[네트워크/보안] 네트워크 기본 이론 - 네트워크 보안 시스템

네트워크 보안 시스템

- 하나의 보안 시스템만으로 모든 것을 방어할 수는 없다. => 다양한 보안 시스템을 통해 사이버 보안 체계를 구축해야 한다.

 

네트워크 침입 차단 시스템(방화벽)

- 외부로부터 불법적인 접근이나 공격을 방어하기 위해 내부 네트워크와 외부 네트워크가 연결되는 접점에 구축되는 보안 시스템이다.

- 보안 정책에 따라 비인가 통신은 차단하고 인가된 통신은 허용하는 방식으로 내부 네트워크를 외부 네트워크로부터 보호하는, 네트워크 보안에서 가장 기본이 되는 시스템이다.

- 정책의 적용 순서를 고려해야 하며, 사용 중인 네트워크에 정책이 바로 적용되기 때문에 보안과 네트워크에 대한 지식과 경험을 갖춘 보안 전문가에게 체계적으로 관리되어야 한다.

 

네트워크 침입 탐지/차단 시스템

- Network IDS/IPS

- 네트워크 패킷 데이터를 분석하여 악성코드, 취약점 공격코드, 권한 상승, 비정상 접근 등의 공격 데이터를 탐지하는 침입차단시스템인 IDS(Intrusion Detection System)와 여기에 능동적 대응 기능이 추가된 IPS(Intrusion Prevention System)가 있다.

- IPS는 IDPS(Intrusion Detection and Prevention System)라고도 하며 IPS 기술이 안정화되면서 많은 곳에서 IDS보다 IPS를 도입해서 운영하고 있다.

 

IDS/IPS의 구성

1. 센서 : 감시하려는 네트워크에 연결되어 패킷을 수집하고 보안 이벤트를 발생시킨다.

2. 엔진 : 센서에서 수집된 보안 이벤트를 저장하고 정의된 규칙에 따라 경고를 발생시킨다.

3. 콘솔 : 보안 이벤트를 확인할 수 있으며 센서나 정책을 수정할 수 있게 되어 있다.

 

공격 탐지 방식

- 오용 탐지 방식 : 기존에 알려진 공격 데이터 패턴이나 유사성을 확인하여 탐지한다. => 많이 사용됨

- 비정상 행위 탐지 방식 : 정상적인 행위와 비교하여 비정상 행위를 하는 경우를 탐지한다.

 

절차

1. 정보 수집 : 네트워크 패킷과 세션 정보 수집

2. 정보 가공 : 수집된 정보에서 필요한 정보만 뽑아 의미 있는 정보로 가공

3. 정보 분석 : 오용 탐지 또는 행위 탐지 기법들을 적용하여 공격을 탐지하여 분류

4. 보고 및 대응 : 공격에 대해 콘솔뿐만 아니라 이메일, SMS, SNMP 등을 통해 공격 탐지를 보안 담당자에게 알림

 

가상 사설망

- VPN(Virtual Private Network)

- 공중망에서 마치 인터넷 전용선을 사용하는 것처럼 통신 구간을 암호화하여 제삼자가 함부로 통신에 접근하지 못하게 하는 기술

- 전용선보다는 보안이 취약하고 암호화 통신 과정을 거치기 때문에 상대적으로 속도가 느리다.

- 통신 과정이 암호화, 상용 VPM을 이용하면 익명성 보장 => 공격자들이 추적을 피하는 방법으로도 자주 이용하고 있다.

