- VPN(Virtual Private Network/Virtual Path Network)
IP물리적으로 분리된 대상과 암호하된 통신을 위한 장비 인증, 캡슬화 (암호화 전송) 전용선에 비해 가격이 싼게 장점
- 방화벽 FireWall
네트워크 방화벽/시스템 방화벽
IP(L3)/ PORT(L4)단의 룰셋 설정가능 리눅스의 iptables과 윈도우의 ipsec기능과 동일 하나의 장비로 존재하여 운용 공격자 IP나 불필요한 포트 차단
- IPS(IPS, Intrusion Preventing System)
침입차단 시스템(IPS): IDS + F/W = IPS
침입탐지 시스템과 방화벽의 조합으로 생각할 수 있다. 침입탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사하여 그 패턴을 분석한 뒤, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 이를 차단한다.
- 일반적으로 IPS는 방화벽 다음에 설치한다.
- 방화벽이 네트워크의 앞부분에서 불필요한 외부 패킷을 한번 걸러주어 침입차단 시스템이 더 효율적으로 패킷을 검사할 수 있다.
|
|
|
- IDS(IDS, Intrusion Detection System)
침입탐지 시스템(IDS): snort룰 기반으로 패턴을 대입하여 시스템 공격에 대한 탐지 및 차단을 주로 병행(ftp, ssh 등)
침입탐지 시스템(IDS, Intrusion Detection System)은 설치 위치와 목적에 따라 호스트 기반의 침입탐지 시스템(HIDS, Host-Based Intrusion Detection System)과 네트워크 기반의 침입탐지 시스템(NIDS, Network-Based Intrusion Detection System)으로 나눈다.
- 호스트 기반의 침입 탐지 시스템(HIDS, Host-Based Intrusion Detection System)운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고 어떤 작업을 했는지에 대한 기록을 남기고 추적한다. 네트워크에 대한 침입탐지는 불가능하며 스스로가 공격 대상이 될때만 침입을 탐지할 수 있다. (EX: Tripwire)
- 네트워크 기반의 칩입 탐지 시스템(NIDS, Network-Based Intrusion Detection System)네트워크에서 하나의 독립된 시스템으로 운용한다. 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않는다. (EX: snort)
- 웹방화벽(Web Application Firewall)/웹애플리케이션 방화벽
웹 공격에 대해서 IPS에 패턴이 있더라도 장비의 한계치 때문에 웹방화벽에서 Application 단은 정밀 분석 https 트래픽 분석하기 위해 인증서 설치 가능 패턴 업데이트 시 Appscan 업데이트 패턴을 보고 주로 반영 Appscan에서 진단하는 모든 패턴을 거의 탐지(웹쉘, sql injection, xss, apache struct2 등 탐지)
- IP 관리 시스템& NAC(Network Access Control/ 사용자 접근 제어 )
네트워크의 보안을 위한 것으로 임의의 사용자가 접속할 수 없게한다. 회사의 네트워크에 최초로 접속하기 원하는 사용자는 네트워크 접속에 사용할 시스템의 MAC 주소를 IP 관리 시스템의 관리자에게 알려 주어야 한다. 관리자가 해당 MAC 주소를 IP 관리시스템에 등록해야 비로서 해당 네트워크를 사용할 수 있는 권한을 가진다.
IP 관리 시스템 에어전트 <------------> IP 관리 시스템
NAC란 네트워크 접근하기 전 보안 정책 준수여부를 검사하여 네트워크 사용을 제어하는 시스템이다.
- 스팸 필터링 솔루션
스팸 필터 솔루션은 메일 서버 앞단에 위치하여, 프록시 메일 서버로서 동작하며 SMTP(E-SMTP) 프로토콜을 이용한 Dos(서비스 거부 공격) 공격이나 폭탄 메일, 스팸 메일을 차단한다.
전송되는 메일의 바이러스까지 체크할 뿐만 아니라 내부에서 밖으로 보내지는 메일에 대한 본문 검색 기능을 통해 내부 정보 유출도 방지한다.
인터넷 ----- 방화벽 ---- IPS/IDS ----- 스팸필터솔루션 ---- 메일서버
- DDoS 차단 시스템(Anti DDoS)
DDOS 공격에 대한 패킷 필터링 장비 임계치 설정 가능
- DRM (Digital Right Management , 문서 보안 솔루션 )
DRM(Digital Right Management)은 문서 보안에 초점을 맞춘 기술로, 문서 열람/편집/인쇄까지의 접근 권한을 설정하여 통제한다.
커널에 삽입된 DRM 모듈은 응용 프로그램이 문서를 작성하여 하드 디스크에 저장할 때 하드 디스크에 저장할 때 이를 암호화하여 기록한다.
응용 프로그램에서 하드 디스크에 암호화되어 저장된 파일을 읽을 때는, 문서를 읽고자 하는 이가 암호화된 문서를 읽을 자격이 있는 지를 확인한 후 이를 복호화하여 응용 프로그램에 전달해 준다.
DRM(Digital Right Management) Solution: 디지털 저작권 관리 솔루션
DLP(Data Loss Prevention) Solution: 데이터 손실 방지 솔루션
- 허니팟(Honeypot), 허니넷(Honeynet)
실제로 자료를 가진 호스트인것 처럼 침입자를 속이는 최신 침입탐지기법으로 허니팟 시스템을 이용하면, 공격하거나 침입하는 해커를 유인한다.
Zero-Day 취약점의 조기 발견, 잠재적 공격자에 대한 초기 경고 제공, 보안 전략의 결정 파악을 위하여 사용한다.
허니팟은 웹서버, 메일서버, 데이터베이스 서버, 응용프로그램 서버, 그리고 방화벽까지도 포함하는 다양한 내, 외부 장비를 시뮬레이션 할 수 있다.
|
Internet ----- Screening Router ------ Firewall ----- 인트라넷망 | Firewall | 허니넷(DMZ) 허니팟호스트(가상서버) |
|
- ESM(Enterprise Security Management)
ESM은 네트워크를 통해 들어오는 모든 위협요소들을 총체적으로 분석하여 미리 사전에 예방할 수 있도록 운영자에게 알려주는 시스템이다.
네트워크 운영자 및 서버시스템 운영자는 ESM을 통하여 얻어온 위험 정보를 바탕으로 네트워크에 생겨질 이상부분을 미리 파악하고 대처할 준비를 함으로써 시스템 운용을 원활하게 할 수 있다.
Agent가 설치된 보안 장비들 -------- 수집서버 -------+----- 데이터베이스 서버
|
+----- 분석 서버
- L4 스위치
IP와 PORT 기준의 로드벨런스 예) client IP가 홀수인 경우 A장비로 짝수인 경우 B장비 설정
- L7스위치
Application(L7)별로 로드 벨런스
웹서버나 WAS서버의 세션 임계치를 두어 세션이 적은곳에 뿌려줌
URL별로 파싱하여 서비스 가능
Https 와일드 카드(*)인증서 설치 가능
- 라우터
백본 흔히 라우터라고 불리는것은 좀 큰 개념인데 망내에서는 그 망의 게이트웨이나 IP를 총괄 하는 백본과 동일한 의미로 사용
'Security > Network Security' 카테고리의 다른 글
| tshark (0) | 2017.11.02 |
|---|---|
| Wireshark (0) | 2017.11.02 |
| DNS Spoofing 방어 대책 (0) | 2017.10.22 |
| DNS Spoofing (0) | 2017.10.22 |
| Ettercap을 이용한 Packet Sniffing (0) | 2017.10.21 |
