[컴퓨터 보안] 보안 시스템
개요
-
사이버 공격을 탐지하거나 방지하기 위한 시스템
-
분류
- 침입차단 시스템(Firewall)
- 침입탐지 시스템(IDS)
- 침입방지 시스템(IPS)
- 가상사설망(VPN)
- 네트워크 접근제어(NAC) 시스템 등
- 침입차단 시스템(Firewall)
침입차단 시스템 (방화벽)
- 내부 네트워크의 컴퓨터를 외부로부터 보호하기 위한 보안정책과 이를 수행하는 하드웨어 및 소프트웨어 등
- 외부 네트워크에서 공격자나 인증되지 않은 사용자, 혹은 유해한 정보가 내부 네트워크로 진입하지 못하도록 차단해 주는 보호정책과 보호장치
기능
- 외부 네트워크와 내부 네트워크 중간지점에 위치
- 두 네트워크 사이를 오가는 트래픽의 종류와 양을 제어
- 접근 허용 : 정상적인 사용자
- 접근 차단 : 불법적이고 인증되지 않은 사용
구성방식
- 패킷 필터링
- OSI 7계층 중 3(네트워크) 계층과 4(트랜스포트) 계층의 패킷을 필터링하여 내부 네트워크 보안을 설정
-
패킷 필터링 라우터에 의해 TCP 포트와 IP 주소 패킷 중 전부 또는 일부를 필터링
- 장점
- 네트워크 제어에 대한 반응속도가 매우 빠름
- 사용자에게 투명한 서비스 제공
- 기존 프로그램과의 연동에 유연성 있음
- 네트워크 제어에 대한 반응속도가 매우 빠름
- 단점
- TCP/IP 헤더는 조작이 쉬워 보안성이 약함
- 로그인과 인증방식이 강력하지 않음
- 트래픽의 접속제어 방식과 접속량에 따라 성능에 큰 영향
- TCP/IP 헤더는 조작이 쉬워 보안성이 약함
- OSI 7계층 중 3(네트워크) 계층과 4(트랜스포트) 계층의 패킷을 필터링하여 내부 네트워크 보안을 설정
- 서킷 게이트웨이
- OSI 7계층 중(세션) 계층에서 7(애플리케이션) 계층까지 기능을 수행
- 외부 네트워크에서 내부 네트워크에 접속하려면 서킷 프락시(proxy) 프로그램이 설치되어 있어야 통신회선이 형성되어 정보전달이 가능
- 초기의 방화벽 방식으로, 현재는 보안기능이 복잡해지면서 거의 사용되지 않음
- OSI 7계층 중(세션) 계층에서 7(애플리케이션) 계층까지 기능을 수행
- 애플리케이션 게이트웨이
- OSI 7계층 중 7(애플리케이션) 계층에서 방화벽 기능 수행
- 서비스 요청 및 요구된 데이터는 애플리케이션 게이트웨이를 통해서만 전달
- 로그인 정보가 애플리케이션 게이트웨이에 기록 및 제어 됨
- 프락시 게이트웨이(proxy gateway). 각 서비스별로 프락시 서버가 존재할 수 있음
- IP 주소 및 TCP 포트를 이용하여 네트워크 보안 설정
-
사용자 인증과 서비스별로 프락시 서버가 트래픽의 보안검사 실시
- 장점
- 외부와 내부 네트워크가 프락시 서버를 통해서만 연결되므로 패킷 필터링 방식보다 보안설정이 우수
- 강력한 로그인과 감시기능을 가짐
- 외부와 내부 네트워크가 프락시 서버를 통해서만 연결되므로 패킷 필터링 방식보다 보안설정이 우수
- 단점
- 애플리케이션 계층에서 처리하므로 속도가 떨어짐
- 일부 서비스의 투명도가 떨어짐
- 프락시 사용으로 새로운 서비스에 대한 유연성이 부족
- 애플리케이션 계층에서 처리하므로 속도가 떨어짐
- OSI 7계층 중 7(애플리케이션) 계층에서 방화벽 기능 수행
- 하이브리드 방식
- 패킷 필터링과 애플리케이션 게이트웨이를 혼합한 방식
- 두 가지 방화벽 유형의 기능을 복합적으로 구성
-
사용자의 편의성과 보안성을 충족시킬 수 있도록 원하는 서비스에 따라 선택적으로 보안정책을 구축 및 관리
- 장점
- 빠른 반응속도, 보안설정 수준이 높고 변경 용이
- 빠른 반응속도, 보안설정 수준이 높고 변경 용이
- 단점
- 관리가 어렵고 복잡
