2009년 11월 19일

통신과 네트워크(8)

【 방화벽과 IDS 】
1. 방화벽의 종류
    о 정의
        - 방화벽은 인증되지 않은 외부 사용자로부터 내부 네트워크의 접근을 막아 정보 유출을 막고 외부 네트워크와 안정한 정보 
            전달을 수행하는 시스템으로, 허가되지 않은 외부 사용자가 내부 네트워크 정보에 불법적으로 접근하는 것을 방지하는 
            기능을 수행

    о 패킷 필터링 방식
        - 패킷 필터링 방식의 방화벽은 OSI 모델에서 네트워크 계층(IP 프로토콜)과 전송 계층(TCP 프로토콜)에서 작동하며, 미리 
            정해진 규칙에 따라 패킷의 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어함
        - 장점
            √ 다른 방식에 비해 처리 속도가 우수하며, 사용자에게는 투명성을 제공할 수 있음. 기존에 사용하고 있는 서비스와 새로
                운 서비스에 대해서 간단한 정책 수립에 따라 빠르게 연동할 수 있는 유연성을 제공함
            √ 유연성이 높으며, TCP/UDP 및 ICMP 와 같은 프로토콜 패킷의 통제가 가능하고 IP Spoofing, TCP SYN Flooding 
                공격 등을 차단할 수 있으며 구축비용이 적게 듬.
        - 단점
            √ TCP/IP 헤더를 조작한 패킷에 대한 방어가 불가능함
            √ 네트워크로 출입하는 트래픽에 대한 분석이 불가능하여 강력한 로그를 기록할 수 없고 간단한 공격에 대한 정책 수립이
                간편한 대신 모든 형태의 공격을 막기 위한 정책 수립에는 불편하고 복잡함
            √ 방화벽 통과가 승인되면 내부 네트워크에 대한 접근이 자유롭고 사용자에 대한 인증이 불가능함
            √ 네트워크 호스트의 수가 많으면 많을 수록 복잡해지고 성능이 저하됨

    о 응용 게이트웨이 방식(Application Gateway)
        - OSI 7 계층 네트워크 모델의 어플리케이션 계층에 방화벽 기능

        - 장점
            √ 내부망과 외부망이 프록시를 통해서만 연결되므로 직접적인 TCP 세션이 발생하지 않아서 내부망의 주소를 숨길 수 
                있음
            √ 강력한 로그 기능과 감사(Audit)기능을 제공함
        - 단점
            √ 최상위 계층에서 처리되기 때문에 처리 속도가 느림
            √ 고속의 장비가 요구됨
            √ 새로운 서비스에 대한 프록시 데몬의 빠른 대처가 불가능함
            √ 유연성이 부족함
            √ 사용자에게 투명한 네트워크 서비스를 제공할 수 없음

    о 서킷 게이트웨이 (Circuit Gateway)
        - OSI 모델의 5계층에서 7계층 사이에 존재하며 어플리케이션 게이트웨이와는 일반적인 프락시가 존재
        - 수정된 클라이언트 프로그램이 필요하며 비표준 포트로 우회 접근해오는 접근에 대해서는 방어하지 못함

    о 상태 정밀 검사(Stateful Inspection)
        - 네트워크 트래픽과 관련된 모든 통신 채널을 상태목록에 유지 시킨 후 누가, 언제, 어느 때 사용하였는지 또는 거부 당했는
            지를 또는 어떤 경로를 통하여 외부에 접속하였으며, 돌아왔는지에 대해 분석하고 패킷의 수락 여부를 결정
        - 특징
            √ 모든 통신채널을 추적하고 상태목록(State Table)을 유지함
            √ 프레임별로 모든 통신 레이어에서 분석
            √ 높은 수준의 보안을 제공하고 프록시 F/W이 제공하는 성능감소를 소개하지 않음
            √ 확장성이 뛰어나고 사용자에게 투명성을 제공함
            √ UDP와 RPC와 같은 비 연결 프록시를 추적하는 데이터를 제공함
            √ 패킷내의 데이터의 상태와 정황이 저장되고 지속적으로 갱신됨
            √ 제 3세대 F/W
        - 장점
            √ 모든 통신 채널에 대해 추적 가능
            √ 한 차원 높은 패킷 필터링 기능을 제공
            √ 응용 프로그램 방화벽과 같은 성능감소를 발생하지 않음
            √ UDP와 RPC 패킷 추적이 가능
            √ 패킷내의 데이터 상태와 정황이 저장되고 지속적으로 갱신됨
        - 단점
            √ 상태목록에 DoS나 DDoS 공격으로 인해 거짓정보가 가득 찰 때 장비가 일시적으로 정지하거나 재 가동 해야 함
            √ 어떠한 이유로 F/W을 재 구동 시 현재 연결에 대한 모든 정보를 잃어 버리게 되고 정당한 패킷에 대해 거부가 발행할
                 수 있음

[서로 다른 종류의 파이어월의 차이점]


