안녕들 하시죠 !

이번시간에는 방화벽과 웹 방화벽에 대해 알아보겠습니다.

1. 방화벽 

1.1. 방화벽이란?

침입 차단 시스템 으로써 네트워크를 내부, 외부로 분리시켜 비인가자나 악의적인 사용자의 침입을 방지하는 역할을 한다.

OSI 7 Layer의 Network, Transport Layer를 방어한다.

1.1.1. 구축이점

ㆍ 내, 외부 네트워크의 분리로 인한 정보자산 보호

ㆍ 방화벽을 통과하는 트래픽에 대응 

ㆍ IP와 PORT 기반으로 외부의 접근 통제

1.2. 방화벽의 역사

1.2.1. ( 1세대 ) Packet Filtering 

패킷 필터링 방식은 OSI 7계층의 3계층( Network Layer )과 4계층( Transport Layer ) 에서 동작한다.

IP / PORT 기반으로 미리 정의해둔 룰을 기반으로 패킷을 필터링 하며 내부 세션은 관리하지 않는다.

정책을 기반으로 하기에 느리고 우회접근, 패킷 헤더 조작, TCP 헤더의 Data 영역을 확인하지 않기 때문에 바이러스에 감염된 메일에 취약.

1.2.2. ( 2세대 ) Stateful Inspection

패킷 필터링의 단점을 극복하기 위해 나온 방법이다.

패킷 단위의 검사가 아닌 세션 단위의 검사를 한다. 

네트워크 트래픽과 관련된 모든 상태 채널을 상태목록에 유지시킨 후 누가, 언제, 어느 때 사용하였는지, 어느 때 거절 당했는지, 어떤 경로를 통해 접속 하였는지 등에 대해 분석하고 패킷의 수락 여부를 결정하는 방화벽.

1.2.3. ( 3세대 ) 어플리케이션 방화벽

패킷 필터 기능의 방화벽으로는 일상적인 트래픽과 같은 진화하는 공격 패턴을 막기 어려워지면서 출현한 방화벽.

IPS, 웹 방화벽( WAF ) 등이 있으니 WAF의 예로 2. 웹 방화벽에서 알아보겠다.

1.3. 방화벽의 기능

1.3.1. 접근제어

방화벽의 가장 기본적인 기능.

누가 또는 무엇이 어떠한 객체에 접근할 수 있는지를 정의하는 개념과 동시에 그러한 것을 구현하게 해주는 것.

IP, Portservice, Protocol에 대한 통제.

1.3.2. 인증

다중 사용자 시스템 또는 망 운용 시스템에서, 시스템이 단말 로그인 정보를 확인하는 보안 절차.

인증 서비스는 통신이 신뢰성을 갖도록 보증하는 것이 중요.

1.3.3. 로깅 및 감사추적

방화벽을 지나간 허가나 거부된 접근에 대한 기록을 유지하여 사고가 있을 시 추적.

방화벽을 경유하는 네트워크와 네트워크로의 트래픽 내용을 일정한 형식에 맞추어 기록.

관리자의 입장 : 로깅된 데이터를 이용하여 다른 정보를 분석, 유추, 침해사고 발생 시 이를 해결 할 수 있는 정보를 얻음.

1.3.4. NAT

Network Address Translation으로 내부 네트워크 주소를 외부 공인 네트워크 주소로 외부 사용자가 내부에 존재하는 서버의 접속을 위한 네트워크 주소

2. 웹 방화벽( WAF )

Web Application Firewall 웹방화벽은 일반적인 네트워크 방화벽과는 달리 웹 어플리케이션 보안을 위한 솔루션이다.

HTTP 트래픽을 검사하여 보호 대상 홈페이지 서버로 유입되는 해킹을 차단하는 정보 보호 시스템이다.

최근 웹 해킹으로부터 피해를 방지하기 위하여 홈페이지 서비스를 암호화하여 HTTPS로 서비스하는 홈페이지가 늘어나고있다.

하지만 방화벽, IDS, IPS와 같은 솔루션들은 암호화된 통신내용을 복호화 할 수 없어 웹 방화벽의 역할이 중요해지고 있다.

OSI 7 Layer의 Application Layer에 위치하고 SQL Injection, XSS 등과 같은 웹 공격을 탐지하고 차단하는 것이다.

직접적인 웹 공격 대응 이 외에도, 정보유출 방지 솔루션, 웹 사이트 위변조방지 솔루션 등으로 활용이 가능하다.

