리팩토링

리팩토링 8주차 Firewall, IDS, IPS, DDoS

idea5021 2024. 9. 6. 12:49
목차

1. Firewall


2. IDS


3. IPS


4. DDos

 

 

1. Firewall

  • 방화벽(Firewall)은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는(IP와 포트번호를 통해서) 네트워크 트래픽을 모니터링 하고 제어하는 네트워크 보안 시스템
  • 일반적으로 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 간의 장벽을 구성하여, 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열, 수정하는 등의 기능을 갖춘 소프트웨어 또는 그러한 소프트웨어를 구동시키는 하드웨어 장치를 말함

방화벽

 

방화벽의 기능

  • 접근 통제(Access Control)
    - 허용된 서비스나 전자우편 서버, 공개정보 서버와 같은 특정 호스트를 제외하고는, 외부에서 내부 네트워크에 접속하는 것을 패킷 필터링(Packet Filtering), 흐록시(Proxy) 방식 등으로 접근을 통제하는 기능
  • 인증(Authentication)
    - 메시지 인증 : VPN과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메시지 신뢰성 보장
    - 사용자 인증 : 방화벽을 지나가는 트래픽에 대한 사용자가 누군지에 대해 증명하는 기능
     (OTP, 토큰기반 인증, 패스워드 인증 등)
    - 클라이언트 인증 : 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트에 대해 인가된 호스트인지 확인

  • 감사 및 로그 기능(Auditing / Logging)
    - 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단과 관련된 사항 등 접속 정보를 로그로 남김

  • 프라이버시 보호(Privacy Protection)
    - 이중DNS(Dual Domain Name System), 프록시(Proxy) 기능, NAT 기능 등을 제공함으로써 내부 네트워크와 외부 네   트워크 간의 중재자 역할을 함으로써 내부 네트워크의 정보 유출을 방지함

  • 서비스 통제(Service Control)
    - 안전하지 못하거나 위험성이 존재하는 서비스를 필터링함으로써 내부 네트워크의 호스트가 가지고 있는 취약점을 감소시킴

  • 데이터 암호화(Data Encryption)
    - 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화하여 보내는 것으로, 보통 VPN의 기능을 이용

방화벽의 한계

  • 악성 소프트웨어의 침투 방어에는 한계가 있다.(정상적인 IP로 우회하는 침투)
  • 악의적인 내부 사용자의 공격은 막을 수 없다.
  • 자신을 통과하지 않은 통신에 대한 제어를 할 수 없다.
  • 새로운 형태의 공격을 막을 수 없다.

 

 

방화벽 방식

  • 패킷 필터링(Packet Filtering) 방식
    - 1세대 방화벽으로 데이터 링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 주소(IP)와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정
    - 가장 기초적인 방화벽 방식으로, 네트워크 계층, 전송 계층에서 동작하는 방식
    - 다른 방식에 비해 빠른 속도
    - 비교적 낮은 레이어에서 동작하기 때문에 기존 애플리케이션과 연동 용이
    - 하드웨어에 의존적이지 않으나, 강력한 로깅 기능 및 사용자 인증을 기대하기는 어려움
    - 패킷  내의 데이터를 활용한 공격 차단 불가
    - TCP/IP 프로토콜의 구조적 문제로 인하여 패킷 헤더의 조작이 가능함
    패킷 필터링


  • 상태추적(Stateful Inspection) 방식
    - 패킷 필터링 방식과 애플리케이션 게이트웨이 방식의 단점으로 극복하고 장점만을 구현한 방식(3세대 방화벽)
    - 네트워크 계층에서 패킷을 처리하면서도 프로토콜의 상태 정보 테이블을 유지하여, 프로토콜 특성에 따른 변화를 동적으로 대응해 주는 방화벽
    - 기존 패킷 필터링 기능에 Session 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하고, 순서에 위배되는 패킷들은 모두 차단
    - 모든 통신 채널에 대해 추적이 가능하며, UDP와 RPC 패킷 또한 추적이 가능
    - 상태 목록(State Table)에 Dos나 DDos 공격으로 인한 거짓 정보가 가득 차게 되면, 장비가 일시적으로 다운될 수 있음
    - 방화벽을 재구동시, 현재 연결에 대한 모든 정보를 잃어버려 정당한 패킷에 대한 엑세스 거부가 발생 할 수 있음
    상태추적


