네트워크 보안 시스템

네트워크 해킹은 대부분 프로토콜의 취약점을 이용하기 때문에 근본적으로 막기 어렵다

방화벽

• 보안을 높이기 위한 가장 기본적인 보안 솔루션
• 내부 네트워크로 들어오거나 나가는 패킷에 대해서 방화벽이 정해진 룰이나 규칙에 따라 차단하거나 보내주도록 필터링하는 역할을 함

주요 기능

• 접근제어 : 관리자가 명시한 접근 정책 도는 규칙에 따라서 접근 허용 구현 방법에 따라 패킷 필터링 방식과 프록시 방식으로 구분
• 로깅과 감사추적 : 허가나 거부된 접근에 대한 기록을 유지

그 외의 추가적인 기능도 존재한다. 

인증

• 메시지 인증 :메시지의 신뢰성 및 무결성 인증
• 사용자 인증: 패스워드를 통한 단순한 인증 (OTP), 토큰 기반 인증 (Token base)
• 클라이언트 인증 : 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트 자체를 정당한 접속 호스트인지 확인

데이터의 암호화

• 방화벽에서 다른 방화벽으로 전송되는 데이터를 암호화
• VPN과 함께 사용

 

종류

• 네트워크 프로토콜 계층들의 특정 계층으로 전해지는 데이터 검사
• 패킷 필터 : 네트워크 계층에 위치하는 방화벽 - 3계층 데이터 (IP 주소로만 확인)
• 상태성 패킷 필터 : 전송 계층에 위치하는 방화벽 - 4계층 데이터 (포트 번호 확인 - 응용 서비스와 연결 / TCP 등 검사)
• 응용 프록시 : 응용 계층에서 동작하는 방화벽 - 5계층 데이터 (바이러스 등 데이터의 컨텐츠 확인)
  * 응용 프록시는 네트워크 계층이 아닌 응용 서비스 별 방화벽이다.
• 개인 방화벽 : 개인 사용자, 홈 네트워크 등 개인 호스트 단위로 사용함

* 응용 프록시와 개인 방화벽은 호스트레벨의 방화벽이다.

---

패킷 필터

• 네트워크 계층에서 동작
• 출발지 IP 주소 / 목적지 IP 주소 / 출발지 포트 / 목적지 포트 / 플래그 비트 확인
• 주소 정보로써만 검사함
• 관리자는 방화벽에 통과시킬 접근과 그렇지 않는 접근을 명시 > 룰셋

장점 

- 헤더 정보만 검사

- 전체적인 연산이 매우 효율적

 

단점 

- 패킷의 상태에 대한 정보처리 불가 : 모든 패킷을 독립적으로 처리하므로 이전 패킷과의 연관성 등을 고려할 수 없음

- TCP 연결을 볼 수 없음 : Teardrop, boink, bonk 등 시퀀스 넘버에대한 방어가 되지 않음

- 응용 데이터 인지 불가 (바이러스)

 

 

룰셋 (Rule Set) 정의

 

방화벽을 기준으로 보호하고자 하는 네트워크의 외부와 내부에 존재하는 시스템들의 IP와 포트 단위로 구성

차단리스트를 만드는 경우 : 차단 리스트를 굉장히 상세하게 만들어야함

허용리스트를 만드는 경우 : 기본적으로 모든 패킷을 거부하지만, 허용하는 것이 있음.

모두 다 차단하고, allow만 접근 가능하도록 함

해당 예시를 보면, 

1. 특정 ip의 웹서버 (80번 포트)로 오는 것을 허용하겠다는 뜻

2. 명백히 허용하지 않는 서비스에 대한 거부를 적용한 것으로, 명시적으로 허용하지 않은것은 전부 차단한다.

 

---

 

상태성 패킷 필터

• 패킷 필터에 상태를 추가
• TCP 연결 상태 저장
• 전송계층에서 동작 : TCP 연결과 플래그 비트를 기억
• UDP 패킷도 기억 : DNS 스푸핑 등을 막을 수 있음 

장점

- 패킷 필터가 할 수 있는 것을 할 수 있음

- 진행중인 연결 궤적을 추적 가능

 

단점 

- 응용 계층 데이터를 보지 못함

- 패킷 필터보다 느림

 

---

응용 프록시

프록시 : 당신 대신 동작하는 어떤 것

• 진입하는 응용 데이터를 관찰하여 안전성 검증
• 주요 네트워크 서비스 (SMTP, FTP, HTTP 등) 별로 프록시 운영

장점

- 연결과 응용 계층 데이터를 완전하게 볼 수 있음

- 응용 계층에서의 불량한 데이터를 필터링 (바이러스, 메크로)

 

단점 

- 속도 저하

- HTTP, FTP 등 응용 서비스 별로 프록시가 개별적으로 존재

 

---

침입 탐지 시스템

방화벽에서는 허용 했으나, 추가적인 공격 여부에 대한 판단을 할 수 있는 시스템

• 방화벽보다 상세한 공격 탐지 : 공격자가 공격할 수 있는 수많은 요소들에 대한 공격 탐지 
      ex) HTTP GET 메시지에 CMD.EXE 포함 검사 등
• 공격 여부에 대한 판단
• 공격이라고 판단되면 1차적 대응 : 관리자에게 알림 / 패킷 차단 등
• 외부 뿐만이 아니라 내부 공격자의 공격 여부 탐지

주요 기능

• 데이터 수집
• 데이터 필터링과 축약
• 침입 탐지
• 책임 추적성과 대응

---

데이터의 수집

설치 위치와 목적에 따라 두 가지로 구분한다.

