방화벽, IDS(침입 탐지 시스템) , IPS(침입 차단 시스템), 허니팟

방화벽이란?

 

 

 

방화벽의 기본적인 기능

접근을 허용할지 차단하지 결정합니다.

 

차단된다면 로그를 기록합니다.(=감사 추적 가능)

 

인증도 해줍니다.

 

더 나아가서 데이터 자체를 암호화 할 수 있습니다.

보통 vpn에서 사용하는 firewall에서 사용하는 기능입니다.

 

방화벽의 한계

정보보호의 1차 방어벽입니다.

 

하지만 약점도 있죠

 

바이러스는 막을 수 없습니다.

• 패킷을 뜯어볼 수 있지만 높은 부하가 됩니다.

자신을 통과해야만 제어할 수 있습니다.

• 또 다른 네트워크를 통하거나(무선, 사설 통로 우회) 하면 막을 수 없습니다.

이미 존재하는 공격만 막을 수 있습니다.

 

 

방화벽 구조에 대해서

'베스천 호스트'라는 게 있습니다

외부 접속에 대한 일차적인 연결을 받아들이는 시스템입니다.

통로에 두어서 1차적으로 연결을 통과, 차단할 수 있습니다.

 

스크리닝 라우터 - 라우터가 방화벽 역할을 합니다.

• 패킷 필터링 규칙을 적용하여 방화벽 역할을 수행합니다.
• 기본적으로 라우터 역할을 하기 때문에 세부적인 필터링은 할 수 없습니다.
• 차단한 것을 기록하지도 않습니다.

 

 

단일 홈 게이트웨이 방화벽 구조

방화벽 이외의 기능을 사용하지 않습니다.

 

 

이중 홈 게이트웨이 방화벽 구조

 

네트워크 카드가 2개가 있어서 하나는 내부, 하나는 외부로 설정합니다.

이렇게 해서 효율적으로 관리합니다.

 

 

스크린 된 호스트 게이트웨이

라우터와 방화벽을 구분하여 운영하며 , 스크리닝 라우터와 단일 홈 게이트웨이의 조합

• 스크리닝 라우터에서 패킷 필터링을 함으로써 1 차 방어를 하며 , 베스천 호스트로써 단일 홈 게이트웨이에서 프락시와 같은 서비스를 통해 2 차 방어를 함
• 베스천 호스트는 스크리닝 라우터를 거치지 않은 모든 접속을 거부하며 , 스크리닝 라우터도 베스천 호스트를 거치지 않은 모든 접속을 거부하도록 설정
• 이중 홈 게이트웨이와 함께 사용할 수도 있음
• 2 단계로 방어를 실행하므로 무척 안전하며 , 스크리닝 라우터에서 3 계층과 4 계층에 대한 접근 제어 , 베스천 호스트에서 7 계층에 대한 접근 제어까지 실행하므로 공격하기 어려움
• 가장 많이 이용하는 구조며 융통성이 좋음
• 스크리닝 라우터를 해커가 해킹하면 베스천 호스트를 거치지 않고 내부 네트워크에 직접 접근할 수 있다는 약점이 있음

2가지 예시입니다.

 

모든 인터넷 트래픽은 스크린 라우터를 거쳐서 단일 홈 게이트웨이를 거쳐서 내부 네트워크로 전달될 수 있습니다.

 

만약 이중 홈 게이트웨이가 설치가 된다면 인터페이스가 2개이기 때문에

스크리닝 라우터와 이중 홈 게이트웨이 하나 연결하고

다른 것은 내부 네트워크를 연결하여 패킷이 이중 홈 게이트웨이를 꼭 거치게끔 할 수 있습니다.

 

 

IDS(침입 탐지 시스템)의 개요

왜 IDS가 필요할까요? 에 대한 예시입니다.

 

IDS의 개념

크게 다음 네 가지 요소와 기능으로 이루어져 있음

• 데이터 수집
• 데이터 필터링과 축약 
• 침입 탐지 
• 책임 추적성과 대응 

IPS는 책임 추적성과 대응이 강화된 것입니다.

 

 

IDS는 설치 위치와 목적에 호스트 기반 IDS와 네트워크 기반 IDS로 나뉨

호스트 하나에 대한 IDS가 호스트 기반 IDS입니다.

