2과목] 네트워크 보안 - 8) 방화벽, IDS, IPS, 사설망, 터널링 프로토콜, 봇넷

1.방화벽(침입차단 시스템)

 -기능

1)접근 통제

->패킷을 필터링 한다.

2)사용자 인증

->트래픽에 대한 사용자 신분을 증명한다.

3)감사 및 로그

->트래픽의 접속 정보 및 네트워크 사용에 대한 통계를 볼 수 있다.

4)프록시

->클라이언트 사이의 중간자 역할을 한다.

5)보안정책 구현

->보안정책(Rules)을 만들어 적용할 수 있다.

 -방식

1)패킷 필터링 방식

->1세대 방화벽.

->네트워크(3) ~ 전송(4) 계층에서 동작.

->기존 어플리케이션과 연동이 용이.

->하드웨어 의존 X.

->빠름.

->로깅, 인증이 다소 미흡.

2)어플리케이션 게이트웨이 방식

->어플리케이션(7) 계층에서 동작.

->각 서비스마다 프록시 데몬이 존재.

->내부 네트워크 은닉 가능. 

->높은 보안정책 및 바이러스 검사 기능.

->하드웨어 의존적.

3)하이브리드 방식

->패킷 필터링 + 어플리케이션 게이트웨이

->선택적 보안설정 가능

->복잡함.

4)서킷 게이트웨이(Circuit Gateway)

->세션(5) ~ 어플리케이션(7) 계층에서 동작.

->일반 게이트웨이로 모든 서비스 처리.

->IP 은닉 가능.

->수정된 클라이언트 모듈 필요.

5)상태추적 방식(Statefull Inspection)

->패킷필터링과 게이트웨이의 단점 보완.

->빠르고 높은 보안성.

->흐름 통제를 위해, 패킷의 세션 정보를 활용.

 

 -구축 방법

1)베스천호스트(Bastion host)

->외부와 연결점으로 사용되는 호스트.

->방화벽이 설치된다.

->IP포워딩 및 소스 라우팅 기능이 없어야 한다. //이게 뭔지 모름 그냥 외우기.

->로깅 및 관리가 용이.

->2계층 공격에 취약.

2)스크린 라우터

->라우터 기능을 사용한 필터링 방식.

->주소, 제어필드, 포트를 분석하여 필터링.

->고급 보안정책은 구현이 힘듬.

->빠름, 쌈.

3)듀얼 홈 게이트웨이

->두 개의 랜카드를 가진 베스천 호스트 구조.

->하나는 내부, 하나는 외부.

->로깅 및 관리가 용이.

->유지 보수 쉬움.

4)스크린 호스트 게이트 웨이

->스크린 라우터에서 1차 필터링, 베스천호스트에서 2차 점검.

->공격이 어려움.

->가장 많이 사용됨.

->두번 거치기 때문에 속도 지연 발생.

->비용이 많이 듬.

5)스크린 서브넷 게이트웨이

->스크린 서브넷이 DMZ에 놓임 // 스크린 서브넷이 뭔지 안나옴.

->설치 및 관리 힘듬.

->속도 느림.

->비용이 많이 듬.

6)Fail Over 이용한 HA 방화벽.

->방화벽 장애시 문제를 보완한 방화벽의 이중화.

2.침입 탐지 시스템(IDS: Intrusion Detection System)

 -공격에 대한 경고를 관리자에게 알림.

 -기능

1)정보 보호 및 유출 방지.

2)복구 및 중거 수집, 역추적.

3)통계 보고.

4)보안 정책에 대한 검증.

 -분류

>위치

1)호스트 기반 IDS

->각 호스트 내에서 침입탐지.

->추가 하드웨어 불필요, 비용 저렴.

->공격의 성공유무를 확인 가능.

->암호화 세션과 스위치 환경에서도 분석 가능.

->Dos 공격에 취약.

2)네트워크 기반 IDS

->프로미시큐어스 모드로 동작하는 NIC가 내장된 독립된 서버를 활용.

->암호화 세션 분석이 불가능.

->공격의 성공 유무를 확인 불가.

3)하이브리드 IDS

->각 장점을 혼합.

->설치 관리 어려움.

>침입 방법

1)오용탐지(Misuse Dection)

->알려진 공격 기술에 대한 탐지만 가능.

->오판율이 낮음.

2)비 정상행위(Anomaly Based)

->정상적인 행위가 아닌 모든 경우 탐지.

->오판율이 높음.

 -침입 방지 시스템(IPS: Intrusion Prevention System)

->침입 차단 + 침입 탐지의 혼합형.

->방화벽과의 차이점

->검사 영역이 다르다.

3.가상 사설망(VPN: Virtual Private Network)

 -정의

->인터넷 망을 사설망처럼 안전하게 통신할 수 있는 보안 솔루션.

