9장 보안
2022. 9. 22. 23:43
보안이란 무엇일까
9.1 보안의 개념과 정의
- 용어 위주의 정리를 하겠다
- 3대 보안 정의
- 기밀성
- 무결성
- 가용성
- 네트워크 종류
- 트러스트 네트워크 : 외부로부터 보호받아야할 네트워크
- 언트러스트 네트워크 : 신뢰할 수 없는 외부 네트워크
- DMZ 네트워크 : 우리가 운영하는 내부 네트워크지만 외부 사용자에게 개방해야하는 서비스 네트워크
- 트래픽의 방향과 용도에 따른 구분
- 인터넷 시큐어 게이트 웨이 : 트러스트(or DMZ) 네트워크에서 언트러스트 네트워크로의 통신 통제
- 데이터 센터 시큐어 게이트웨이 : 언트러스트 네트워크에서 트러스트(or DMZ)로의 통신을 통제
- 정책 수립에 따른 구분
- 화이트리스트 : 방어에 문제가 없다고 명확히 판단되는 통신만 허용
- 블랙리스트
9.2 보안 솔루션의 종류
- DDOS 방어장비
- 방화벽
- 4계층에서 동작하는 패킷 필터링 장비
- DDOS 방어 장비 바로 뒤에 놓는 보안 장비
- IDS, IPS
- IDS(Instrusion Detectino System) : 침입 탐지 시스템
- IPS(Instrusion Prevention System) : 침입 방지 시스템
- 사전에 공격 데이터베이스를 제조사나 위협 인텔리전스 서비스 업체로부터 받음
- 프로파일링 기반 방어 기법
- 웹 방화벽(WAF)
- Web Application Firewall
- 웹서버 보안 장비
- 샌드박스
- APT의 공격을 방어하는 대표적인 장비
- 가상 운영체제 안에서 파일 실행 후 악성 코드 여부 판별
- NAC (Network Access Control)
- 네트워크에 접속하는 장치 제어 (인가된 사용자)
- IP 제어
- 접근 통제
- VPN
- 방화벽이나 라우터 장비에 VPN 기능 포함
9.3 방화벽
- 방화벽의 정의
- 네트워크 중간에 위치해 해당 장비를 통과하는 트래픽을 사전에 주어진 정책 조건에 맞추어 허용하거나 차단하는 장비
- 일반적으로 3,4계층에서 동작
- 세션을 인지하는 상태 기반 엔진(Stateful Packet Inspection, SPI)으로 동작
- 초기 방화벽과 현대 방화벽 엔진의 차이
- SPI의 사용 여부로 패킷 상태를 인지할수 있냐 없냐의 차이
- 방화벽의 동작 방식
- 장비에 패킷이 들어오면 세션 상태 테이블 확인
- 조건에 맞는 세션 정보가 세션 테이블에 있을 때, 포워딩 테이블 확인
- 조건에 맞는 세션 정보가 세션 테이블에 없을 때, 방화벽 정책 확인
- 방화벽 정책은 맨 위의 정책부터 확인에 최종 정책까지 확인한 후 없을때 암시적인 거부 규칙을 참고해 차단
- 허용 규칙이 있으면 내용을 세션테이블에 적어 넣음
- 포워딩 테이블 확인
- 조건에 맞는 정보가 포워딩 테이블에 있을 때, 적절한 인터페이스로 패킷을 포워딩
- 조건에 맞는 정보가 포워딩 테이블에 없을 때, 패킷 폐기
- 방화벽의 한계점
- 바이러스를 감지하거나 백도어나 임터넷 웜 방어 안됨
- 취약점이 알려져서 공격 방어가 힘듦
9.4 IPS, IDS
- 애플리케이션 계층에서 이루어지는 공격을 탐지, 방어하기 위해 IDS, IPS 개발
- IDS
- 방어보다 탐지에 초점을 맞추어 개발
- 트래픽을 복제해 검토하고 침입여부 판별
- IPS
- 발견하면 직접 차단하는 능력을 갖춘 장비
- 동작방식
- 패턴 매칭 방식
- 어노말리 공격 방어
9.5 DDos 방어 장비
- DDOS는 정상적인 서비스가 불가능하도록 방해하는데 초점이 맞춰진 공격이다
- DDOS 공격방식 -> 볼류메트릭(트래픽 포화), 프로토콜 공격, 애플리케이션 공격
- DDOS 방어 장비는 프로파일링 기법으로 공격 차단함 -> 평소 트래픽과 비교하는 방법
9.6 VPN
- Virtual Private Network
- 안전하게 인터넷을 사용하는 툴로 인식되고 있음
- 물리적으로 전용선이 아닌 공중망을 이용해 논리적으로 직접 연결한 것처럼 망을 구성하는 기술
- 이렇게 논리적으로 직접 연결된 것처럼 만들어주는 통로를 터널(Tunnel)이라고 함
- 패킷을 터널링 프로토콜로 감싸 통신하는 기법이 터널링 기법
- 고민해볼 수 있는것
- 보안과 관련된 용어에 익숙해지는 걸 우선으로 하자
'책 > IT 엔지니어를 위한 네트워크 입문' 카테고리의 다른 글
11장 이중화 기술 (0) | 2022.09.24 |
---|---|
10장 서버의 방화벽 설정/동작 (0) | 2022.09.23 |
8장 서버 네트워크 기본 (1) | 2022.09.22 |
7장 통신을 도와주는 네트워크 주요기술 (2) | 2022.09.20 |
6장 로드밸런서/방화벽: 4계층 장비(세션 장비) (0) | 2022.09.19 |