 

주로 사용되는 통신 프로토콜

1. L2PT(L2TP) : IPSec 기술을 이용하여 암호화하며 대부분 운영체제에서 지원한다.

2. OpenVPN : 프로파일 하나만 있으면 쉽게 연결 가능. L2TP 규격을 따르지만 다양한 암호화 알고리즘을 통해 통신할 수 있다.

3. PPTP : PPP 기술을 확장한 방식으로, MS-CHAP와 RC4를 섞어서 암호화한다.

 

DDoS 대응 시스템

- DDoS : 공격 대상 사이트에 대량의 트래픽을 보내 네트워크 대역폭을 소진시키거나 서버 처리 용량을 과다하게 발생시켜 공격 대상 사이트의 서비스 가용성을 떨어트리는 공격 방식

 

In-Line 방식

- 유입되는 트래픽을 모니터링하여 DDoS 공격을 탐지하고 직접 차단하며, 가장 많이 구축되고 있는 방식

- DDoS 대응 장비가 방화벽 앞에 위치한다.

 

Out-of-Path 방식

- 네트워크 구성을 그대로 유지한 상태에서 미러링 장비로 패킷을 미러링받아 DDoS 차단 장비로 분석하고 해당 DDoS 공격을 차단하는 방식

- In-Line 방식보다 구축 비용이 많이 들고 복잡하다.

 

웹 방화벽

- WAF(Web Application Firewall)

- 웹 애플리케이션의 보안을 위한 시스템

- SQL Injection, XSS, CSRF 등과 같은 웹 공격을 탐지하고 차단할 수 있다. 또한 정보 유출 방지, 부정 로그인 방지, 웹 사이트 위변조 방지 기능도 탑재되어 웹 공격을 효과적으로 방어할 수 있다.

- 웹 서버 내에 소프트웨어로 설치되는 형태와 하드웨어로 설치되는 형태가 있다.

- 하드웨어로 설치되는 형태는 Reverse Proxy 방식, In-Line 방식으로 구성할 수 있으며 그중 In-Line 방식이 구축하기 편리하여 많은 곳에서 이 방식으로 구축하고 있다.

 

네트워크 접근 제어 시스템

- NAC(Network Access Control)

- 네트워크 접근을 제어하는 보안 시스템

- PC와 같은 단말기들이 어떤 영역까지 접근할 수 있는지를 정의한 정책에 의해 단말기의 네터워크 접근을 제어 및 통제하여 안전한 네트워크 환경을 보장해주는 네트워크 보안 솔루션

- 다양한 인증 방식을 지원하며 802.1x, VLAN, ARP를 이용하여 네트워크 접근 제어를 할 수 있다.

 

통합 위협 관리 시스템

- UTM(Unified Threat Management)

- Firewall, IDS/IPS, VPM, Anti-Virus, Spam Filter, Content Filter 등의 다양한 보안 기능들을 하나로 패키지화하여 다양한 보안 위협에 대응할 수 있게 한 네트워크 보안 장비다.

- 도입 전에 UTM의 모든 기능을 다 사용해도 문제가 없는지 충분한 테스트를 거쳐야 한다.

- 보통 방화벽을 대체하여 구성되기 때문에 방화벽이 위치한 자리에 UTM을 구성하여 구축할 수 있다.

 

보안 관제를 위한 ESM과 SIEM

통합 보안 관리 시스템(ESM, Enterprise Security Management)

- 효율적으로 다수의 보안 시스템을 관리할 수 있도록 도와주는 보안 솔루션

- 주로 기업에서 운영하는 보안 시스템, 서버, 네트워크 장비를 상호 연동해서 보안 시스템을 효율적으로 운영할 수 있도록 도와준다.

- 각종 보안 장비에서 발생한 이벤트 수집, 관리, 경보, 대응 등을 통합하여 관리함으로써 보안 사고 발생 시 효율적으로 대처할 수 있도록 도와주며 점차 그 보안 범위가 확대되고 있다.

 

보안 정보 이벤트 관리 시스템(SIEM, Security Information Event Management)

- 장기적인 관점에서 보안 위협을 보다 심층 분석하고 대응할 수 있도록 도와준다. => 더 주목받고 있다.

- SIM(보안 정보 관리)과 SEM(보안 이벤트 관리)의 기능을 하나의 보안 관리 시스템으로 통합한 솔루션