  • 애플리케이션 게이트웨이(Application Gateway) 방식
    - 2세대 방화벽으로, 애플리케이션 계층까지 동작하여 통과하는 패킷의 헤더안의 Data 영역까지도 체크하여 통제할 수 있음
    - 해당 서비스별로 프록시(Proxy)가 구동되어 각 서비스 요청에 대하여 방화벽의 접근 규칙을 적용시키고 연결을 대신하는 역할을 수행
    - 패킷 필터링 방식보다 높은 보안 설정이 가능하며, 일회용 패스워드를 이용한 강력한 사용자 인증 제공
    - Session에 대한 정보를 추적할 수 있으며, Content Security가 가능
     (HTTP, NNTP, FTP 등의 경우, Command level (put, get, post) 등까지 제어가 가능)
    - 네트워크에 많은 부하를 주며, 하드웨어에 의존적
    - 미리 정의된 애플리케이션만 수용 가능하므로, 다양하고 빠르게 발전하는 인터넷 애플리케이션에 대응하지 못함
    애플리케이션 게이트웨이


  • 서킷 게이트웨이(Circuit Gateway) 방식
    - 세션 계층과 애플리케이션 계층 사이에서 접근 제어를 실시하는 방화벽
    - 사용자측 PC에는 방화벽의 대표 프록시와 통신하기 위한 수정된 클라이언트 프로그램이 필요함
    - 각 서비스별로 프록시가 존재하는 것이 아닌, 대표 프록시를 이용하므로 어느 서비스 포로토콜도 방화벽을 적용시킬 수 있음
    서킷 게이트웨이

    - 수정된 클라이언트 프로그램이 설치된 사용자에 대해서는 별도의 인증 절차 없이 투명한 서비스 제공
    - 단, 사용자들에게 수정된 클라이언트 프로그램을 배포하거나 사용중인 애플리케이션을 수정해야 하는 번거로움이 있음

  • 하이브리드 방식
    - 패킷 필터링 + 애플리케이션 방식
    - 애플리케이션 방식의 최대 단점인 다양한 응용 서비스의 수용을 패킷 필터링 방식으로 제공
    - 내부 보안 정책 및 애플리케이션 등에 맞춰 선택적인 보안 설정이 가능
    - 여러 유형의 방화벽 특징을 보유하므로, 커버할 수 있는 범위가 큼
    - 관리가 복잡하며, 설치시 전문적인 네트워크 컨설팅이 필요

 

 

2. IDS(Intrusion Detection System)

  • 침입 탐지 시스템을 의미하며 컴퓨터 네트워크 또는 시스템 내에서 발생하는 잠재적인 침입 또는 악성 활동을 감지하고 식별하는 시스템
  • 가능한 한 실시간으로 탐지하여 관리자에게 경고 메시지를 보내주고 대응하는 시스템

 

IDS

 

 

특징

  • 로그분석 및 실시간 모니터링
  • 내, 외부망의 접속점에 위치하여 방화벽의 부족한 부분을 보강하기 위해 사용되는 침입탐지 시스템
  • IDS 도구의 기본 목적은 네트워크 상에서 발생하는 의심스러운 행동을 발견하고 관리자에게 경고 전달
  • 시스템의 침해여부를 보기위해 엑세스 로그들을 조사하여 파일을 분석하는 시스템으로 활용됨

 

3. IPS(Intrusion Prevention System)

  • 침입 방지 시스템을 말하며 다양하고 지능적인 침입기술에 대항해 다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막는 시스템
  • 침입탐지가 목적인 IDS의 기능을 넘어서 침입을 탐지했을 경우에 대한 대처까지 수행한다.

