본문 바로가기
  • AI (Artificial Intelligence)
Security/Issue

Security 용어정리 01

by 로샤스 2014. 2. 27.

FireWall, IDS, IPS

 

1. 방화벽은 FireWall 이라고 하죠.

사전적의미 :  방화―벽 (防火壁) [명사] 불이 번지는 것을 막기 위하여 건물의 내부 같은 데에 설치한, 
                   내화 구조(耐火構造)의 벽.

컴퓨터 네트웍에서 보안 방지로 차용하여 사용하는 말입니다.
간단히 패킷필터링, 프락시 필터링 방식이 있는데, 최근엔 혼용하여 사용합니다.
패킷필터링은 IP 등의 접속을 막는것이고, 프락시 필터링은 어플리케이션 필터링을 하는거죠.

파이어월을 설치하면 FTP, 텔넷 등의 서비스를 사내에서 승인된 사람만 사용할 수 있도록 하거나, 허가된 외부 사용자만 내부 네트워크로 들어올 수 있도록 설정할 수 있다.

FTP는 내부 사용자가 회사 기밀을 외부로 빼돌릴 목적에 사용될 수 있다. 즉, 외부 서버에 계정을 만든 후 회사 내의 중요한 자료를 FTP로 파일 전송을 할 수 있다. 파이어월은 이 때문에 FTP를 통해 정보가 외부로 나가는 것을 막는 것이다. 때문에 파이어월이 본격적으로 공급되기 시작한 1990년대 말에는 이런 파이어월의 기능 때문에 사용자와 네트워크 관리자 간의 갈등도 적지 않았다. 파이어월이 일선 네트워크에 공급되기 시작한 초기에는 대부분의 네트워크 관리자들이 파이어월을 제대로 관리할 만한 지식과 경험을 갖추지 못한 경우가 많았고, 때문에 공급업체에서 초기에 꼭 필요한 트래픽만 허가해 놓은 설정을 그대로 사용하는 경우가 많았다. 이 경우 사용자들은 그 전에 잘 사용하던 FTP나 텔넷 등의 애플리케이션을 이용할 수 없다. 결국 네트워크 관리자와 사용자 간에 포트를 개방해야한다 말아야 한다 실갱이가 벌어지기도 했다. 이와 반대로 기업의 임원급에서 특정 포트를 열어달라고 하는 대로 열어주다 보면 파이어월이 설치하나 마나한 상태가 되기도 했다.

- 파이어월이 만드는 평화의 공간 DMZ

현재 보급되고 있는 대부분의 파이어월은 하드웨어 일체형이기 때문에 오히려 네트워크 장비에 가까운 내부 구성을 갖고 있지만, 기본적으로 파이어월은 서버와 비슷한 구성이다.

즉 라우터처럼 CPU와 메모리, 운영체제를 갖고 있으며, 여기에 하드디스크까지 장착하고 있는 전형적인 서버의 구성이다. 실제로 초기의 파이어월은 대부분 소프트웨어 제품이어서 윈도우 운영체제나 유닉스, 리눅스 등의 운영체제를 사용하는 서버급 컴퓨터에 탑재되는 형식이었다.

파이어월이 네트워크에 설치되는 위치는 기업의 네트워크 환경과 파이어월 구성 방식에 따라 다르지만, 일반적으로 인터넷으로 통하는 길목에 설치된다. 이로써 기업 네트워크의 내부와 외부를 오가는 트래픽을 모두 감시한다. 하지만 기업이 웹 사이트나 FTP 서비스를 운영하고 있다면 DMZ(DeMilitarized Zone)를 구성하는 방식도 외부 웹 서비스를 하는 기업의 경우 많이 사용하는 방식이다. DMZ는 말 그대로 외부와 내부가 서로 연결되지 않도록 하는 공간이다.

실제로 파이어월을 설치하고, 웹 서버나 메일 서버 등 외부에서 접속하는 서버를 내부 네트워크에 둘 경우, 어쩔 수 없이 열어둬야 하는 서비스들 때문에 외부의 불특정 다수에게 접속을 열어둘 수 밖에 없다.