 -특징

->ISP에 POP(Point of Presence)로 연결된다.

->전송되는 데이터에 암호화 및 인증 가능.

->외부에 노출되지 않는다.

->전용회선 비용이 늘어난다.

->확장 어려움.

 -기술

>터널링

->두 종단 사이에 터널 형성.

>키 관리

->키를 이용한 보안.

->ISAKMP, OAKLEY 등

>VPN 관리

->효과적, 안정적

->QoS 보장.

 -터널링 프로토콜

1)PPTP

->2계층

->MS사가 개발.

->PPP 인증 및 GRE 암호화 사용.

->클라이언트는 변하지 않고, 터널 끝점이 자주 변할 때 유용.

->MS 표준화.

2)L2TP

->2계층

->PPTP+L2F(Cisco)의 결합.

->하나의 터널에 여러 세션이 가능.

->IP, IPX, NetBEUL 트래픽 암호화 → IP헤더 캡슐화 → 인터넷 X.25, ATM을 경유하여 전송.

->RFC 2661 표준화.

3)Sock v5

->응용계층에서 필터링 지원

->SSL/TLS 결합 사용 가능.

->Extra VPN에 적합.

->RFC 1928, 1929, 1961 표준화

4)IPSec

->3계층.

->새로운 알고리즘 수용 가능.

->무결성, 기밀성, 재전송방지 등 지원.

->*AH, ESP 이용

->RFC2401-2410 표준화

*AH(Authentication Header)

->암호화 X.

->헤더를 포함하여 인증.

->무결성 보장.

->전송모드와 터널모드가 존재. 

 //자세한 내용은 나중에 문제 나오면..

*ESP(Encapsulation Security Payload)

->데이터그램을 암호화.

->헤더 인증 X.

->IP 데이터그램의 선택적 인증, 무결성, 기밀성, 재전송 방지 기능.

->전송모드와 터널모드가 존재.

//자세한 내용은 나중에 문제 나오면..

4.라우터 보안설정

 -IP주소 필터링

router#access-list 10 permit 192.168.100.100

router#access-list 10 deny any

router#line vty 0 4

router#access-class 10 in

->텔넷으로의 192.168.100.100의 접속을 허용하고, 그 외에는 거부.

router#service tcp-keepalices-in

router#line vty 0 4

router(config-line)#exec-time 5 0

->비정상 연결 종료시 강제 연결 해제.

5.봇넷

 -봇: *크롤러와 같은 대리자 역할의 프로그램.

*크롤러: 웹사이트에 주기적으로 방문하여 검색 엔진의 색인을 위해 콘텐츠를 모아오은 일을 한다.

 -봇넷: 감염된 봇들이 다수가 연결되어 네트워크를 이루는 형태.

 -구조

>중앙 집중형

->봇 관리자가 중앙에 위치하여, 봇들에게 명령을 내리는 구조.

>분산형 구조

->P2P 방식, C&C 서버의 도움 없이 좀비끼리 상호 연결되어 동작.

>서버 클라이언트

->서버: 봇, 봇관리자 클라이언트: 봇.

 

 -동향

>Waledac

->2008, 스팸 메일을 통한 전파.

->RSA, AES 등 다양한 암호화 기법 사용.

->프록시 봇과 워커 봇으로 구성되는 계층적 구조.

>Koobface

->유튜브 영상의 코덱 다운로드 유도로 전파.

->중앙집중형 네트워크.

>Zeus

->러시아 블랙파켓에서 판매.

->봇넷 전파 및 은행에서 정보를 수집하는 기능의 악성코드를 생성.

6.보안 솔루션

 1)ESM(Enterprise Security Management)

->이기종 간의 보안 솔루션을 중앙에서 콘솔 하나로 관리할 수 있음.

but, 단순한 원격관리나 로그분석 정도를 제공.

->여러 보안 장비들의 로그 결과를 모아 보안 관제를 진행.

 2)SIEM(Security Information & event Management)

->로그, 이벤트를 통합 관리.

->외부 위험에 대한 사전 예측.

->내부 정보 유출 방지. 

 2)NAC(Network Access Control)

->네트워크에 접근하는 모든 기기의 보안상태를 점검하여 안전한 기기만 접근시킴.

 3)DLP(Data Loss Prevention)

->내부자에 의한 정보 유출(메신저, 웹 등)을 감시.

->서버 클라이언트 형태.

 4)MDM(Mobile Device Management)

->원격에서 모바일 기기를 관리.

->보안정책 설정도 가능.

6.문제 풀이

 -IDS에서, 정상을 악의적인 것으로 판단하는 것.

->false positive

 -터널링 되는 데이터

->페이로드