- 관리가 어렵고 복잡
- 패킷 필터링과 애플리케이션 게이트웨이를 혼합한 방식
방화벽의 구축 형태
- 스크리닝 라우터
- 외부 네트워크로 나가는 패킷을 허용하거나 거부할 수 있고 내부 네트워크로 들어오는 패킷을 통과시키거나 거부할 수 있는 네트워크 장비
- IP 주소(출발지 및 목적지)에 의한 필터링 TCP 포트 번호에 의한 필터링 등 수행
- 외부 네트워크로 나가는 패킷을 허용하거나 거부할 수 있고 내부 네트워크로 들어오는 패킷을 통과시키거나 거부할 수 있는 네트워크 장비
- 배스천 호스트
- 외부 네트워크와 내부 네트워크를 연결해 주는 통로가 되는 방화벽 호스트
- 접근제어 및 애플리케이션 게이트웨이로서 프락시 서버의 설치, 인증, 로그 등을 담당
- 외부 네트워크와 내부 네트워크를 연결해 주는 통로가 되는 방화벽 호스트
- 듀얼홈 호스트
- 외부 네트워크와 내부 네트워크가 별도로 존재하는 두 네트워크 간의 유일한 통로를 구축하여 두 인터페이스에 필터링을 실시
- 외부와 내부 네트워크가 물리적으로 분리
- 방화벽 초기의 형태
- 외부 네트워크와 내부 네트워크가 별도로 존재하는 두 네트워크 간의 유일한 통로를 구축하여 두 인터페이스에 필터링을 실시
- 스크린 호스트 게이트웨이
- 스크리닝 라우터와 베스천 혹은 듀얼홈 호스트가 결합
- 외부에서 내부 네트워크로 들어오는 정보
- 1차 : 패킷 플터링
- 2차 : 프락시 서버로 사용자 인증 및 서비스 인증
- 1차 : 패킷 플터링
- 장정
- 트래픽을 2단계로 방어하여 안정성, 보안성 우수
- 많이 사용되는 방화벽 시스템으로 융통성 우수
- 트래픽을 2단계로 방어하여 안정성, 보안성 우수
- 단점
- 구축비용이 많이 듦
- 라우팅 테이블이 변경되면 방어할 수 없음
- 구축비용이 많이 듦
- 스크리닝 라우터와 베스천 혹은 듀얼홈 호스트가 결합
- 스크린 서브넷 게이트웨이
- 두 개의 스크리닝 라우터와 베스천 호스트를 이용하여 중립적 네트워크를 외부와 내부 네트워크 사이에 구축
- 웹 서버 등 기관에서 외부로 공개할 정보 서버를 DMZ에서 운영
- 두 개의 스크리닝 라우터와 베스천 호스트를 이용하여 중립적 네트워크를 외부와 내부 네트워크 사이에 구축
방화벽 구축의 유의 사항
-
내부 사용자들이 요구하는 보안과 서비스를 적절히 구성
- 방화벽 형태에 따른 보안 능력 결정
- 네트워크, 애플리케이션, 하이브리드
- 네트워크, 애플리케이션, 하이브리드
- 구축비용
- 네트워크 비용, 사용 목적 고려
- 네트워크 비용, 사용 목적 고려
- 방화벽의 서비스
- 인터페이스의 안정성이나 편리성 등
- 인터페이스의 안정성이나 편리성 등
- 방화벽의 운용
- 내부 사용자에게 투명성 있는 서비스 제공, 운영자에게 편리
- 내부 사용자에게 투명성 있는 서비스 제공, 운영자에게 편리
- 방화벽의 사양
- 최신 기술 동향을 반영
- 최신 기술 동향을 반영
방화벽의 취약점
- 터널링 공격
- 차단되어야 할 패킷이 다른 네트워크 프로토콜에 의해 캡슐화되어 공격에 사용될 때는 방화벽이 이를 차단할 수 없음
- 차단되어야 할 패킷이 다른 네트워크 프로토콜에 의해 캡슐화되어 공격에 사용될 때는 방화벽이 이를 차단할 수 없음
- 응용 기반 공격
- 응용개체 간의 직접적인 통신방식으로 패킷을 전송하는 경우, 응용 모듈에 포함된 취약성에 의해 발생될 수 있는 공격은 방화벽이 차단할 수 없음
- 예 : 80포트는 모두 통과되도록 설정된 경우 버퍼 오버플로가 발생할 수 있는 HTTP 명령어를 웹 응용 모듈에 전송
- 응용개체 간의 직접적인 통신방식으로 패킷을 전송하는 경우, 응용 모듈에 포함된 취약성에 의해 발생될 수 있는 공격은 방화벽이 차단할 수 없음