예를 들어 웹 서비스를 한다면 웹 서버가 주로 사용하는 80포트를 열어놓게 되는데, 이때 해커가 열어놓은 포트를 통해 웹 서버를 해킹하고, 이를 통해 내부 네트워크를 돌아다니며 필요한 정보를 빼가거나 시스템을 망가뜨릴 수 있다.

하지만 DMZ를 구성할 경우, 외부에서의 접속은 DMZ 내에 있는 서버들, 즉 웹 서버나 메일 서버 등에 한정할 수 있다.

- 파이어월의 주요 보안 기술

파이어월의 보안 기술은 크게 기본 라우터 보안, 패킷 필터링, 애플리케이션 프록시, SIF(Stateful Inspection Firewall)로 나눌 수 있다. 이중 기본 라우터 보안 기술은 일반적으로 사용하고 있는 액세스 라우터에서 ACL(Access Control List)와 NAT(Network Address Translation)로 구현할 수 있는 기본적인 보안 환경이다.


ACL은 사용할 수 있는 서비스를 나열한 단순 리스트로, 이를 통해 외부에서 들어오는 특정 IP 어드레스나 포트 번호를 막을 수 있다. NAT는 하나의 공인 IP 어드레스만으로도 기업이나 조직의 여러 사용자가 인터넷에 접속할 수 있도록 하는 IETF 표준이다. NAT는 개인적인 사설 IP 네트워크를 숨길 수 있기 때문에 내부 사설 IP를 외부로부터 숨김으로써 해커 등이 내부 네트워크 토폴로지를 알지 못하도록 한다.


하지만 기본적으로 라우터는 외부와 내부의 소통을 연결해주는 역할을 하는 장비이기 이를 막는 것이 기본 역할이 아니다. 때문에 라우터의 기본 보안 기능을 사용하는 것은 기본적인 보안 환경을 구현할 수는 있어도 충분한 보안 환경을 구현하기에는 턱없이 부족하다. 라우터는 하드디스크를 이용해 몇 개월치의 사용자 로그를 저장, 불법 접속자에 대한 분석이 가능하고, 단순히 접속을 막고 차단하는 것뿐 아니라 애플리케이션 레벨까지의 강력한 보안을 지원할 수 있다.

·패킷 필터링

패킷 필터링(Packet Filtering) 기능을 가진 파이어월은 OSI 네트워크 계층에서 데이터의 IP 정보를 조사해 접근 제어 규칙에 패킷이 일치하면 통과시키고, 그렇지 않으면 폐기시켜 내부 네트워크로 들어오는 접근을 막는다. 현재는 일반적인 라우터의 기능으로 자리잡았다.


패킷 필터링은 가격이 저렴하고 네트워크 계층 이상의 상위 계층은 인식하지 않으므로 애플리케이션 프록시보다는 처리 속도가 빠르다는 장점이 있는 반면, 다양한 구성이 어렵고 사용자 접속과 외부 침입에 대한 로깅 기능이 없는 것이 단점이다. 따라서 IP 스푸핑 같은 해킹 공격으로 우회해 언제든지 내부 네트워크가 위협받을 수 있다.

·애플리케이션 프록시

애플리케이션 프록시 파이어월은 프록시 기술을 이용해 내부 사용자와 외부 인터넷 사이에 중간자 역할을 수행해 직접적인 연결을 피하고, 각각의 IP와 응용 서비스에 대해 보안적인 조사를 해 접근 제어 규칙을 적용하는 파이어월이다.


프록시 기술은 특정한 애플리케이션에 적용되도록 구성된 일종의 코드다. 따라서 이 방식은 각각의 프로토콜을 프록시로 구현함으로써 패킷 필터링 애플리케이션보다 정교한 접근 제어가 가능하며, 모든 데이터에 대해 상세한 로그가 남는다. 하지만 각 응용 서비스와 프로토콜마다 네트워크의 애플리케이션 계층까지 정보를 갖고 가기 때문에 처리 성능의 저하를 가져올 수 있으며, 프록시의 수가 주요 인터넷 서비스에만 제한돼 새로운 서비스에 즉각 적용하기 어려운 것이 단점이다.

