방화벽(Firewall)
*기본 개념
방화벽(防火壁)이란 서로 다른 네트워크를 지나는 데이터를 허용하거나 거부하거나 검열, 수정하는 하드웨어나 소프트웨어 장치이다.
출처 : Wiki
*작동원리
외부에서 네트워크를 통해 들어오는 패킷들을 사전에 "관리자가 설정해 놓은 보안 규칙"에 따라 허용 또는 차단한다.
이 관리자가 설정해놓은 규칙은 접근 제어 목록(ACL, Access Control List)로 유지된다.
기본적으로 방화벽으로 들어오는 모든 접근을 거부(deny)하고, 허용하는 접근만 단계적으로 허용(permit/allow)하는 방식을 따른다.
좀 더 구체적으로 설명하자면, (네트워크를 통해 이동하는) 데이터의 통로 역할을 하는 "포트"는 0부터 65535까지 번호를 가지는데,
이 65000여개의 포트 전부를 차단하고 접근을 허용하는 특정 포트만을 열어주는 방식을 취하게 된다. HTTP(HyperText Transfer Protocol)서비스
를 제공받으면 80번 포트를 , FTP(File Transfer Protocol)서비스를 제공받으면 20/21포트를 접근 허용하는 방식이다.
단순히 통신 포트로 외부 접근을 막는 것 이외에도, 외부에서 접근하는 IP주소에 대해 판단하고 접근/거부를 결정하기도 하고, 특정 프로그램에 따라
접근/거부를 결정하기도 한다. 이런 보안 규칙 설정들은 모두 접근제어목록(ACL)에 포함되어 일괄 적용된다.
방화벽의 접근 제어목록은 관리자가 구성하며, 설정하기 편하도록 직관적인 형태로 출력된다.(밑에 사진)
또한 보안 규칙 적용 즉시 그 결과를 확인 할 수 있도록 해준다. 접근제어목록과 방화벽 설정에는 보안과 관련한 상당한 지식이 있어야하므로
전문가를 통해 정확하고 체계적으로 이루어져야 함.
이해하기 쉽게 잘 정리 된 참조 글
*방화벽과 관련한 최신 기술 동향
<팔로알토>https://www.youtube.com/watch?v=fO46wwQFbvE
<네트워크 방화벽은 죽지 않는다.>http://www.itworld.co.kr/print/86480
<차세대 방화벽에 악성코드 검증기술 결합>https://byline.network/2017/06/1-789/
<소포스, XG 방화벽> http://www.itworld.co.kr/news/106886
전반적으로 어플리케이션을 활용한 3세대 방화벽내에서 발전이 이루어지는 식인 듯 하다.
//1세대와 2세대와 관련된 내용은 Wiki의 "방화벽"에서 역사 카테고리를 참조하시길
IDS(Intrusion Detection System) - 침입 탐지 시스템
*기본개념
컴퓨터나 네트워크에서 발생하는 이벤트들을 모니터링하고, 침입 발생 여부를 탐지(detection)하여 , 대응(response)하는 자동화된 시스템
탐지 대상인 "침입"과 관련된 정보를 더 알고 싶다면 http://c8korea.blogspot.kr/2013/01/ids.html <보안과 관련된 포스팅 많음!>
//종류 궁금하면 검색~ http://visu4l.tistory.com/158 //분류하신 내용들 있음
*침입 탐지 시스템의 분류
자료 추가하기
*작동 원리
IDS는 원본 트래픽을 손실이나 변조없이 복사해주는 tap이라는 장치로 트래픽을 검사하는 구조이다. 복사한 트래픽데이터를 사용하므로
본래의 트래픽 유통에는 전혀 관여하지 않는 out of path 방식에 속한다. IDS는 트래픽을 검사한 다음 대응을 하기 때문에 예방적인 차원에서 방어가 아닌
사후 방어를 하는 시스템이다. IDS는 방화벽과 연동하여 공격을 차단하는 소극적인 방어가 가능하다.
IDS의 실행은 4단계로 이루어지는데 아래와 같다.
