목 표
Í
보안 장비의 기본 개념을 이해함으로써,
목 차 (1/2)
1. Firewall vs Bastion Host
2. IDS (Intrusion Detection System)
3. IPS (Intrusion Prevention System)
4. Viruswall
5. QoS (Quality of Service)
6. VPN (Virtual Private Network)
7. Anti-Spam Solution
목 차 (2/2)
9. NAC (Network Access Control)
10. DRM (Digital Rights Management)
Firewall (1/19)
1. The Definition of Firewall
• 침입차단시스템
• 외부에서 조직내의 컴퓨터나 네트워크로 침입하는 것을 방지하는
시스템, 또는 그러한 시스템이 설치 된 컴퓨터를 말한다. [정의 출처 http://e-words.ne.kr/]
2. Main characters of Firewall
• 내부 네트워크와 외부 네트워크를 연결하는 병목지점이다.
Firewall (2/19)
3. Concept of firewall
Insecure
Insecure
Firewall (3/19)
4. Firewall Generation
• 2st Generation : Application Level F/W
• 3st Generation : Stateful Inspection F/W
• 1st Generation : Packet Filtering F/W
Physical Layer Data Link Layer
Network Layer Transport Layer
Firewall (4/19)
5-1. Description of 1st Generation Firewall
• Packet Filtering Firewall
• Src IP, Dst IP 를 분석하여 필터링한다.
• 1세대 방화벽의 출발은 라우터에 기반한다.
• 단, 웜바이러스 / 스팸메일 등 상위계층에서 동작하는 이상 트래픽을
차단할 수 없다.
Firewall (5/19)
5-2. Concept of 1st Generation Firewall
Physical Data Link Network Transport Session Presentation Application Physical Data Link Network Physical Data Link Network Transport Session Presentation Application
Src System Dst System
Firewall (6/19)
6-1. Description of 2st Generation Firewall
192.168.0.10 192.168.0.20 Data ( Hello world )
• Application Level Firewall
• Src IP, Dst IP, Port, Protocol, Contents 등 모든 내용을 필터링한다.
• 즉, 지나가는 패킷의 모든 내용을 볼 수 있으므로, 웜바이러스 /
스팸메일 등 상위계층에서 동작하는 이상 트래픽까지도 차단할 수 있다.
• 단, 과부하가 심하기 때문에 실제 환경에서 운영이 어렵다.
25
Physical Data Link Network Transport Session Presentation Application
Firewall (7/19)
6-2. Concept of 2st Generation Firewall
Physical Data Link Network Transport Session Presentation Application Physical Data Link Network Transport Session Presentation Application
Firewall (8/19)
7-1. Description of 3st Generation Firewall
192.168.0.10 192.168.0.20 Data ( Hello world )
• Stateful Inspection Firewall
• Network Layer에서 첫 패킷을 가로챈다.
• 이 패킷을 Inspection Engineer에서 App Layer까지 분석한다.
• Dynamic State Tables에 결과를 저장한다.
• 두 번째 패킷 부터는 Inspection Engineer 분석 과정을 생략하고,
Dynamic State Tables의 내용에 따라 동작한다.
• 즉, Application Level Firewall의 과부하 문제를 해결하였다.
• 단, 2번째 패킷 이후에 실려오는 이상 트래픽을 차단할 수 없다.
25
Firewall (9/19)
Physical Data Link Network Transport Session Presentation Application7-2. Concept of 3st Generation Firewall
Physical Data Link Network Transport Session Presentation Application Physical Data Link Network Transport Session Presentation Application
Src System Firewall Inspection Dst System
Engineering
Dynamic State Tables
Firewall (10/19)
8-1. Definition of Bastion Host
• Bastion Host is not a firewall and other security device !!!
• A bastion host is a special purpose computer on a network
specifically designed and configured to withstand attack. [출처 : 위키백과]
• 취약점을 최소화한 Secure OS가 설치된 Highly Secure Host !!!
Firewall (11/19)
• A bastion host is your public presence on the Internet. Think of
it as the lobby of a building. Outsiders may not be able to go up the stairs and may not be able to get into the elevators, but they can walk freely into the lobby and ask for what they want.
(Whether or not they will get what they ask for depends upon the building's security policy.) Like the lobby in your building, a bastion host is exposed to potentially hostile elements. The bastion host is the system that any outsiders - friends or possible foes - must ordinarily connect with to access a system or a service that's inside your firewall.
Firewall (12/19)
• By design, a bastion host is highly exposed, because its existence
is known to the Internet. For this reason, firewall builders and
managers need to concentrate security efforts on the bastion host. You should pay special attention to the host's security during
initial construction and ongoing operation. Because the bastion host is the most exposed host, it also needs to be the most fortified host
Firewall (13/19)
9-1. Firewall architecture
• Screening Router
• Screened host
• Screened subnet
Firewall (14/19)
9-2. Screening Router
• 라우터가 내부와 외부 네트워크를 Screen 한다.
• Packet Filtering 을 이용한다.
Firewall (15/19)
9-3. Screened Host
• 라우터가 내부와 외부 네트워크를 Screen 하고,
모든 Data는 반드시 Screened host 를 통한다.
Bastion Host
Firewall (16/19)
9-4-1. Screened Subnet
• 내부와 외부 네트워크를 Screen 하는 네트워크가 존재한다.
External Network
Internal Network
Exterior Router Interior Router
Bastion Host
Firewall
Firewall (17/19)
9-4-2. Screened Subnet
• DMZ 구조의 기원이다.