웹 방화벽 또한 방화벽과 같이 진화를 거듭해왔다.

2.1. 웹 방화벽의 역사

2.1.1 1세대 웹 방화벽

블랙 & 화이트 리스트를 병행하는 방식으로 사용되었다.

관리자가 직접 생성 및 관리를 해야했고, 매우 큰 관리 부담으로 다가왔다.

공격유형이 다양해짐에 따라 등록된 시그니처의 수가 늘어나 성능이 저하되는 문제도 발생하였다.

2.1.2 2세대 웹 방화벽

보호 대상 웹 어플리케이션을 몇 주간의 모니터링을 통해 분석하여, 화이트리스트 생성을 자동으로 처리해주는 것이 특징.

관리자가 최종 검토 및 관리를 해야했기에 부담은 여전했고 빠르게 변화하는 웹 환경에 존재하는 다양한 웹 공격 유형을 파악하지 못했기에, 성능 저하 및 오탐 이슈를 피할 수 없었다.

2.1.3 3세대 웹 방화벽

'지능형 웹 방화벽'

웹 공격 유형별로 블랙리스트 탐지, 화이트리스트 탐지 및 웹 트래픽 컨텐츠 분석 등의 기법들을 결합하여 공격을 탐지하기에 오탐을 대폭 줄일 수 있다. 또한 특정 공격 유형의 새로운 변종 공격의 경우 최소한의 시그니처 추가 만으로 변종 공격의 방어가 가능하다.

때문에 훨씬 효율적인 관리가 가능하다.

참고 ASTSOFT 「방화벽과 웹 방화벽의 차이」

PentaSecurity.co.kr 「웹 방화벽이란?」

jeongchul.tistory.com

안녕들 하시죠 !

오늘은 보안솔루션 IPS 와 IDS에 대해 알아보겠습니다.

1. 방화벽의 한계

일반적으로 방화벽을 도입하면 모든 종류의 위협을 차단할 수 있다고 생각합니다.

방화벽은 필수적인 보안솔루션임에는 틀림없지만 실질적으로 IP와 포트( TCP/IP 프로토콜 상에서 Network Layer 의 IP address 및 Transport Layer 의 Service port ( HTTP : 80 포트) )를 기반으로하는 차단 솔루션 이기에, 외부에서 내부로 반드시 들어와야 하는 서비스 ex) 이메일, 웹 서비스 와 같은 경우 악의적인 사용자에 대한 식별이 불가능합니다.

이를 보안하기 위한 솔루션의 필요성이 생겨났습니다.

2.  IDS ( Intrusion Detection System )

IDS는 자체적으로 내장된 각종 해킹수법을 기반으로 한 룰과 트래픽 ( TAP 이라는 원본 트래픽을 손실이나 변조없이 복사해주는 이라는 장비를 이용)을 비교하여 컴퓨터시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 네트워크 기반의 보안솔루션입니다.

트래픽 ?

트래픽(traffic)은 '교통' 이라는 영단어이다. 컴퓨터 용어에서 트래픽은 전화나 인터넷 연결선으로 전송되는 데이터의 양을 말한다.

트래픽 양이 많다는 것은 전송되는 데이터의 양이 많다는 것을 뜻한다.

트래픽이 너무 많으면 서버에 과부하가 걸려서 기능에 문제가 생기기도 한다.

참고 「네이버 지식백과」

2.1. 기능

ㆍ 침입 탐지 시스템

ㆍ 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지

ㆍ 탐지된 불법 행위를 구별하여 실시간으로 침입 탐지

ㆍ 정상 트래픽의 흐름을 간섭하지 않고 단지 감시하는 기능을 제공

- TAP을 이용한 원본 데이터를 복사하여 검사하여 보안상의 위협 찾기

ㆍ 데이터 수집, 데이터 필터링 및 축약, 침입 탐지, 책임 추적성과 대응

2.2. 사용 목적

ㆍ 단순 접근 제어나 방화벽 등의 침입차단 시스템의 탐지 기능 한계

ㆍ 인증된 사용자나 이를 가장한 침입자의 공격 대비

ㆍ 침입 경로의 다양화, 해킹 수법의 고도화에 대한 대비

참고 「K-Shield Jr. 기술보안 운영」

침입 탐지 시스템( IDS )는 90년대 말부터 방화벽과 함께 많이 도입이 됬지만, 정상적인 트래픽임에도 불구하고 악성트래픽으로 오인하는 경우가 있고 대규모 네트워크에서 사용하는데 곤란하고 새로운 침입기법에 대한 즉각적인 대응이 곤란합니다.