 

호스트 기반 IDS(Host Based IDS, HIDS)

• 윈도나 유닉스 등의 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치됨
• 운영체제에 설정된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고 , 어떤 작업을 했는지에 대한 기록을 남기고 추적하며 , 스위칭 환경과는 전혀 상관이 없음
• 전체 네트워크에 대한 침입 탐지는 불가능 스스로가 공격 대상이 될 때만 침입 탐지 가능
• 운영체제의 취약점은 HIDS를 손상시킬 수 있으며 , 다른 IDS에 비해 비용이 많이 드는 편

ex) 네트워크에 50대가 존재하는데 각각 모두 호스트 기반 IDS를 설치해야 하기 때문에 비용이 많이 듭니다.

 

 

네트워크에 돌아다니는 패킷을 검사하는 것이 네트워크 기반 IDS입니다.

 

네트워크 기반 IDS(Network Based IDS, NIDS)

• NIDS는 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않음
• HIDS로는 할 수 없는 네트워크 전반의 감시를 할 수 있으며 , 감시 영역이 상대적으로 아주 넓음
• IP 주소를 소유하지 않기 때문에 해커의 직접적인 공격에는 거의 완벽하게 방어할 수 있으며 , 존재 사실도 숨길 수 있음
• 당한 시스템의 공격에 대한 결과를 알 수 없으며 , 암호화된 내용을 검사할 수 없음
• 스위칭 환경에서 NIDS를 설치하려면 부가 장비가 필요하며 , 1 Gbps 이상의 네트워크에서는 정상적으로 작동하기 힘듦
  
  

IDS의 2번째 기능 

로그가 너무 많아지면 축약하는 과정을 거쳐야 합니다.

 

이러한 과정을 보안 감사라고 합니다.

 

그래서 필터링하고 축약하는 정도를 클리핑 레벨이라고 합니다.

ex) 패스워드 많이 틀리면 공격으로 간주하는데 몇 번까지 틀리는 것을 허용할 것인가??

이를 클리핑 레벨로 설정합니다.

 

IDS의 3번째 기능 

침입한 것을 탐지합니다.

 

2가지로 나뉩니다. 오용 탐지, 이상 탐지

오용 탐지 - 공격 패턴을 정해놓고 딱 맞은 패턴이 들어온다면 탐지하고 사용자에게 알립니다.

이상 탐지 - 정상 패턴을 정해놓고 이것에 벗어나면 탐지하고 사용자에게 알립니다.

 

오용 탐지

Signature Base 나 Knowledge Base라고 함

• 이미 발견되고 정립된 공격 패턴을 미리 입력해두고 , 해당 패턴을 탐지했을 때 이를 알려주는 것
• 탐지 오판 확률이 낮고 비교적 효율적이지만 알려진 공격 외에는 탐지할 수 없으며, 많은 데이터를 분석하는 데는 부적합
• 공격을 실시한 순서에 관한 정보는 얻기 힘듦
• 전문가 시스템 (Expert System)을 이용한 IDS 도 이를 기반으로 함
• 상태 전이 (State Transition)에 따른 탐지 방법이 있음 : 각 공격 상황에 대한 시나리오를 작성하여 , 각 상태에 따른 공격을 분석

 

이상 탐지

• Behavior 나 Statistical Detection이라고 함
• 정상적이고 평균적인 상태를 기준으로 하여 , 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입 탐지를 알리는 것
• 정량적인 분석 , 통계적인 분석 , 비 특성 통계 분석 등이 있음
• 인공 지능 IDS는 공격에 대해 스스로 판단하고 결정을 내려 알려주지만 판단의 근거가 확실하지 않고 오판 확률도 높음
• 면역 시스템은 새로운 공격을 당할 경우 그에 대한 학습을 스스로 하게 되어 해당 공격이 다시 일어날 때 대응하도록 한 것. 재설치 시(업그레이드돼서) 최초 설치 시의 초기 상태로 돌아가는 큰 단점이 있음
• 인공 지능과 면역 시스템은 아직 많은 상품이 개발 중이고 일부 상품이 나와 있으나 다른 IDS 시스템과 공존하는 형태로만 운용

 

IDS의 4번째 기능 

이렇게 능동적인 기능까지 가지고 있는 시스템은 칩입 차단 시스템(IPS)라고 합니다.

