네트워크(Network) - 보안 장비 - 공부 내용 정리

Photo by Robynne Hu on Unsplash

1. 정보 보안의 의미

 보안의 의미는 "안전을 유지함"이다. 외부나 내부에서 위험이 생기거나 사고가 나지 않도록 유지하는 것을 말한다. 이 의미에 정보를 붙였다. 즉 정보의 안전을 유지하는 것을 말한다. 자세히 말하면 정보보안은 정보를 수집, 가공, 저장, 검색, 전송, 수신하는 도중에 정보가 훼손, 변조 유출을 막기위한 관리나 기술적인 방법을 말한다. 정보를 침해하는 행동을 방어하고 전송하고 수신하는 과정에 생기는 사고를 막는 것이다.

 

 보안을 정의할 때 필수 요소들이 있다. 바로 기밀성, 무결성, 가용성이다.

 

1) 기밀성

 - 인가되지 않은 사용자가 정보를 접근하지 못하게 하는 것이다. 

2) 무결성

 - 정확하고 완전한 정보 유지에 필요한 작업을 말한다.

3) 가용성

 - 정보가 필요할 때, 접근을 허락하는 작업을 말한다.

 이 3가지 이외에서 진정성, 책임성, 부인방지, 신회성 유지를 정보유지 활동 중에 하나로 정의하기도 한다.

 

 정보보안을 생각할 때 단순히 우리가 사용하는 정보에 대해서 사고날 이슈가 없도록 지키는 것만 생각할 수 있다. 하지만 어떤 이유에서든지 정보를 사용할 수 없는 상황이 온것도 정보 보안에 대해서 실패한 것이다.

 

---

2. 방화벽

 방화벽은 네트워크 중간에 위치해 해당 장비를 통과하는 트래픽을 사전에 설정한 정책 조건에 맞추어서 패킷을 허용하거나 차단하는 장비이다.

 

 초기의 방화벽은 패킷의 세션정보나 방향성에 상관없이 방화벽에 설정된 정책에 따라서만 동작했다. 패킷이 들어오게 되면 3, 4계층 헤더중에 Source IP, Destination IP, Protocol No, Source IP, Destination IP (5-튜플) 5가지 주요 필드를 확인해서 방화벽의 정책과 일치하면 허용하고 아닌 경우는 차단했다. 하지만 헤더를 변조해서 공격을 하면 방어가 힘들었다.

 

 그래서 기존의 방화벽의 단점을 극복하기 위해서 현재에는 세션 기반으로 동작하는 상태 기반 엔진을 탑재한 상태 기반 방화벽을 사용하고 있다. 상태기반 엔진은 패킷의 인과 관계와 방향성을 인지해서 정책을 적용할 수 있다.

동작방식

1. 패킷이 들어오면 세션 상태 테이블을 확인

2. 조건에 맞는 세션 정보가 테이블에 있을 때, 포워딩 테이블을 확인 (7번으로)

3. 조건에 맞는 세션 정보가 테이블에 없는 경우는, 방화벽 정책을 확인

4. 방화벽 정책은 맨위에서 부터 마지막까지 다 확인한 후 없을 때, 거부 규칙을 참고해 차단함

5. 허용 규칙이 있으면 세션 테이블에 내용을 작성

6. 포워딩 테이블을 확인

7. 조건에 맞는 정보가 포워딩 테이블에 있을 때, 패킷을 포워딩

8. 조건에 맞는 정보가 포워딩 테이블에 없는 경우는 패킷을 폐기

---

3. 칩입 탐지 시스템(IDS), 침입 방지 시스템(IPS)

 IDS(Instrusion Detection System)은 공격자가 시스템을 해킹 할 때 탐지를 목적으로 개발된 시스템이다. 탐지가 목적이기 때문에 공격에 개입해서 방어하기 보다는 트래픽을 복제해서 검토하고  침입여부를 판별한다. IPS(Instrusion Prevention System)은 IDS는 반대로 공격이 오면 직접 차단하는 기능을 가진 장비이다. 

 

IPS는 데이터베이스를 사용한 패턴 매칭 방식이나 프로토콜 / 프로파일 어노말리 기법으로 공격을 방어한다.

 

1) 패턴 매칭 방식

 IPS는 기존 공격이나 취약점을 통해서 공격 방식에 대한 데이터베이스를 습득한다. 해당 내용을 최신상태로 유지하면서 공격을 파악하는 기술을 말한다. 늘 최신의 공격방식을 데이터베이스에 반영하는 것이 중요하다.  예를 들어서 xxxx.ffff.xxdesfXXX와 같은 특정 문자열을 모니터링 하고 있다가 내가 보유하고 있는 데이터 베이스에 매칭되는 패킷이 들어오면 공격을 방어한다.

2) 어노말리

 어노말리는 분명한 공격이 파악되지 않아도 특정 기준 이상의 행동이 발견되면 이상으로 판단하고 방어를 한다. 

 

 우선 프로파일 어노말리는 평소 관리자가 정해놓은 기준이나 장비가 모니터링해서 정해놓은 기준과 다른 행위가 발생하면 공격으로 판단한다. 예를 들어서 평소에는 패킷이 100KB만큼으로 오다가 갑자기 수십MB 이상의 트래픽이 발생하는 경우 평소와는 다른 행동에 대해서 초점을 맞춘다.

 

 그리고 프로토콜 어노말리는, 예를 들어 좀비 PC가 외부와 공격을 위해서 통신을 할 때, 잘 알려진 포트를 사용하지만 실제로는 해당 서비스 포트에서 동작하는 프로토콜이 아니라 다른 프로토콜을 사용하는 경우가 흔하다.  그래서 잘 알려진 포트와 실제로 통신하는 프로토콜이 다를 때, 이것을 파악해 적절히 제어하는 기법을 말한다.

---

4. DDoS 방어 장비

 공격방식중에 DoS(Denial of Service) 공격이 있다. 정상적인 서비스가 불가능 하도록 하는데에 초점이 맞추어져 있다. 하지만 나쁜 사람 혼자서 서비스에 무리를 주는 공격을 하는 것은 어렵기 때문에 다수의 공격자를 만들어서 분산형 DoS공격 방식이 DDoS이다. DDos 장비는 볼류메트릭 공격을 방어하기 위해 트래픽 프로파일링 기법을 사용하고, 공격정보를 수집한 데이터 베이스를 활용하기도 한다.

볼류매트릭 공격
- 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜서 회선을 사용하지 못하도록 방해하는 공격

 프로파일링 기법은 평소 데이터 흐름을 습득해서 해당 데이터와 일치하지 않는 과도한 트래픽이 발생하면 알려주고 차단을 하는 방식이다. 데이터베이스 기반은 이전에 설명한 방식 처럼 동작한다.