IDS는 보안사고에 근본적인 해결책이 되지 못하며, 정비성능이 안정화되고 수준이 올라감에 따라 탐지만 하는것이 아닌 사전에 침입을 방지하는 시스템의 필요성이 대두되었습니다.

그런 필요성으로 인해 침입탐지, 안티 바이러스와 같은 Signature 기반의 기술들과 방화벽과 같은 네트워크 기반의 차단 솔루션을 논리적으로 결합한 방식의 솔루션( IPS )이 나오게 됩니다.

3. IPS ( Intrusion Protection System )

침입 방지 시스템으로써 자체적으로 내장된 각종 해킹수법을 기반으로 비정상적인 트래픽에 대해 능동적으로 해당 트래픽을 차단, 격리 등 방어조치를 취하는 보안 솔루션이다.

3.1. 기능

ㆍ 침입 차단 시스템

ㆍ OS나 Application의 취약점을 능동적으로 사전에 예방

ㆍ 외부에서 내부 네트워크로의 침입 방지

ㆍ 위험 인지와 시스템 인지를 통해 능동적인 방어 제공

ㆍ 비정상적인 트래픽 차단

IPS는 방화벽이 검사할 수 없는 Application 상위 계층까지 검사할 수 있습니다.

방화벽에서 검사할 수 없는 영역인 패킷의 Application Data영역을 좀 더 심도있게 분석한다는 의미로 DPI( Deep Packet Inspection) 이라는 용어가 사용되고 있습니다.

상위계층을 검사하면서 성능 유지 및 트래픽의 지연이 발생하지 않도록 하기위해 상대적으로 고사양 하드웨어를 사용하고, 지속적인 악성코드 탐지 시그니쳐를 업데이트해야 하기 때문에 방화벽에 비해 값이 비쌉니다.

IPS의 주요기능은 방화벽으로 차단할 수 없는 트래픽의 Application Data에 포함된 해킹/악성코드/비정상 트래픽을 추출하여 차단하는 것입니다.

이러한 기능은 시그니쳐 기반 과 비정상 탐지 기술로 나누어 집니다.

시그니쳐 기반 기술의 개념은 V3같은 안티바이러스와 유사한 방식이며, 이미 발견되고 정립된 공격패턴을 미리 입력 및 DB화 해두고, 거기에 해당하는 패턴을 탐지하게 되었을때 이를 알려주는 것입니다. 

탐지 오판율이 낮고 효율적이나, 알려지지 않은 공격에는 효과적이지 않으며 대량의 자료를 분석하는데에는 부적합하고 어떤 순서로 공격했는지에 대해 알기 어렵습니다.

비정상 탐지 기술은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입 탐지를 알리는 것입니다.

평균적인 상태에 대비한 이상상태를 추정하여 탐지하는 것이므로 오탐율이 높은 단점이 있습니다.

이부분은 오탐율을 낮출 수 있는 인공지능을 적용한 형태로 발전중입니다.

실 환경에서는, 시그니쳐 기반 기술로 탐지 및 차단 정책을 적용하고 있으며 비정상 탐지기술은 탐지기능만을 적용하여 관리자가 탐지된 정보를 기반으로 분석 및 수동 조치하는 식으로 운영한다고 합니다.

IDS/IPS의 설치 구간 제약은 없으나, 일반적으로 인터넷 구간의 방화벽 뒷단에 설치하여 방화벽 차단정책으로 필터링할 수 없는 트래픽을 좀더 자세하게 탐지하여 차단하는 형식으로 구성하여 사용자 및 서버를 보호하는 역할을 수행합니다.

국내의 대표적인 IPS 제품으로는 AhnLab의 TrusGuard IPX, 맥아피의 NSP, 시스코의 NGIPS, 시큐아이의 SECUI MFI New Edition, 포티넷의 포티게이트, 윈스의 스나이퍼 IPS 등이 있습니다.

오늘은 여기까지입니다 감사합니다 !

참고 AhnLab 전문가 칼럼 조육왕 「방화벽이 모든 것을 차단할 수 없다면 ?」

「K-Shield Jr. 기술보안 운영」