[디지털포렌식전문가 2급 필기] 3-2-3. 네트워크 보안

침입차단시스템 (Firewall)

- 침입차단시스템은 외부 망에서 내부 망으로 접근하는 주요 입구에 설치되어야 함

- ACL (Access Control List)을 기반으로 패킷 헤더를 검색해 패킷을 선택적으로 허용 또는 거부

- 침입차단시스템은 NAT(Network Address Translation) 기능을 이용하여 내부 사용자의 IP가 외부에 공개되지 않도록 할 수 있음

침입차단시스템의 주요 기능

- 접근 통제 규칙에 의한 접근 제어

- 허가받은 객체만 접근할 수 있도록 통제하는 식별 및 인증

- 보유한 데이터에 대한 불법 변조를 방지하는 무결성 점검

- IP와 포트 정보를 기반으로 방어하는 개념

방화벽의 특성 중 서비스 제어

- 안에서 밖으로 혹은 밖에서 안으로 접근할 수 있는 인터넷 서비스 유형을 결정

- 침입차단시스템은 IP 주소와 TCP 포트 번호를 근거로 트래픽을 필터링하기도 함

- 프록시 소프트웨어를 이용하여 각 서비스 요청을 전달하기에 앞서서 수신하고 해석 가능

침입차단시스템 기술인 패킷 필터링 게이트웨이 (Packet Filtering Gateway)

- 응용 레벨 게이트웨이에 비해 처리 속도가 빠르고, 적용/운용이 쉽다는 점과 사용자에게 투명성을 제공한다는 장점

- 패킷 헤더 조작이 비교적 쉽다는 점과 바이러스에 감염된 메일 전송시 차단이 불가능하다는 점, 그리고 접속 제어 규칙의 개수 및 순서에 따라 부하가 가중된다는 단점

침입차단시스템의 '식별 및 인증' 기능

- 허가 받은 객체만이 접근할 수 있도록 통제하는 기능

침입차단시스템에서 사용되는 패킷 필터링의 특징

- 패킷 필터링은 응용 계층에서의 취약점을 보안할 수 없음

- 패킷 필터는 변수의 개수가 적어 구성의 조그만 실수에도 큰 허점을 초래

- 패킷 필터링은 사용자가 자세히 알 필요 없이 내부적으로 수행하며 비교적 빠른 속도로 처리 가능

패킷 필터링 기능의 보안 효과

- DOS 또는 DDOS

- ICMP 스캔 공격

- 포트 스캔 공격

- 웜 또는 바이러스 프로그램 수행은 효과가 없음

침입차단시스템에서 사용되는 서킷게이트웨이 방식

- 세션 레이어와 어플리케이션 레이어에서 하나의 일반 게이트웨이로 동작

- 내부 IP 주소를 숨기는 것이 가능

- 게이트웨이 사용을 위하여 수정된 클라이언트 모듈이 필요

방화벽 보안 시스템의 적용 방식과 관련 프로토콜

- 회로 레벨 게이트웨이 : 세션 계층

방화벽의 패킷 필터링으로 탐지할 수 없는 공격

- 바이러스 (Virus)

Web Application Firewall

- HTTP 프로토콜을 분석하여 XSS, SQL Injection, 쿠키/세션 위조, 파일 업로드/다운로드 등 침해공격에 대한 탐지 및 차단 기능을 수행하기 적합한 것

 

침입방지시스템 (IPS)

- 침입탐지시스템 (IDS)의 침입 탐지 기능과 방화벽의 침입 차단 기능을 부가한 시스템

- 유입되는 패킷이 방화벽에서 1차로 필터링 된 후에 침입방지시스템 (IPS)를 거치는 것이 효과적

- 3계층부터 7계층까지의 패킷 내용을 문자열 비교에 의하여 침입 시도를 탐지

- 기존의 침입탐지시스템으로는 침입에 대하여 실시간으로 능동적인 대응을 하기 어려웠지만 이것의 등장으로 비교적 빠르고 정확한 대응이 가능해짐

- IDS에 비해 더욱 능동적으로 비정상적인 트래픽 차단 가능

 

침입탐지시스템 (IDS)

- 네트워크나 시스템의 미심쩍은 점을 조사 및 감시하고 필요한 조치를 취하는 시스템

- 특정한 종류의 공격을 해낼 수 있으며 비정상적인 트래픽을 찾아내는 방식까지 다양

- 네트워크를 통한 공격들은 사전에 미리 방어하는 시스템을 의미

- 외부 침입에 대한 차단 기능뿐만 아니라 정보를 수집, 분석하여 침입 행위를 탐지할 수 있음

- 호스트 기반 침입탐지시스템은 시스템의 로그, 계정, 감사 자료 등 시스템 내부에서 생성되는 정보를 분석하여 침입 여부를 탐지

- 탐지된 공격 행위에 대하여 정의된 보안 정책에 따라 실시간으로 침입 대응이 가능

- 일반적으로 특정 패턴을 기반으로 공격을 탐지

- IDS는 탐지 대상 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지

- 알려진 공격법이나 보안 정책을 위반하는 행위에 대한 패턴을 찾는 방법을 오용 탐지라 칭함

- 시스템 사용자의 정상적이거나 예상 범위 밖의 행동을 탐지하는 방법을 비정상적인 행위 탐지(Anomaly Detection)이라 함

침입탐지시스템(IDS)의 주요 기능

- 정보 분석 및 실시간 모니터링 기능

- 공격 패턴의 인식 및 탐지 기능

- 실시간 침입 대응 기능

- 로그 기반의 침입 행위 사후관리 기능

- 데이터 수집

- 책임 추적성과 대응

- 데이터 필터링과 축양

- 탐지된 공격에 대한 통지 기능

IDS의 침입탐지기법 중 오용 탐지(Misuse Detection)

- 이미 발견된 공격 패턴을 시스템에 입력하여 해당 공격 패턴이 다시 발생할 경우 대응하도록 함

- 탐지 오판 확률이 낮은 편

- Knowledge Base라고도 불림

- 탐지 오판 확률이 낮고 비교적 효율적이나 알려진 공격 외에는 탐지할 수 없음

- 방대한 데이터를 분석하는 것에 부적합한 탐지 기법

 

VPN (가상 사설망)

- 공중망 상에서 구축되는 논리적인 전용망

- 전용 회선 비용이 절감됨

- 전송 중인 데이터의 유출, 변조를 방지 가능

- 가상의 터널을 만들어 암호화된 데이터를 전송

- 터널링과 암호화 기법이 사용됨

- 전용선에 비해 구축 비용이 저렴

- 터널링과 보안 프로토콜을 통한 데이터의 기밀 유지 가능

- 기업의 광범위한 인트라넷 및 엑스트라넷 지원 가능

- 공중망을 이용하여 저렴한 비용으로 전용망과 같은 효과

VPN에서 안전한 통신을 위하여 제공하는 IPsec 프로토콜의 특징

- 전송 모드에서는 Payload만 인증 암호화를 수행

- 동적인 키 관리를 통하여 특정 트래픽 유형을 확인하거나 전송을 차단할 수 있음

- 전송 계층보다 아래에 위치

- 사용자 시스템이나 서버 시스템의 소프트웨어를 바꿀 필요가 없음

DNS 서버의 앞단에 방화벽을 설치하고자 할 때 허용하여야 할 때 가장 권장할만한 포트 방식

- 소스포트 : 모든 포트 / 목적지포트 : 53