 

현재까지는 방화벽과 IDS는 따로 사용되고 있습니다.

 

침입 탐지 시스템을 어디에 두어야 하는가?

그림처럼

➊ 패킷이 라우터로 들어오기 전

실제로 네트워크에 실행되는 모든 공격을 탐지할 수 있다. 따라서 공격 의도가 있는 이들을 미연에 쉽게 파악할 수 있다 그러나 너무 많은 공격에 대한 데이터를 수집하여 , 정작 네트워크에 치명적인 공격에는 대처하기 어렵다

 

➋ 라우터 뒤

라우터의 패킷 필터링을 거친 후의 패킷들을 검사한다. ➊ 의 경우보다는 좀 더 적은 수의 공격을 탐지하며 좀 더 강력한 의지가 있는 공격자를 탐지할 수 있다

 

➌ 방화벽 뒤

라우터도 방화벽도 거친 게 오면 진짜 영향을 주는 것입니다.

방화벽 뒤에서 탐지되는 공격은 네트워크에 영향을 준다. 따라서 탐지되는 공격에 대한 정책과 방화벽과의 연동성이 가장 중요한 부분이다. 내부에서 외부를 향한 공격 역시 탐지 가능한 곳이므로 내부 공격자도 어느 정도 탐지가 가능하다 네트워크 특성과 목적에 따라 조금 다른 경우도 있지만 , 만약 침입 탐지 시스템을 한 대만 설치할 수 있다면 이곳에 설치해야 한다

 

 

➍ 내부 네트워크

방화벽은 외부의 침입을 일차적으로 차단한다. 하지만 내부에 대해서는 거의 무방비상태라고 할 수 있다. FBI의 통계 자료에 따르면 가장 치명적인 공격자는 내부 공격자며, 실제로 해킹으로 인한 손실의 75%가량이 내부 공격자 때문에 발생한다고 한다. 사람 수나 사용하는 사람의 특성에 따라 관리하고자 하는 내부 클라이언트들을 신용할 수 없을 때, 내부 클라이언트에 의한 내부 네트워크 해킹을 감시하고자 할 때 설치할 수 있는 곳이다

➎ DMZ

아주 능력이 뛰어난 외부 공격자와 내부 공격자들에 의한 중요 데이터 손실이나 서비스의 중단을 막기 위함이다. 중요한 데이터와 자원을 보호하기 위해 별도의 IDS를 운영하기도 한다

 

 

침입 차단 시스템 (IPS, Intrusion Prevention System)

공격 차단은 너무 수동적입니다.

실시간 대응도 어렵습니다. 

 

그래서 침입 차단 시스템을 도입했습니다.

 

칩입 차단 시스템의 좋은 점

만약 방화벽 밖에 설치된다면 방화벽보다 좋은 것이 들어가야겠지요

그래서 방화벽 다음에 설치합니다.

 

높은 성능을 구현해야 하기 때문에 하드웨어로 만들었습니다.

 

침입 차단 시스템의 동작 원리

• ips로 패킷이 유입이 되면
• 무결성 검사 필터를 먼저 거치고(1차)
• 유해 트래픽 검사 필터를 거칩니다(2차)
• 공격 검사 필터에서 만든 정책에 의해 패킷들을 필터링합니다.(3차)
• 만약 공격 패킷이 있다면 침입 로그를 대응관리 시스템에 전달하고 이것을 학습합니다.
• 그리고 내보냅니다.

 

침입 차단 시스템을 어디에 두어야 하는가?

방화벽 뒤에 놓이는 경우가 많습니다.

 

IPS는 처리량이 많기 때문에 방화벽에서 1차로 거르는 게 좋습니다.

 

허니팟

 

공격을 회피할 때도 사용하기도 합니다.

허니팟이 공격자에 대한 효율적이고 빠른 대응을 하는 데 필요한 주요 기능은 정보 수집과 시스템 제어

 

• 암호화된 정보를 수집할 수 없거나 , 다른 기록들 때문에 혼란을 일으켜 정보 수집 기능을 잃어버리는 허니팟은 그 기능을 다한다고 볼 수 있음
• 더 심각한 상황은 시스템의 제어권을 해커에게 모두 빼앗기는 경우로 , 허니팟이 다음 공격을 위한 교두보로 사용될 수 있음