IPS

 

특징

  • 방화벽은 IP주소 또는 포트에 의해 네트워크 공격을 차단할 수 있지만, IPS는 응용프로그램 수준의 공격과 패턴에 대해서 대응가능
  • 탐지는 IDS와 거의 동일한 방식으로 하고 공격패턴을 인식하고 사전에 정해진 정책, 규칙DB 기반으로 방어
  • 실시간으로 탐지하는 것 뿐만이 아니라 알려지지않은 공격까지도 방어할 수 있는 시스템

 

 

Firewall vs IDS vs IPS

  Firewall IDS IPS
목적 접근통제 및 인가 침입 여부의 감지 침입 이전의 방지
특징 수동적 차단
내부망 보호		 로그, 시그니처 기반의 패턴 매칭 정책, 규칙DB 기반으로 방어
장점 엄격한 접근 통제
인가된 트래픽 허용		 실시간 탐지
사후분석 대응 기술
네트워크 부하가 덜함		 실시간 탐지 및 즉각 대응
단점 내부자 공격 취약
네트워크 병목현상		 변형된 패턴에 대해서는 탐지 어려움 오탐 현상 발생하면 곤란
네트워크 부하가 IDS에 비해 더 발생함
장비 고가

 

 

  

 

4. DDos(Distributed Denial of Service)

  • 분산 서비스 거부 공격으로 여러 대의 공격자 서버가 분산되어 있고 특정 시스템을 중심으로 처리할 수 있는 용량을 초과하는 통신 요청과 데이터를 표적 장치의 IP 주소로 보내어 온라인 서비스 중단을 시도하는 사이버 공격이다.
  • 이렇게 되면 결국 시스템이 과부하로 인해 마비되고 트래픽 요청이 과부하되면서 합법적인 트래픽까지도 서버에 도달하지 못하게 된다.

DDos 공격

 

공격 유형

  • 애플리케이션 계층 공격 
    - 서버가 들어오는 클라이언트 요청에 대응하고, 요청과 관련된 정보를 확보하여 패키징한 다음 브라우저로 전달한다. 이 과정이 애플리케이션 계층에서 일어나는데 애플리케이션 계층 공격 시 해커는 봇이나 시스템을 사용하여 동일한 소스에서 과부하가 걸릴 정도로 정보를 반복해서 요청한다.
    ex) HTTP Flood, Slowloris, DNS Query Flood

  • 프로토콜 공격
    - 방화벽, 라우팅 엔진, 로드 밸런서와 같은 서버 리소스에 과부하를 주는 시도를 한다.
    - 프로토콜 공격의 예로는 SYN 플러드가 있다.
    - SYN 플러드는 컴퓨터 두 대가 TCP 핸드셰이크를 수행하여 보안 통신 채널을 시작하면, 공격자가 스푸핑된 IP 주소를 포함하는 수많은 SYN 패킷을 서버로 보낸다. 서버가 각 패킷에 대응하지만 클라이언트는 대응하지 않기 때문에 서버는 충돌할 때까지 대기할 수 밖에 없다.
    ex) SYN Flood, Ping of Death, Smurf 공격

  • 볼륨 공격
    - 대역폭이 처리할 수 없을 정도로 많은 트래픽을 서버로 보내는 방식
    - 일반적인 볼륨 공격인 DNS 증폭에서는 공격자가 스푸핑된 표적의 IP 주소를 사용하여 DNS 서버로 요청을 전송한다. DNS 서버는 요청에 대한 대응을 표적 서버로 전송하고 엄청난 양의 DNS 서버 대응으로 표적 서버에 과부하가 발생한다.
    ex) UDP Flood, ICMP Flood, Spoofed-packet Flood

 

 

  • UDP Flood
    - 대량의 UDP 패킷을 전송해서 타겟 시스템의 패킷 처리 리소르를 모두 사용해버린다.

  • ICMP Flood
    - 'Ping Flood'라고도 하는 이 공격은 수많은 ICMP 패킷, 즉 'PING'을 타겟 시스템에 전송해서 네트워크 리소스를 소모하게하여 네트워크 접속을 불가하게 한다.

  • Spoofed-packet Flood
    - 정상적인 유저들의 Source IP 주소를 탈취한 뒤, 공격자 자신의 IP 주소 대신 정상 유저들의 IP로 대량의 패킷을 전송하여 타겟 시스템에서 DDos 공격을 탐지하고 트래픽을 필터링하기 어렵게 만든다.

  • SYN Flood
    - 타겟 시스템에 수많은 SYN 요청을 전송하여 불가능한 세션 연결에 리소스를 사용하게하여 결국 사용 가능한 모든 리소스를 소모하게 하는 것이다.

  • Ping of Death
    - 비정상적이거나 크기가 큰 ICMP 패킷을 전송하여 버퍼 오버플로우로 인해 타겟 시스템이 충돌하거나 응답하지 않게 만든다.