1. 호스트 기반의 침입탐지 시스템 (HIDS) : Host-based Intrusion Detection System
2. 네트워크 기반의 침입탐지 시스템 (NIDS) : Network-Based Intrusion Detection System

HIDS

• 윈도우나 유닉스 등의 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치 
• 운영체제에 설정된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고 어떤 작업을 했는지에 대한 기록을 남기고 추적
• 네트워크에 대한 침입 탐지는 불가능
• 스스로 공격 대상이 될 때만 침입 탐지 가능

NIDS

• 네트워크에서 하나의 독립된 시스템으로 운용
• 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않음
• 네트워크 저반에 대한 감시 수행 가능
• 감시 영역이 상대적으로 매우 큼

데이터 수집이 너무 많아지면, 그것으로부터 유의미한 정보를 얻기가 힘들어짐 

---

 

데이터의 필터링과 축약

• HIDS와 NIDS를 통해 수집된 로그 검사 및 유효성 확인 : 보안 감사 
• 매우 방대한 데이터는 효과적인 대응을 저지
• 데이터의 효과적인 필터링과 축약이 필요 : 데이터 수집에 관한 규칙 설정 필요
• 공격의지를 가졌다고 생각되는 숫자만큼을 Clipping Level 로 설정

ex) 특정 Clipping Level 만큼의 비밀번호를 틀리는 경우 / 5회 이상 비밀번호를 틀리면 공격 시도일 확률이 높음

---

 

침입 탐지

오용 탐지 (Misuse Detection) 기법

• 이미 발견되고 정립된 공격 패턴을 미리 입력
• 입력된 패턴에 해당하는 패턴을 탐지
• 탐지 오판률이 낮고 비교적 효율적
• 알려진 공격 외에는 탐지 불가
• 대량의 데이터를 분석하는데 부적함
• 공격을 어떤 순서로 실시했는지에 대한 정보 획득이 어려움

이상 탐지 (Anomaly Detection) 기법

• 정상적이고 평균적인 상태를 기준
• 정상에서 벗어나면 전부 공격으로 취급함
• 공격에 대한 탐지 오판률이 매우 높음
• 알려지지 않은 공격에 대해서도 탐지할 수 있음
• 궁극적으로 나아가야할 방식 (새로운 공격에 대해서도 막을 수 있어야함)

이상 탐지 기법

• 정량적인 분석, 통계적인 분석, 비특성 통계 분석 등
• 인공지능과 면역 시스템 : 인공지능 침입 탐지 시스템은 공격에 대해 스스로 판단을 하고 이에 대한 결정

 

---

책임 추적성과 대응

공격을 발견 후, 관리자에게 알람이나 기타 방법으로 알림

능동적인 대응을 하는 시스템은 침입차단 시스템

 

주요 대응책

• 공격자로 확인된 연결에 TCP reset 패킷을 보내어 연결 종료
• 공격자의 IP 주소나 사이트 확인 후, 라우터나 방화벽을 통해 차단
• 공격 포트를 확인하여 라우터와 방화벽 설정 변경 > 포트 막음

침입 탐지 시스템의 위치

침입 탐지 시스템의 위치

라우터를 기준으로 외부 / 내부가 나뉘어져 있음

 

[ DMZ 서버 네트워크 ]

내부에 있음에도 불구하고 내부랑도 소통하고, 외부랑도 소통한다

내부 외부로부터 모두 패킷을 송수신하므로 방화벽이 필요하다 

 

* 해당 번호가 붙어있는 곳에 침입 탐지 시스템을 두면 가장 좋지만, 많을 수록 비용이 늘어난다. 

 

1. 외부에 침입탐지 시스템이 존재함
   내부 네트워크로 들어오는 패킷 검사 + 외부 패킷들을 검사 
   사전에 외부에서 공격 위험이 있는 패킷들을 전부 검사하고 사전에 차단할 수 있음 ex) 금융권
   단점 : 내 쪽으로 들어오는 패킷이 아닌 상관 없는 패킷들에 대한 검사도 있기에 부담이 크다
2. 라우터와 방화벽 사이에 존재함 
   공격 여부를 판단한 뒤 패킷 필터를 통과시킴
3. 방화벽을 통과한 곳에 침입탐지 시스템이 존재함
   방화벽을 1차로 통과한 것, 걸러낸 것에 대해서만 공격 여부를 탐지한다. 
   2번 보다 분석의 정확도를 높일 수 있다
4. 내부 네트워크에 존재함
   만약 내부 네트워크에서 공격을 하면, 탐지할 수 있음
5. DMZ 서버 네트워크에 존재함
   내부 외부에서 빈번하게 공격받기 쉬운 네트워크임으로 보안을 강화하는 것이 좋다

---

침입차단 시스템

침입 탐지 시스템 + 방화벽 (차단)의 조합

• 침입탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사하여 그 패턴을 분석
• 비정상적인 패킷에 대해 방화벽 기능을 가진 모듈로 차단 : 새로운 공격에 대한 실시간 대응
• 일반적으로 방화변 다음에 설치
  방화벽이 네트워크의 앞 부부넹서 침입 차단 시스템이 더 효율적으로 패킷을 검