모빌리티SW스쿨1기
네트워크
네트워크 보안

네트워크 보안

보안이 중요 이슈로 대두된 시기

  • 2003년 1/25에 인터넷 대란이 일어남
  • DNS가 Ddos공격을 받아서 오전 내내 도메인을 이용한 인터넷이 안됨
  • 보안 관제의 유형
    • 자체 보안 관제: 대기업이나 공공기관
    • 원격 보안 관제: 네트워크로 연결해서 관제
    • 파견 보안 관제: 외부 업체의 직원 이용
  • 악성 코드 감염이 발생하면서 이슈가 됨

보안 조직 구성

  • 구성 팀
    • 정보보호기획
    • 개인정보보호
    • 정보보안운영
    • 정보보안대응
  • 관제 방안
외부망 <-> 라우터 <-> 방화벽 <-> TAP(트래픽을 복사) <-> Switch <-> 호스트
                     방화벽 <-> 보안관제망 <-> TAP에서 복사한 내용을 IDS를 통해 모니터링
  • 보안 관제 센터 구성 시 고려사항
    • Control Center: 출입 통제나 관제 상황판
    • 통합 보안 관리 시스템(ESM): 모니터링 대상이나 기능 확장
    • 통합 로그 분석 시스템(SIEM): 로그 수집 대상 파악 및 로그 저장소와 분석 시스템, Data Pipeline 구성
    • 방화벽: 트래픽의 양을 고려
    • 침입 탐지 차단 시스템(IDS/IPS): 위치를 고려
    • 네트워크 접근 제어 시스템(NAC): 호스트에 대한 접근 통제 방식

사이버 보안 침해 시 대응 프로세스

  • 예방
  • 탐지 및 분석
  • 대응
  • 포렌식: 증거 수집

사이버 위협 경보

  • 정상(녹색)
  • 관심(파랑): 취약점이 누출되서 공격이 예상되는 상태
  • 주의(노랑): 피해가 발생한 상태
  • 경계(주황): 피해가 커지고 있는 상태
  • 심각(빨강): 통신망에 장애가 발생한 상태

네트워크 배경 지식

네트워크 유형

  • PAN(Personal): 개인 장비 연결, 무선 연결을 많이 사용
  • LAN(Local): 하나의 사무실이나 건물
  • MAN(Metropolitan): 네트워크 구성을 직접 한 경우
  • WAN(Wide): 네트워크 구성을 직접 하지 않고 이미 구성된 망을 이용

네트워크 구성

  • 외부망 없이 스위치와 허브를 이용해서 독립된 네트워크 구성
  • 라우터와 스위치를 이용해서 외부망과 내부망을 연결한 네트워크 구성
  • VLAN을 이용해서 논리적인 네트워크 분할

ARP(Address Resolution Protocol)

  • IP주소를 MAC주소로 변환하는 프로토콜
  • IP는 3계층 주소라서 컴퓨터를 구분하는 것이지 실제 데이터를 전송받는 NIC를 구분하지 못하기 때문에 변환 작업이 필요
  • 변환 작업에 이용되는 프로토콜
  • ReverseARP는 반대로 MAC주소를 IP주소로 변환해주는 프로토콜

ICMP(Internet Control Message Protocol)

  • 노드 간에 발생하는 에러 상황이나 통신 제어에 관한 내용을 전달하기 위한 프로토콜

네트워크 보안 시스템

  • Firewall(네트워크 침입 차단 시스템)

    • 외부로부터 불법적인 접근이나 공격을 방어하기 위해서 내부 네트워크와 외부 네트워크가 연결되는 접점에 구축하는 보안 시스템
    • 4계층에서 동작하는 패킷 필터링 장비
    • 3, 4계층 정보(IP, Port)를 기반으로 정책을 세울 수 있고 해당 정책과 매치되는 패킷이 방화벽을 통과할 때 허용(allow, permit)할 수 있고 거부(Deny)할 수 있음
    • 3, 4계층에서 동작하고 세션을 인지하는 상태 기반 엔진(Stateful Packet Inspection - SPI)로 동작
    • 초기 방화벽
      • SPI를 가지고 있지 않음
      • 패킷의 인과 관계를 확인하지 못하고 단순하게 정책만으로 패킷을 필터링
      • 패킷의 5-tuple(Source IP, Destination IP, Protocol Number,Source Port, Destination Port)을 확인
      • 불특정 다수가 들어오는 인터넷 통신의 경우 정책이 너무 복잡해지고 3,4 계층 헤더를 변조하면 적절한 방법이 불가능
      • IP들만 막으면 되는 경우에는 사용
      • 최근에는 외부에서 들어오는 데이터에서 통신을 시도해 받은 응답과 외부에서 내부로 직접 들어오려는 패킷을 구분할 수 있는 SPI(방향성)를 이용