  • Smurf 공격
    - 네트워크 브로트캐스트 주소로 ICMP Echo(Ping)를 전송하여 네트워크 내 모든 디바이스들이 동시에 응답하게 만든다. 이로써 타겟 시스템의 네트워크에는 트래픽 과부하가 발생하게 된다.

  • HTTP Flood
    - 타겟 웹 서버에 대량의 HTTP 요청을 전송하여 리소스 과부하를 일으켜 속도가 느려지거나 응답을 할 수 없도록 만든다.

  • Slowloris
    - 타겟 서버에 HTTP 요청을 부분적으로 전송하여 타겟 서버가 HTTP 세션을 최대한 오래 열어두게하여 서버의 리소스를 서서히 소진시키는 공격이다.

  • DNS Query Flood
    - DNS서버를 대상으로 대량의 DNS 쿼리를 전송하여 타겟 DNS 서버의 과부하를 유발하여 정상적인 유저들의 DNS 서비스 사용을 불가하게 만드는 공격이다.

   

대응 방법

 

  • 트래픽 모니터링과 분석
    - 네트워크 트래픽을 지속적으로 모니터링하고 분석하면 DDos 공격과 그 징후를 실시간으로 탐지하고 대응할 수 있다. 
    - Flow 분석, Anomaly detection, Baselining과 같은 기술은 비정상적인 트래픽 패턴과 잠재적인 DDos 위협을 탐지하는데 큰 도움이 된다.

  • 네트워크 용량 확대
    - 서버, 네트워크 장비 등의 용량을 충분히 확보
    - 클라우드 기반 인프라를 활용하여 유동적인 자원 확장 가능

  • 방화벽 및 DDos 방어 솔루션 도입
    - 웹 애플리케이션 방화벽(WAF)을 통해 비정상적인 트래픽 차단
    - 전용 DDos 방어 솔루션을 도입하여 공격 탐지 및 차단 기능 강화

  • 콘텐츠 배포 네트워크(CDN) 활용
    - 지리적으로 분산된 CDN 서버를 통해 트래픽 부하 분산
    - 캐싱 기능으로 원본 서버 부하 감소

  • 보안 서비스 활용
    - 전문 보안 기업의 DDos 방어 서비스 활용

 

 

일반적인 보안장비 구성

 

참고문헌

https://brunch.co.kr/@sangjinkang/49

 

IPS, IDS 그리고 방화벽(Firewall)

데이터센터 보안을 위한 삼총사 | 데이터 센터 내에 있는 IT 서비스로의 공격에 대해 On-Prem 방식의 방어를 한다고 했을 때 일반적으로 준비하는 설루션은 대표적으로 아래 3개가 있습니다. · IPS(I

brunch.co.kr

https://www.cloudflare.com/ko-kr/learning/ddos/what-is-a-ddos-attack/

https://co-no.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EB%B0%A9%ED%99%94%EB%B2%BDFirewall

 

[네트워크] 방화벽(Firewall) (1) - 개념, 기능, 동작방식

방화벽이란? : 방화벽(防火壁, Firewall)은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템. 일반적으로 신뢰할 수 있는 내부

co-no.tistory.com

https://daejeonwoori.tistory.com/entry/%EB%94%94%EB%8F%84%EC%8A%A4-%EA%B3%B5%EA%B2%A9-%EB%8C%80%EC%9D%91-%EB%B0%A9%EB%B2%95

 

디도스 공격 대응 방법

디도스(DDoS) 공격은 웹사이트나 온라인 서비스의 가용성을 무너뜨리는 대표적인 사이버 공격 방식입니다. 이 글에서는 디도스 공격의 개요와 함께 이로부터 효과적으로 보호할 수 있는 방법들

daejeonwoori.tistory.com

 

'리팩토링' 카테고리의 다른 글

리팩토링 10주차  (0) 2024.09.26
리팩토링 9주차 악성코드  (0) 2024.09.19
리팩토링 7주차 OSI 7계층 프로토콜(2)  (0) 2024.08.30
리팩토링 6주차 OSI 7계층 프로토콜  (0) 2024.08.23
리팩토링 5주차 OSI 7계층 장비  (2) 2024.08.15

'리팩토링'의 다른글

  • 현재글리팩토링 8주차 Firewall, IDS, IPS, DDoS

관련글

티스토리툴바