1. 데이터 수집 - 네트워크로 전송된 데이터(트래픽)를 복사해서 데이터를 얻고
2. 데이터 가공 및 축약 - 해당 데이터를 분석할 수 있도록 가공하고, 효율적으로 처리할 수 있게 축약하는 과정을 거친다
3. 침입분석 및 탐지 단계 - 2단계에서 처리된 데이터를 기존에 정의 된 룰과 비교해서 침입인지 아닌지를 판단하고
4. 보고 및 대응 - 침입으로 판단된 경우 그것을 보고하고 침입에 대응하는 조치를 취한다.
cf. tap - 광섬유로부터 광신호를 뽑아내는 장치
IDS에서 기존에 정의 된 룰이란건 위에 방화벽 설명에서 나온 ACL과 개념적으로 유사한 것 같다.
* 추가적으로 중요한 내용
IDS는 (사람들이) 침입의 패턴을 분석해서, 해당 패턴들을 유지하고 , 위에서 3단계에서 이 유지된 패턴과 비교해서 침입으로 판단하고
이제 배울 IPS는 (인공지능이) 침입의 패턴을 학습을 통해 얻고, 이 패턴과 비교해서 침입여부를 판단.
그래서 IDS는 패턴에 없는 새로운 공격은 탐지가 불가능하다. (False Negative = 미탐 = 탐지율이 낮다 = 침입인데 침입 아니라고 판단.)
그러나 IPS는 패턴자체가 업데이트 되니까 새로운 공격을 탐지를 할 수는 있는데, 애초에 학습자체가 잘못되는 경우에는 침입이 아닌데
침입이라고 판단 할 수가 있다. (False Positive = 오탐률이 높다 = 침입 아닌데 침입이라고 판단 )
*참조 자료
<댕이댕이 네트워크 블로그> - 네트워크와 관련된 정보들 많음 ! https://stop2y.blog.me/
그 중에 IDS관련한 포스팅
https://stop2y.blog.me/100210462612
실제 사례에서 작동원리 이해해보기 1
<KAIST에서 개발한 네트워크 침입 탐지 시스템>
IPS(Intrusion Prevention System)- 침입 방지 시스템
*개념 정의
IPS는 다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막고, 유해 트래픽을 막기 위한 능동형 보안 솔루션
위에 설명한 IDS와 방화벽을 조합 및 발전시킨 것.
cf. 방화벽은 응용프로그램 수준의 공격과 새로운 패턴의 공격에 취약하며, 실시간 대응이 불가
IDS는 실시간 탐지는 가능하지만 대응책을 제시하지 못함
방화벽+IDS만으로는 해킹에 의한 바이러스나 웜에 대한 공격을 막을 수 없다. (Zeroday Attack)
*동작원리
침입을 탐지하는 기능을 수행하는 모듈이 패킷을 검사하여 패턴을 분석한 뒤, 정상적인 패킷이 아니라고 판단하면 방화벽 기능을 가진 모듈이 이것을 차단한다. 검사하는 과정에서 무결성 검사 필터를 한번 거쳐 결함이 있는 패킷을 거르고, 공격 검사 필터에서 유해 패킷을 거른다. 단순히 IDS와 방화벽을 연동시킨 것과 달리 악성코드와 유사한 동작을 보이면 해당 패킷을 차단한다.(예측차단). 예를 들면 코드나 패킷을 가상머신에서 실행시켜 보고 악성코드와 "유사"한 패턴을 보이면 차단하는 것. 일반적으로 방화벽 거른 다음에 침입 방지 시스템을 두어 시스템이 더 효율적으로 패킷을 검사할 수 있도록 한다.
참고서적
정보보안개론_ 한빛 아카데미
*기술 동향
이 자료는 아직 못읽어봄
<한국데이터진흥원-데이터기술 동향-최신 보안 이슈와 IPS 기술동향>
https://www.kdata.or.kr/info/info_04_view.html?field=title&keyword=최신 보안 이슈와 IPS 기술 동향&type=techreport&page=1&dbnum=126741&mode=detail&type=techreport
