방화벽
- 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷 확인
- 사전에 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어/소프트웨어
방화벽 기능
접근 제어
- 허용된 서비스 : 사용자가 지정한 서버, 특정 호스트를 제외하고 외부에서 접근하는 것을 packet filtering, proxy 방식 등으로 접근을 통제하는 기법
- 패킷 필터링 : 특정 송신원 주소 또는 발신원 주소 등의 정보를 바탕으로 송/수신되는 패킷을 흐름을 제어하는 것
- 프록시 : 내부 네트워크와 외부 네트워크 간의 중개자 역할
로깅과 감사 추적 ( Logging and Audit Trail )
- 시스템 내에 저장된 로그를 이용하여 허용되지 않은 접속 시도 및 연결 등을 확인 가능
인증 (Authentication)
- 메세지 인증 : VPN과 같이 신뢰하는 통신선으로 전송되는 메세지에 대한 신뢰성 보장
- 사용자 인증 : 방화벽을 지나가는 트래픽에 대한 사용자가 누군지에 대해 증명하는 기능( OTP, TOKEN )
- 클라이언트 인증 : 특수 접속의 호스트가 trust한지 확인
데이터 암호화 (Data Encryption)
- 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화하여 보내는 것
Proxy와 VPN의 공통점과 차이점을 나열하자면 VPN과 Proxy는 모두 Client의 익명성(송신 IP 변경)을 제공하고
보안적인 측면에서 사용자에게 이점을 주는데 VPN은 Client가 보낸 데이터를 Encryption을 하여 송신하지만
Proxy는 데이터 자체를 암호화하지는 않는다
방화벽의 한계
- Packet의 IP address, Port Number로 접근 제어 수행
- Packet의 payload자체를 검사하지 않음 -> 데이터 트래픽의 대역폭에 영향이 가기에
- 내부 공격 차단 불가 -> 기본적으로 내부 네트워크의 트래픽은 trusted network로 가정하기에 내부 attacker가 있다면 보안 적용 대상이 안된다.
- 새로운 형태의 공격 차단 불가 -> 미리 정해진, 알려진 공격 기법에 대해서만 방어기법이 적용된다
IDS(Intrustion Detection System)
- 공격으로 탐지된 유형에 대해서만 접근을 차단
- 방화벽 보다는 더 포괄적인 측면을 가짐
- 자원의 무결성, 기밀성, 가용성을 저해하는 비정상적인 사용과 오용, 남용 등의 행위를 실시간으로 탐지
오용 탐지 - 공격 패턴 기반 ( Rule-based )
이상/비정상 탐지 - 정상적인 네트워크 행위 기반 ( Machine Learning 등이 사용됨 )
IPS(Intrustion Prevention System)
- 지능적인 침입기술에 대비한 보안 기법
- 침입 이전에 막는 시스템
- IDS에 방화벽 차단 기능을 부가한 개념
NIDS versus HIDS
https://didimdol20.tistory.com/61
HIDS(호스트기반) / NIDS(네트워크기반) 설명 / IDS 실행 단계
안녕하세요 이번엔 저번 글에 이어 추가 내용을 써보자 합니다. IDS의 실행 단계 HIDS에 간단한 설명과 더불어 NIDS 설치단 그리고 오용 탐지 이상 탐지에 대해 글을 써보겠습니다. 먼저 IDS 실행단
didimdol20.tistory.com