 모니터링하고 접근 통제를 적용하며 시스템에 접근이 허용 가능한 사용자, IP, 포트를 결정

• 인바운드 규칙 : 외부에서 내부로 들어오는 패킷 중 어떤 IP, 프로토콜, 포트 및 프로그램을 차단할 것인지 허용할 것인지 설정
• 아웃바운드 규칙 : 내부에서 외부로 〃

리버스 텔넷(Reverse Telenet) : 내부 망에서 외부 망으로 telenet을 통하여 연결하는 것이 리버스 텔넷

1.침입차단 시스템 구현 방식에 따른 유형

• 패킷 필터링 : 특정 IP, 포트, 프로토콜 차단 및 허용. 유연성↑- 네트워크 계층, 전송 계층
• 애플리케이션 게이트웨이 : 접근 통제, 로그 관리. Proxy Gateway, 보안성↑, 유연성↓ - 응용 계층
• 회선 게이트웨이 : 클라이언트 측에 Proxy를 인식할 수 있는 수정된 프로그램. 관리가 수월
• 상태 기반 패킷 검사 : 세션 추적 가능, 방화벽 표준, 내부 대응이 어려움 - 전 계층
• 심층 패킷 분석(DPI, Deep Packet Inspection) : 패킷이 가진 콘텐츠까지 모두 검사 가능 - 전 계층

2.침입차단 시스템 구축 유형

• 스크리닝 라우터 : 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 permit/drop
• 배스천 호스트 : 내부 네트워크 전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크 연결
• 듀얼 홈드 호스트 : 2개의 NIC(Network Interface Card)로 외부 네트워크와 내부 네트워크 연결, Proxy 기능
• 스크린드 호스트 : 패킷 필터링 라우터(패킷을 통과시킬 것인지)와 배스천 호스트(패킷 인증)로 구성
• 스크린드 서브넷 : 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크 생성                                                                         (스크리닝 라우터2 + 배스천 호스트1)

---

2. 침입탐지 시스템 (Intrusion Detection System)

침입 패턴정보를 DB에 저장하여 시스템의 침입을 실시간으로 모니터링 할 수 있는 보안 시스템

 

1.침입탐지 방법

• 오용탐지(Misuse) : 미리 정의된 공격패턴과 비교     False Positive ↓ False Negative ↑ 
• 이상탐지(Anomaly) : 정상적 상태를 기준으로 급격한 변화 시 침입 판단, 알려지지 않은 공격(Zero Day Attack) 대응 가능     False Positive↑ 

False Positive : 공격이 아닌데도 공격이라 오판
False Negative : 공격이지만 공격이 아니라고 오판

2.침입탐지 시스템 분류

• NIDS (Network based IDS) : 네트워크 패킷 검사, 부가장비(스위치 등) 필요 → Dos, 해킹, 스캐닝
• HIDS (Host based IDS) : 사용자가 시스템에서 행하는 행위 검사, 시스템로그 검사 → 바이러스, 웜, 백도어

3.Snort : 패킷을 스니핑해서 지정한 Rule과 동일한 패킷을 탐지하는 침입탐지 시스템
(실기할 때 더 자세하게 공부 ,, )

 

---

3. 침입대응 시스템 (Intrucsion Prevention System)

공격 시그니처를 찾아 비정상적인 활동을 감시하고 자동으로 해결 조치하는 보안 솔루션

---

4. 허니팟 (Honeypot)

• 해커의 행동, 공격 기법 등을 분석하는 데 사용
• Zero Day 공격을 탐지하기 위한 수단
• Padded-cell : IDS에서 탐지 후 Honeypot으로 패킷을 전달하는 것

UTM (Unified Thread Management) : Firewall, IDS, IPS 등의 보안 솔루션을 하나의 하드웨어에 통합한 보안 솔루션

---

5. 가상사설망(VPN, Virtual Private Network)

공중망(인터넷)을 이용하여 사설망(기업 전용 네트워크)과 같은 효과를 얻기 위한 컴퓨터 시스템

1. SSL(Secure Socket Layer) : 웹브라우저만 있으면 언제 어디에서나 사용 가능 → 인증, 무결성, 기밀성, 부인방지
2. IPSEC(IP Security) : 터널모드(전체 암호화, 새로운 헤더 생성), 전송모드(End-to-End 보안)
3. PPTP (Point-to-Point Tunneling Protocol) : IP 네트워크에 전송하기 위한 터널링 기법
4. L2TP : PPTP 프로토콜과의 호환성

---

6. NAC (Network Access Control)

사전에 IP주소, MAC주소를 등록하고 등록되지 않은 단말기 식별하여 차단 (End Point 보안 솔루션)

 

1. NAC 구성요소

• 정책관리 서버 : 정책등록, 접근 로그 관리
• 차단 서버 : 연결된 단말기 통제, 단밀기 정보 수집 및 분류, 유해 트래픽 감지 및 차단
• 에이전트 : 사용자 단말기에 설치, 무선인증 지원
• 콘솔 : 웹 기반 네트워크 보안정책 설정, 감사, 모니터링

2. NAC 동작방식

• Agent 방식 : 단말기에 NAC 프로그램 설치
• Agentless : 단말기에 NAC 프로그램 설치X

---

7. ESM (Enterprise Security Management)

기업의 정보보안 정책을 반영하여 다수 보안 시스템을 통합한 통합 보안관제 시스템

1.ESM 주요기능

• 기업 자산 및 자원 관리
• 침입발생 시 탐지 가능
• 각종 보안로그 및 이벤트에 대한 조회, 분석, 대응
• 실시간 보안감사, 상관성 분석
• 분석 보고서 관리

2.ESM 구성요소

• ESM Agent : 각종 보안 솔루션의 로그 수집
• ESM Manager : 로그를 데이터베이스에 저장하고 상관성 분석
• ESM Console : 보안 정보 모니터링하며 침입 발생 시 명령 전달

SIEM vs ESM

SIEM과 ESM은 모두 각종 보안 솔루션으로부터 로그를 수집하고 분석하는 기능
ESM은 수집된 로그 및 분석정보를 데이터베이스에 저장하고 관리, 알려진 패턴에 대해 분석
SIEM은 빅데이터를 사용해서 대용량의 데이터를 분석하여 알려지지 않은 패턴에 대해 분석

---

8. 무선 LAN 보안 기법

1.SSID (Service Set ID) : AP(Access Point)는 동일한 SSID를 가진 클라이언트만 접속 허용
2.WEP (Wired Equivalent Privacy) : IEEE 80.11b, RC4기반의 스트링 암호화 기법을 사용하여 40bit의 키 사용
3.WPA (Wi-Fi Protected Access) : IEEE 802.1x/EAP, 128bit 동적 암호화
4.WPA2 : IEEE802.11i, WPA+AES