6장 보안 초보 입문
6-1장 네트워크 보안 접근 방법
- 네트워크 보안 3가지 관점
보안 전체의 관점
네트워크 외부에서의 관점
네트워크 내부에서의 관점
- 보안 전체의 관점
무엇을 보호할까?
중요한 Web, FTP, 음성서버, DB서버등을 보호
기업의 중요 정보를 보호 해야하고 정보유출을 막아야 한다.
무엇으로부터 보호할까?
외부로부터의 범행을 대비
패킷 도청, 스푸핑등을 주의
내부의 범행을 대비
바이러스 같은 내부 발생 범행을 주의
6-2장 무엇으로부터 보호할까?
- 외부로부터의 범행 5가지
부정 침입
정보 도청
스푸핑
DoS 공격 (Denial of Service) 서비스 거부 공격
컴퓨터 바이러스
- 부정 침입
서버 부정 침입하여 Hard Disk, 리소스 등 자원을 부정으로 사용
- 정보 도청
네트워크상의 데이터가 통과하는 것을 가로채 전자 우편, 암호, 신용카드
번호 등의 정보를 도용할 염려가 있음
- 스푸핑
정보 도청으로 얻은 정보로 불법 사용하는 행위
- DoS공격
네트워크나 서버, 호스트와 같은 단말로 대량의 데이터를 보내는 악질적인 행동으로 네트워크나 서버, 호스트에 부하가 많아지고 정상적인 데이터 처리가 불가능해진다. 이러한 DoS공격을 DoS어택이라고도 한다.
- 컴퓨터 바이러스
데이터나 시스템 자체를 파기하고 업무를 진행 불가하게 만든다.
증상 4가지
PC 동작 속도가 매우 느려진다.
시스템 자체가 갑자기 다운되어 기동 부락
대량의 데이터가 네트워크로 전송된다.
전자 우편에 바이러스가 첨부되어 임의로 송신된다.
Network 최종정리
외부범햄 (부정침입, 정보도청, 스푸핑, DoS공격, 컴퓨터 바이러스 등등)
6-3장 외부 범행의 대책
- DMZ (Demilitarized Zone, 비무장 지대)라고 써 있는 부분이 여기에 속한다.
DMZ는 공개용 서버를 설치하는 전용 공간
외부와 내부에서 격리된 공간 -> DMZ
DMZ를 만들기 위해선 방화벽이 필요하다.
- 방화벽이란?
외부와 내부의 분계점, 즉 접속점으로 데이터의 입출력 제어를 한다.
DMZ와 내부, 외부를 가르기 위한 Equipment로서 3가지 경계를 가진다
사내 네트워크(신뢰 네트워크라고도 함)
외부 네트워크(비신뢰 네트워크라고도 함)
DMZ
- 방화벽 타입
소프트웨어 제품
각 OS에 맞는 소프트웨어 제품을 써야 한다.
맞지 않는 걸 쓴다면 동작 하지 않는다.
하드웨어 제품
Network Appliance라고 한다.
Network Appliance는 특정 용도로 제작된 전용 장치를 말한다.
하드웨어와 OS에 방화벽 소프트웨어가 미리 설치된 제품이다.
- 방화벽의 주요 기능
액세스 제어(필터링)
악의적인 부정 액세스로부터 사내 네트워크를 보호한다.
특정 패킷은 허용, 그 이외의 패킷은 허가하지 않는다
사내 네트워크 -> 외부 네트워크
사내에서 허락된 애플리케이션 패킷만 통과를 허가
외부 네트워크 -> 사내 네트워크
사내에서 허가된 애플리케이션이나 사내 네트워크에서 외부로 송신후, 다시 돌아오는 패킷만 통과를 허가
외부 네트워크 ->DMZ
공개 서버의 애플리케이션 패킷만 통과를 허가
DMZ -> 외부 네트워크
공개 서버의 애플리케이션에 송신되었다 다시 돌아오는 패킷만 통과 허가
주소 변환 ->NAT/NAFT
- 로그 수집
로그의 수집과 감시를 통해 부정 액세스 검출
의심 액세스 추적, 특정 사용자의 행동 이력의 검사,
내부 통제나 보안 대책 등에 필요한 서버 액세스
이력의 수집이나 보관도 이루어진다.
!!! 칼럼 공개용 서버의 DB 서버는 DMZ에 설치하지 않는다.
사용자 계정 정보등 신뢰가 중요한 정보들을 위해 Trusted Zone에 보호하자
- 포트 번호
IP 주소가 집 주소에 해당되는 것과 같이 포트번호는 방문에 해당된다..
애플리케이션 계층에 해당된다.
방화벽에도 한계는 있다.