·SIF

SIF(Static Inspection Firewall)는 패킷 필터링 파이어월과 애플리케이션 파이어월 기술을 상호 보완해 탄생시킨 것이다. 이는 전체적인 패킷 필터링을 통해 IP 정보 뿐만 아니라 데이터 정보까지 조사해 애플리케이션 계층까지의 서비스도 규칙에 따라 접근 제어를 할 수 있도록 한다.


이 기술은 네트워크 계층과 데이터 링크 계층 사이의 검사 엔진(Inspection Engine)이 모든 계층의 정보를 바탕으로 접근 제어를 하며, 과거의 교환 정보와 애플리케이션 정보를 갖고 계속적으로 데이터에 대한 승인 여부를 결정하는 것을 말한다.




2.IDS 침입 탐지 시스템의 약어입니다.

사전적의미 : 침입 탐지 시스템 [ 侵入探知-, intrusion detection system ] 

컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템. 침입 차단 시스템만으로 내부 사용자의 불법적인 행동(기밀 유출 등)과 외부 해킹에 대처할 수 없으므로 모든 내·외부 정보의 흐름을 실시간으로 차단하기 위해 해커 침입 패턴에 대한 추적과 유해 정보 감시가 필요하다. 
 
즉 유해 패킷패턴을 실시간으로 들여다보는거죠. 엄청 로드 걸리겠죠?

- 침입 패턴 분석으로 정교한 탐지 가능한 IDS

IDS(Intrusion Detection System)는 단순히 외부의 침입을 차단하는데 만족해야 했던 파이어월에서 진일보해 침입의 패턴 데이터베이스와 전문 시스템을 사용해 네트워크나 시스템의 사용을 실시간으로 모니터링하고 침입을 탐지하는 기능을 한다.


파이어월과 IDS를 쉽게 비교한다면, 빌딩을 출입할 때 1층 의자에 앉아있는 경비아저씨를 떠올리면 된다. 경비원들은 출입자의 짐이나 방문 목적을 일일이 확인할 수 없기 때문에 일단은 외모를 보고 판단한다. 파이어월도 마찬가지로, 내부 패킷까지 확인하지 못하고 무조건 TCP/IP 어드레스로 판단하기 때문에 위장을 할 경우 쉽게 침입할 수 있다. 더 큰 문제는 내부인이 건물에서 나가는 경우에는 검문을 하지 않는다는 점이다. 보안 사고의 70% 이상이 내부인에게서 발생한다는 통계를 고려한다면 보안상 허점이 생기는 것이다.


IDS를 설치하면 외부와 내부 출입자의 짐을 검사할 수 있기 때문에 해킹을 2차로 막을 수 있고, 내부 사용자가 승인되지 않는 서버에 접속하는 것도 파악할 수 있다. 파이어월은 네트워크의 출입구에 설치해 정해진 보안 정책에 따라 드나드는 패킷을 검사해서 룰(rule)과 비교해 통과 여부를 결정하는 역할을 한다. IDS도 패킷을 검사한다는 점에서 유사하지만, 네트워크를 출입하는 모든 패킷을 검사한다는 점이 다르다.

- IDS의 해킹 분석 방법론

IDS는 원시 데이터(Raw Data Source), 사건탐지(Event Detection), 분석(Analysis), 대응(Response), 데이터 저장소(Data Storage)의 5가지 요소로 구성된다. 이런 요소들이 순차적으로 조합을 이뤄 침입 탐지 프로세스가 된다.


