네트워크 보안장비 (방화벽, IDS, IPS, UTM)

1.   침입차단시스템

 

-방화벽이란?

 

-      방화벽은 침입차단시스템으로 외부 망으로부터 내부 망을 보호하는 기법

-      네트워크를 외부 망과 내부 망으로 분리, 그 사이에 방화벽을 배치시켜 허가되지 않은 모든 트래픽은 차단

-      두 네트워크 간을 흐르는 패킷들을 미리 정해놓은 규칙에 따라 차단하거나 보내주는 간단한 필터를 해줌

 

-방화벽의 기능

 

-      접근제어: 정책에 의하여 허용/차단 결정하기 위한 검사

-      (Logging)로깅, 및 (Auditing)추적: 허가되지 않은 정보에 대한 로그파일 기록, 의심스러운 사항이나 침입 사실이

       확인될 경우, 자세한 정보를 관리자가 추적할 수 있도록 하는 기능

-      사용자 인증(Authentication)

-      데이터 암호화

 

-방화벽의 종류

 

1.    패킷 필터링 방식

 

- 단순히 IP 주소와 Port번호를 이용해 패킷을 Allow하거나 Drop하는 방식

- IP와 Port를 통한 보안 정책

- OSI 7 Layer 모델 중 네트워크 계층과 전송 계층에서 동작

 

-장점

    높은 레벨 방화벽에 비해 처리속도가 빠르다.

 

-단점

   정책이 많을수록 delay가 생기고 바이러스에 감염된 메일과 첨부파일등은 차단이 불가능하다.

 

2.    어플리케이션 게이트웨이 방식

 

- 어플리케이션 게이트웨이 방식은 별도의 Gateway를 통해 Application 계층까지 검사하여 이를 허용하거나 차단하는      방식

- 외부 시스템과 내부시스템은 방화벽의 Proxy를 통해서만 연결이 허용되고, 직업 연결은 허용되지 않기 때문에 외부에    대한 내부망의 완벽한 경계선 방어 가능

 

-장점

     Packet의 data부분까지 제어가 가능하다.

     Proxy 사용으로 인해 보안성이 패킷 필터링 방식에 비해 우수하다

     외부에 대한 내부망의 완벽한 경계선 방어 및 내부 IP 주소 숨김

 

-단점

     해당 서비스마다 Proxy Demon이 구동 되어야 한다.

     패킷 필터링 방식에 비해 처리속도가 느리다.

 

3.    Hybrid 방화벽

 

- 여러 유형의 방화벽들을 경우에 따라 복합적으로 구성할 수 있는 방화벽

- 서비스의 종류에 따라서 다양한 보안정책을 부여함으로써 구축 및 관리하는데 어려움이 있을 수 있다.

 

4.    상태기반 감시(Stateful inspection)

 

- Stateful inspection은 현재 방화벽 업계 표준으로 자리 잡고 있다.

- 상태기반감시는 연결 상태를 추적하고, 정상상태에서 벗어난 패킷 을 차단하는 방법

- 상태 표의 세부 내용은 일반적으로 출발지 IP주소, 목적지 IP주소, 포트번호 그리고 연결 상태 정보를 포함

 

---

2.  침입탐지시스템(IDS)

 

-      IDS란?

 

- 허가 받지 않은 접근이나 해킹시도를 감시하여 시스템 또는 망관리자에게 통보해주고 필요한 대응을 취하도록 하는      시스템

 

-      IDS의 종류 및 특징

 

1.    데이터 소스기반 분류

 

- 네트워크 기반 IDS: 네트워크의 패킷 자료를 침입 판전에 사용, 네트워크 영역 전체를 탐지 영역으로 하기 때문에 스위     치 등 네트워크 장비에 연결하여 설치

- 호스트 기반 IDS : 단일 호스트로부터 수집된 감사 자료를 침입 판정에 사용하며, 한의 호스트만을 탐지 영역으로 하기     때문에 호스트에 설치

 

2.    침입모델 기반 분류

 

	오용 탐지	이상 탐지
개념	일정한 공격 패턴을 미리 입력하여 거기에 해당하는 패턴을 감지	평균적인 상태를 기준으로 상대적으로 급격한 변화가 있을 때 침입 탐지 알림
특징	오판율이 낮다. 능동적이지 않다.	오판율이 높다. 능동적으로 대체가 가능하다.

 

3.    IDS의 작동 순서

 

- 침입 탐지 시스템은 데이터 수집단계->데이터의 가공 및 축약->침입분석 및 탐지 단계-> 보고 및 대응단계

 

---

3. 침입예방시스템 IPS

 

-      IPS란?

 

- IDS는 기본적으로 침입을 알려주는 시스템임

- IDS에 능동적인 기능을 많이 탑재한 것을 IPS라고 함

- IPS는 IDS에서 더 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 -   있음

 

-      특징

 

- 데이터가 손실 전에 대응이 가능함

- 알려지지 않은 공격도 예상하여 차단이 가능함

 

---

4. UTM

 

-      UTM이란?

 

- 안티바이러스, 방화벽, VPN, IDS, IPS, QoS 장비 등 여러 기능을 통합한 네트워크 통합보안 시스템

- 각종 보안기능 통합 관리, 설치, 비용절감

- 실시간 긴급 대응 체계가 가능함