컴퓨터 바이러스
백신 주입이 해결책
안티 바이러스 소프트
백신보다는 Network Appliance제품을 도입하는 것이 좋다.
사내 네트워크(내부)로부터의 공격
자신을 경우 하지 않는 데이터는 취약하다.
6-4장 ‘무엇으로부터 보호할까?’
내부 범행에 대비
- 네트워크 사용자 증가
- 정사원 이외의 사람도 같은 사무실에서 업무
- 정보의 가치가 높아짐
- 내부 범행
부정 침입
정보 도청
Spoofing
컴퓨터 바이러스
정보 유출
- 내부 범행 대책(사용자 인증)
ID와 Password를 이용한 액세스
- 인증 서버를 통한 인증
인증 서버에 ID와 Password를 저장한 후에 인증하는 시스템
인증서버를 구축하는 3가지 경우
다수의 사용자를 관리해야 한다.
등록한 사용자별로 상세한 권한을 설정해야 한다.
사용자가 액세스를 시작한 시각이나 로그아웃 시각등의 로그를 남겨야 한다.
- 네트워크 기기에 의한 인증(로컬 인증)(
네트웍 기기 자체가 가지고 있는 인증DB로 인증하는 방법이다.
여기서 네트워크 기기는 (라우터나 스위치를 의미)
- 정보 데이터의 암호화
실제로 최악의 경우 공격자가 실제 서버의 접속한 경우를 대비한 대처가 필요하다
방법은 중요한 정보를 암호화하고 정보 자체에 액세스 컨트롤 하는 것
암호화 소프트로 부호화 하고, 사용시 복호화를 하여 사용하는 방식
- 물리 보안
사내에 플랩게이트나, 카드리더등을 설치, 지문인식, 랙 잠금 등이 있다.
Network 최종정리
- 내부범죄 (부정침입, 정보도청, 스푸핑, 컴퓨터 바이러스, 정보 유출)
- 내부 네트워크를 보호하기 위해 본인인증 필요
- 네트워크 사용자 인증방법 2가지
인증서버를 통한 인증
네트워크 기기를 통한 인증(로컬 인증) 라우터나 스위치를 사용
- 기밀 정보를 암호화
- 서버룸 출입 허가와 지문 등으로 물리 보안을 고려해 두는 것이 효과적
6-5 고속화 네트워크 활용에 대응
- 방화벽에서 UTM으로
외부에서의 침입을 검지하는 IDS(Intrusion Detection System:침입 검지 시스템)
IPS (intrusion Prevention System: 침입 방지 시스템)
차단 기능을 가진 바이러스 대책, 스팸 대책을 마련하기 위한 제품
IPS는 방화벽과 달리 패킷 헤더 부분뿐만 아니라 데이터 부분의 내용도 확인하며, 부정데이터라고 판단된 패킷을 차단한다.
UTM(Unified Threat Management:통합 위협 관리)
방화벽 + VPN 기능을 기반으로 구축
안티바이러스, 부정 침입 방지, 웹콘텐츠 필터링 등 여러 보안기능 통합장치
설정 간편, 저비용 구현 가능
성능이나 확장성 면에서 떨어짐
- Application 제어 시대로
Application이용형태가 크게 변화
방화벽은 포트 기반으로 액세스를 제어, 허가된 포트는 모든 애플리케이션이 이용
가능한 상태가 된다
- Application ‘필요’와 ‘불필요’판단은 사용자나 조직에 따라 다르다
네트워크상 어떤 Application이 사용되는가?
네트워크의 어떤 장소에서 많은 대역이 사용되고 있을까?
또 많이 사용하는 헤비 사용자는 누구일까?
어떤 나라에서 들어오는 트래픽일까?(미국? 중국? 북한?)
위 3가지를 고려한 최종 문제 ‘어떤 Application을 허가해야 하는가?’
현대의 네트워크를 보호하기 위해서는 Application 레벨의 식별과 제어가 필요
- 차세대 방화벽에서는?
Ip 주소뿐만 아니라 사용자나 그룹 단위로 구별가능
포트 번호나 프로토콜이 아닌 Application으로 식별 가능
Application과 함계 통과하는 위협이나 중요 데이터를 실시간으로 검지하고 방어할 수 있다.
Application의 우선순위를 결정할 수 있다.
사용자의 애플리케이션 사용 가시화와 액세스 제어를 실현할 수 있다.
- 차세대 방화벽 동작 3가지
식별, 분류, 제어
- 식별 단계에선 여러 Application을 식별하고
- 분류 단계에선 사용자/그룹과 멀웨어 차단
- 제어 단계에선 중요 Application에 대역을 우선 할당하고
허가된 Application에는 대역폭을 관리, 허가되지 않은 Application에는 차단을 부여