첫 단계는 정보 수집 단계로, 시스템의 모든 정보를 수집해 다음 단계인 정보 가공, 축약단계로 넘기는 기능을 수행한다(단지 침입 정보만을 수집하는 것이 아니라 모든 정보를 수집한다). 두 번째 단계는 정보 가공과 축약 단계로, 침입 탐지에 필요한 의미있는 정보만을 축약하는 단계다. 세 번째 단계는 침입 여부를 판정하는 분석, 침입 탐지 단계로 침입 탐지 시스템의 핵심 과정이다. 마지막 단계인 보고, 조치단계는 침입으로 판단되면 관리자에게 보고하고 관리자가 조치를 취하는 단계다(히스토리 관리를 위한 로그 기록은 저장한다).


IDS의 분류는 보호하고자 하는 목적 시스템 즉, 침입을 판단하기 위한 데이터를 제공하는 소스에 따른 분류와 침입 모델을 기반으로 하는 분류 방법이 있다. 먼저 데이터 소스를 기반으로 분류하는 방법을 살펴보자.


첫째
, 단일 호스트 기반 IDS는 단일 호스트에서 침입을 탐지하는 것으로 그 호스트의 감사(Audit) 기록이나 들어오는 패킷 등을 검사해 침입을 탐지한다. 예를 들면 호스트의 로그인 프로세스를 감시하고 루트(root) 사용자의 행동을 감시하며, 파일 시스템 감시 등을 통해 침입을 발견하는 것이다.

네트워크 기반의 IDS보다 잘못된 탐지 즉, 침입이 아님에도 불구하고 침입으로 오판하는 경우가 적은 반면, 우선 타깃 호스트에 설치해야 하므로 해당 호스트의 성능이 저하되고, 데이터를 얻기 위한 로그인 등에 대한 설정이 번거로우며 타깃 호스트가 있는 네트워크 내의 다른 호스트들이 공격을 당해도 알 수가 없다는 단점이 있다.


둘째, 다중 호스트 기반 IDS는 여러 호스트들로부터 데이터를 제공받아 침입을 탐지하는 방식이다. 좀 더 정확한 탐지를 위해 타깃 호스트 사이의 통신을 이용하기도 한다.

셋째
, 네트워크 기반 IDS는 패킷 스니퍼(Packet Sniffer)와 패킷 모니터(Packet Monitor) 도구의 발전으로 생겨나게 됐다. 네트워크 상의 모든 트래픽에 대해 패킷을 수집하고 분석해 침입을 발견하는 일은 엄청나게 복잡한 업무다. 이를 자동으로 처리하는 것이 바로 네트워크 기반 IDS이다. 특히 권한없이 접근한다거나 권한을 초과하는 접근에 대한 탐지가 뛰어나다. 또한 네트워크 내의 호스트나 서버의 별도 설정없이 사용할 수 있으며, 파이어월처럼 라우팅 같은 중요한 역할을 담당하지 않기 때문에 오류 발생 시 큰 피해를 주지 않는다.

반면 성능에 대한 요구사항 때문에 서명분석(signature analysis)을 하는 경우가 많은데, 이는 일반적으로 알려진 공격을 탐지하는 데는 뛰어나지만 복잡한 요소를 가진 위험요소를 가진 공격을 탐지하기가 어렵다. 또한 네트워크 패킷 처리능력이 침입 탐지 시스템의 성능을 결정짓게 되므로 적합한 네트워크를 대상으로 적용해야 한다.




3.IPS 침입 방지 시스템의 약어입니다.

 사전적의미 : 침입 방지 시스템 [ 侵入防止-, intrusion prevention system ]

 네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루  션. 수동적인 방어 개념의 침입 차단 시스템이나 침입 탐지 시스템(IDS)과 달리 침입 경고 이전에 공격을 중단시키는 데 초점을 둔, 침입 유도 기능과 자동 대처 기능이 합쳐진 개념의 솔루션이다. 또한 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지하여 차단 조치를 취함으로써 인가자의 비정상 행위를 통제할 수 있다. 
 
보통 침입탐지로 알려진 침입에 대하여 차단하는 솔루션이라 할 수 있죠. 즉 탐지 내용을 방화벽에 전달하여 위험요소 연결을 차단하는 보안제품을 말합니다.