  • IDS/IPS

    • IDS(Instrusion Detection System - 침입 탐지 시스템)와 IPS(Instrusion Prevention System - 침입 방지 시스템)은 방화벽에서 방어할 수 없는 애플리케이션 공격을 방어하는 장비
    • 예전에는 두 가지를 구분했는데 지금은 구분하지 않고 IPS라고 함
    • 사전에 공격 데이터베이스를 제조사나 위협 인텔리전스 서비스 업체로부터 받아서 장비에 들어온 패킷이 공격 데이터베이스에 해당하는 공격일 때 차단하거나 모니터링 한 후 관리자에게 알람을 보내서 조치를 취하도록 하는 장비
    • 예전에는 블랙리스트 기반이었는데 최근에는 화이트리스트 기반도 등장

  • WAF

    • Web Application Firewall는 웹 서버를 보호하는 전용 보안 장비
    • HTTP나 HTTPS처럼 웹 서버에서 동작하는 웹 프로토콜의 공격을 방어
    • IDS/IPS에 비해서 범용성은 떨어지지만 웹 프로토콜에 대해서는 더 세밀히 방어
    • 전용 네트워크 장비, 웹 서버의 플러그인, ADC 플러그인, 프록시 장비와 같이 다양한 형태의 장비나 소프트웨어로 제공
    • IPS에서 방어할 수 없는 IPS 회피 공격을 방어할 수 있음
    • IPS는 데이터를 조합하지 않고 처리하지만 WAF는 프록시 서버와 같이 패킷을 데이터 형태로 조합해서 처리하기 때문에 회피 공격을 쉽게 만들기 어렵고 데이터의 일부를 추가하거나 수정하는 기능을 수행 가능
    • 공격 트래픽을 방어만 하지 않고 공격자에게 통보하거나 민감한 데이터가 유출될 때 그 정보만 제거해서 보내줄 수 있음

  • DDoS 방어 장비

    • DoS(Denial of Service)은 다양한 방법으로 공격 목표에 서비스 부하를 가해서 정상적인 서비스를 방해하는 공격 기법
    • DoS는 IP주소 기반으로 회피가 쉬움
    • 다수의 봇을 이용해서 분산 공격을 수행하는 것이 DDos
    • DDoS 방어 장비는 데이터 센터 네트워크 내부와 외부의 경계에서 공격을 방어하는데 공격은 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜서 회선 사용을 방해하는 공격이므로 회선을 공급해주는 ISP(인터넷 서비스 제공자)나 ISP와 연결되는 데이터 센터 네트워크의 가장 바깥쪽에 위치시켜 이 공격을 완하해야 함

  • NAC

    • NAC(Network Access Control)은 네트워크에 접속하는 장치들을 제어하기 위해 개발
    • 네트워크에 접속할 때 인가된 사용자만 내부망에 접속할 수 있고 인가받기 전이나 승인에 실패한 사용자는 접속할 수 없도록 제어하는 기술
    • 내부 PC를 잘 관리하고 보안 패치를 신속하게 수행하더라도 외부 PC가 내부망에 접속해서 보안 사고를 일으키거나 악성 코드를 전파하는 일이 많이 발생해서 이를 해결하고자 개발

  • IP제어

    • 보안 사고 추적이 쉽도록 고정IP 사용 권고 지침이 금융권에 내려오면서 IP를 할당하고 추적하는 솔루션이 필요해서 등장

  • UTM(Unified Threat Management)

    • 다양한 보안 기능을 하나로 패키지화한 시스템
OSPFACL