2. 방화벽의 구축형태
    о 스크리닝 라우터 구조(Screening Router)
        - 필터링 속도가 빠르지만, 패킷 내의 데이터에 대한 분석을 할 수 는 없음.
    о 베스천 호스트 구조
        - Bastion Host는 접근 제어와 인증 및 로그 기능을 제공하는데, 응용 서비스 종류에 보다 종속적이기 때문에 스크리닝 라우
            터보다 안전하며, 각종 기록(Logging) 정보를 생성 및 관리를 할 수 있음

    о 듀얼 홈드 호스트 구조(Dual-Homed Host)
        - 2개의 네트워크 인터페이스를 가진 베스천 호스트(Bastion Host)로서 하나의 NIC은 내부 네트워크와 연결하고 다른 NIC
            은 외부 네트워크와 연결하여 구성
    о 스크린드 호스트 구조
        - 패킷 필터링(Packet Filtering) 또는 스크리닝 라우터(Screening Router)의 한 포트는 외부망에 연결되어 있고 다른 
            포트는 내부망에 연결되어 있음. 또한 내부망에 베스천 호스트(Bastion Host)가 연결된 구조임
        - 네트워크 계층과 응용 계층에서 방어하기 때문에 보안성이 뛰어나며, 융통성이 뛰어나 가장 많이 이용되는 방화벽 구조
        - 비용이 많이 든다는 단점이 있음

    о 스크린드 서브넷 구조
        - 스크린드 호스트(Screened Host) 방식의 보안상 문제점을 보완하기 위해서 외부 네트워크와 내부 네트워크 사이에 하나
            이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로부터 분리하기 위한 구조
        - 2개의 스크리닝 라우터와 1개의 베스천 호스트
        - 스크린드 서브넷 구조는 보안성이 가장 뛰어남
        - 다른 구조에 비해 설치와 관리가 어렵고 서비스 속도가 느리다는 단점이 있음
    о 방화벽의 한계
        - 방화벽을 통과하지 않는 트래픽에 대해서는 전혀 대응할 수 없음(공중전화망)
        - 허용되어있거나 내부자에 의해 무단으로 터미널 서버가 설정된 경우 취약 허용된 서비스에 대해서 허용된 패킷 안의 데이터
            를 변조하여 공격에 취약

    о 방화벽 종류별 특징 비교

3. 침입탐지 시스템(Intrusion Detection Systems;IDS)
    о 위치에 따른 분류
        - 네트워크 기반 침입 탐지 시스템(N-IDS)
            √ 네트워크 트래픽을 감시하며 가능성 있는 공격이나 의심스러운 활동들을 적발함. 이것은 대개 이례 탐지
                (Anomaly Detection)나 패턴 탐지(Pattern Detection)를 통해 실행됨.
        - 호스트 기반 침입 탐지 시스템(H-IDS)
            √ 개별 워크스테이션이나 서버에 설치되어 부적절하거나 변칙적인 활동 및 내부 공격을 감시할 수 있음. 대개 사용자들이
                실수로 시스템 파일을 삭제하거나 시스템을 위험에 빠트리지 않도록 하기 위해 사용됨.

    о 탐지 형태 비교
        - 지식 기반(서명 기반 : Knowledge or Signature-based ID)
            √ 침입행위를 패천 형태로 저장하여 해당 시도를 인지하도록 함
            √ 신규 침입행위에 대해 패턴의 갱신이 이루어져야 만 함
            √ False Alarm의 가능성이 낮음
        - 비정상행위기반(상태 기반 : Behavior-based or Statistical Intrusion Detection)
            √ 정상행위에 대한 혹은 비정상행위에 대한 범위를 설정
            √ 보안 정책과 연동하여 효율적으로 침입시도를 차단하는 것이 가능
            √ False Alarm의 가능성이 높음 

    о IDS 기능
        - 경보 기능
        - 세션 차단 기능
        - 셔닝(Shunning) 기능
            √ IDS 자체로 의심스로운 탐지나 공격을 차단하는 것이 아니라 라우터나 방화벽에 공격자나 의심스러운 자의 근원지 IP
                주소와 서비스 포트에 대해 해당 패킷을 막도록 지시하는 기능
        - 사용자 프로그램의 실행

    о IDS의 장점
        - 보안 위협에 대해 수동적인 대응에서 보다 적극적이고 능동적인 대응
        - 공격 전 단계의 행위를 감지, 실질적인 네트워크 공격을 무산 시킬 수 있는 기회 제공

    о IDS의 단점
        - 민감성
        - False Alarm의 발생

    о 허니팟(HoneyPot)
        - DMZ내에 구축하며, 공격자들이 운영되는 시스템을 대신하여 공격하도록 유인하는 가상 서비스 서버
        - 강력하지 않은 운영체제를 갖거나, 취약점이 많아서 소스에 쉽게 접근할 수 있는 것처럼 유인
        - 침입자의 활동을 감시할 수 있도록 로그 파일을 저장
        - 수집된 정보로부터 배운 것으로 향후 공격에 준비하고 대응

by 우스탈 | 2009/11/19 22:30 | CISSP 시험준비 | 트랙백 | 덧글(0)

◀ 이전 페이지          다음 페이지 ▶