- 선차단 후처리로 즉각 대응 가능한 IPS

파이어월과 IDS의 단점을 보완하는 IPS(Intrusion Prevention System)의 핵심은 ‘능동적 보안’이다. 새로운 애플리케이션과 서비스의 출현 등으로 복잡해진 네트워크 환경의 변화에 따라 공격기법 자체도 급속히 진화하고 있기 때문에 ‘외부로부터 침입과 위협 요소를 사전에 탐지/차단하고 지능화된 각종 공격과 유해 트래픽에 대한 자동화된 보안 대응기술’이 주요 이슈가 되고 있다. 이같은 기술의 가장 대표적인 것이 바로 IPS다.


파이어월의 경우 정해진 규칙에 따라 외부에서의 접근을 차단하는 역할만을 수행하고, IDS는 탐지 중심의 솔루션이라 이상 트래픽을 탐지해도 이에 대한 조처를 취할 수 없다는 단점을 갖고 있다. 설령 내부나 외부로부터의 공격을 탐지했다고 해도, 보안 관리자가 침입을 막기 위한 조치를 취하기 시작하는 시점까지는 어느 정도의 시간이 걸린다. 이 때문에 이미 침입자에 의한 침입이 진행된 상태여서 기업은 오랜 시간과 많은 비용이 소요되는 원상복구와 수리 작업을 수행할 수밖에 없다.


이와 달리 IPS는 공격 시그니처를 찾아내고 네트워크의 트래픽을 관찰해, 수상한 활동을 하는 패킷에 조치를 취할 수 있다. 서버가 비정상적인 행동을 할 경우 자동으로 실행을 중단시킨다. 또한 기존 시스템의 오탐지가 발생하는 것을 피할 수 있도록 정확하게 침입을 구별하고 패킷을 감시하므로 빠른 성능으로 실시간 반응이 가능하도록 개발된 솔루션으로, 최소한의 구성과 커스터마이징으로 관리자의 업무를 줄여줄 수 있다.


특히 고성능 네트워크 프로세서를 장착하고 하드웨어 기반의 어플라이언스 형태로 설계돼 높은 성능을 제공하고, VIPS(Virtual IPS) 기능을 이용해 설치와 운영에서의 유연성 보장도 가능하다는 것이 장점이다.  기존 보안 솔루션의 장점을 흡수하면 발전된 IPS는 기반으로 하는 보안 기술이나 아키텍처가 업체마다 달라 초기에는 사용자를 혼란스럽게 하기도 했다. 하지만 시장에 적용되는 과정을 거치면서 기능이나 성능 등에서 일정한 범위를 갖게 됐다.


현재 IPS의 핵심기술로 가장 중요시되는 것은 급속한 증가가 예상되는 제로데이 공격(Zero-day Attack)의 위협에 대한 능동적 대응 기법과 알려지지 않은 공격(Unknown Attack)이나 이상 트래픽(Anomaly Traffic)을 효율적으로 탐지하고 방어할 수 있는 정확한 분석 기능이다.


이를 위해 IPS는 시그니처 패턴 매칭 기법과 트래픽 유형 분석, 그리고 프로토콜 분석 기능을 병행해 동작하는데, 내/외부로부터 악의적인 공격과 유해 트래픽의 실시간 탐지/차단을 위해 모든 네트워크 트래픽과 프로토콜에 대한 완벽하고 철저한 분석기능을 제공해야 한다.


특히, IDS의 단점인 오탐율 최소화와 알려지지 않은 신종 변종 공격에 효율적인 대처를 위해 패킷 기반 뿐 아니라 세션 기반 탐지 기법까지 제공해야 하며, 다양한 이상 징후 탐지(Anomaly Detection) 기법과 분석 기능 제공이 필수적이다.

- IPS의 주요 기능과 구성

IPS도 크게 호스트 기반 IPS와 네트워크 IPS로 나눌 수 있다.

호스트 IPS는

▲커널과 함께 동작해 커널 이벤트를 가로채 처리하는 방식과

▲커널과 독립적으로 작동하는 방식으로 구분된다. 커널의 이벤트를 가로채는 방식은 대부분 액세스 컨트롤의 기능을 가지고 트러스트 운영체제 제품군이고, 커널과 독립적으로 작동하는 방식은 차폐(Shielding) 기술 또는 시그니처와 행동 기반 분석 알고리즘을 탑재해, 이벤트를 관찰해 특정 규칙에 위배하는 이벤트를 필터링하는 제품으로 선보였다.

이같은 기술이 일반적인 IDS나 바이러스 백신 제품과 차이점은 규칙이나 시그니처 기반의 방어뿐만 아니라, 패킷의 행동에 의해 자동적으로 반응을 한다는 것이다. 자동적인 반응의 형태는 각 이벤트의 위험 수위에 따라 달라지며, 결정된 반응의 형태는 관리자가 조절할 수 있다. 이런 선조치 후처리 방식은 악의적인 이벤트로 인한 시스템의 피해를 최소화할 수 있다. 또한 기존의 방식인 선탐지 후조치의 관리 방식을 개선해 보안 관리자의 업무를 줄여줄 수 있다.


네트워크 기반 IPS의 핵심은 실시간 패킷 처리 속도, 오탐지를 최소화하는 기술, 변형 공격과 오용공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술이 주요하다.


- IPS를 구성하는 주요 기술은 다음과 같다.

·오탐지 또는 미탐지를 최소화하며 자동적으로 한계영역을 조절하는 실시간 적응형 알고리즘

·모든 네트워크의 활동과 애플리케이션 취약점에 대한 침입을 탐색해, 침입여부를 판단하는 결정(Deterministic)과 퍼지(FUZZY) 등의 확률 또는 인공지능 알고리즘


·DDoS 공격에 대한 방어와 감내 알고리즘


·성능이 향상된 행동 분석 알고리즘


·변형 침입 탐지와 오용 탐지의 고유 알고리즘


·다양한 종류의 방지 방법과 방식


·방지하는 방법이 정확함을 입증할 수 있는 자동화된 피드백 메커니즘


·방지 능력과 빠른 반응 속도를 위한 네트워크상의 위치 제품


·탐지와 방지 로그의 최소화 혹은 빠른 분석 속도를 위한 분류된 로그의 사용으로 향상된 로그 관리


·내부에서 외부 혹은 내부에서 내부의 침입을 막기위한 접근 권한 알고리즘


·패킷 캡처와 분석 시간, 반응 시간의 실시간 처리를 위한 성능


·하드웨어 일체형, ASIC 기반 등

IPS의 설치 위치는 보호하고자 하는 네트워크의 전단에 배치하는 것이 일반적이다. DMZ나 내부 서버팜, 그리고 내부 네트워크 적용하는 것이다. 그러나 네트워크 관리자나 보안 관리자에 의해 특정 세그먼트에 적용할 수도 있다.

IPS가 DMZ 내에 위치하게 되면 웹서버나 메일 서버를 외부 악성 공격을 방어할 수 있으며, 파이어월 앞단에 위치하면 악성공격을 실시간으로 차단함으로서 파이어월의 부하를 줄여준다. 또한 서버 팜과 연결해 외부의 공격으로부터 중요 서버들을 보호하며, 내부 네트워크에서는 내부 공격에 대응해 해킹사고를 미연에 방지할 수 있다.


구분

IDS

IPS

성격

 - Positive & Reactive 탐지와 패턴 등록후  반응

 - Active & Pro-Active 공격전 사전 차단

목적

 - 침입 여부 탐지

 - 침입 방지 목적, 침입 탐지후 적극적 대응

분석
방법

 - 시그너처 DB기반 패턴 매칭 방법
 - 알려진 공격 패턴 탐지

 -시스템 Call에 대해 정책, Rule DB기반
   비정상 행위 방지

대응
방법

 - 관리자에게 경고
 - ESM 통해 Firewall Rule Set 변경

 - 알려지지 않은 공격탐지
 - 자원 접근 차단 

 


 

 

 

 

 

 

 

 

출처 : http://blog.naver.com/pysdiamo/120042109989

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

댓글