DMZ
Firewall (18/19)
9-4-3. Screened Subnet
• Perimeter Network
- Internal Network 로 부터 Bastion host 를 분리한다.
• Exterior Router
- External Network 와 연결된다.
• Interior Router
Firewall (19/19)
9-5. Dual-Homed Host
• 2개의 NIC를 가진 host가 라우터 역할을 한다.
• IP Routing을 할 수 있지만, Routing을 사용하지 않는 것이 권장된다.
External Network Internal Network
IDS (1/4)
1. The definition of IDS
• Intrusion Detection System (침입탐지시스템)
• 침입(유해 트래픽)을 탐지하여 관리자에게 통보하는 시스템
• 보안 사고 발생 후 로그를 증거 자료로 제출하기 위해 운영하는
시스템
2. Detection Position
• N-IDS (Network-Based IDS) : 네트워크의 유해 트래픽을 탐지
IDS (2/4)
3. Detection Method
• Misuse Detection (오용탐지)
- 바이러스 백신처럼 이미 알려져 있는 공격 패턴에 대해서만 탐지해 낼 수 있는 기법.
- 패턴 저장 DB를 전문가 시스템이라고도 한다.
• Anomaly Detection (이상 탐지)
- 정해진 기간에 대해서 트래픽량이나 공격패턴의 추이에 대한 통계를 계산해 두고 있다가 통계와 차이를 보이게 되면
Anomaly 한 상태라 판단하여 탐지하는 기법.
IDS (3/4)
4. Architecture of Host-Based IDS
IDS 관리시스템
IDS (4/4)
5. Architecture of Network-Based IDS
IDS 관리시스템
IPS (1/2)
1. The definition of IPS
• Intrusion Prevention System (침입방지시스템)
• 침입을 탐지하여 차단한 후 관리자에게 통보하는 시스템
2. Response type
• Passive
IDS 처럼 차단 같은 실시간 대응보다는 관리자에게 통보함으로써 조치를 취할 수 있도록 하는 대응을 말함.
• Active
IPS (2/2)
3. Architecture of IPS
Viruswall (1/2)
1. The definition of Viruswall
• 바이러스 차단 시스템
• 바이러스 백신 엔진을 이용 네트워크를 통과하는 콘텐츠 중
바이러스나 웜 등 악성 프로그램을 검사하고 차단 및 치료하는 바이러스 방지 솔루션
Viruswall (2/2)
QoS (1/2)
1. The definition of Viruswall
• 서비스(HTTP, FTP, VOIP …)의 품질을 보장하는 시스템
2. For example
• 업무 서비스를 12345/tcp 포트로 제공한다고 가정할 때,
HTTP/FTP/Messenger 등의 비업무 서비스들의 사용량이 많아서 100M의 회선 중 92M를 사용하고 있다면, 업무 속도는 느려지게 되고, 네트워크가 웜바이러스에 심하게 감염될 경우 100M 모두를 웜바이러스가 사용하게 되므로 업무는 마비된다.
• QoS를 통해 업무를 100M 중 20M를 할당하면 의도하지 않은
QoS (2/2)
3. Concept of QoS
혼잡 트래픽
Q o S
System
중요 서비스의 품질 보장
유해 트래픽 차단 트래픽 모니터링 & 분석
VPN (1/6)
1. The definition of VPN
• Public Network로 분리되어 있는 서로 다른 네트워크를
논리적으로 동일한 사설망을 만들어 준다.
• 가상사설망
2. A type of VPN
• L2TP / PPTP VPN : Layer2를 이용한 VPN
- L2TP : 인증만 수행
- PPTP : 암호화 + 인증까지 수행
• IPSec VPN : IP layer Security VPN (Layer3를 이용한 VPN)
- ESP (Encapsulating Security Payload) : 암호화 + 인증까지 됨 - AH (Authentication Header) : 인증만 수행
VPN (2/6)
2. Concept of VPN
VPN VPN
VPN Client
Physical
VPN (3/6)
3-1. Concept of IPSec VPN
Data Link Network data data Transport Application TCP data TCP
VPN IP ESP / AH Client IP
VPN (4/6)
3-2-1. Mode of IPSec VPN
data TCP
VPN IP ESP Client IP
IPSec + Data
• Tunnel Mode : VPN Device to VPN Device Encryption
VPN VPN
Tunnel
data TCP
Client IP Client IP TCP data
Normal Packet Normal Packet
Security Zone
VPN (5/6)
3-2-2. Mode of IPSec VPN
data TCP
Client IP ESP
IPSec + Data
• Transparent Mode : End to End Encryption
VPN VPN
Tunnel
Security Zone
VPN (6/6)
3-3. Concept of SSL VPN
data handshake Record Physical Transport Session Presentation Application SSL data
* handshake Protocol : Negotiation Protocol * Change cipher spec : Cipher Spec 변경 * Record Layer : Negotiation Protocol Change cipher spec
data handshake Change cipher spec
Alert protocol
Internet
Internet
1. The definition of Anti-Spam
• 스팸메일을 차단하는 시스템, 스팸차단이라고도 함.
2. Concept of Anti-Spam
Internet
Internet
1. The definition of UTM
• 여러 보안 모듈이 통합되어 있는 통합 보안 장비
• 팩스/스캔너/전화기 복합기와 동일한 개념
2. Concept of UTM
UTM
F/W IDS
1. The definition of NAC
• 관리자가 정의한 보안환경이 운영되는 시스템만 네트워크에 연결이
가능하도록 한다.
• Clear Network 에 악성 Worm이 감염된 Host가 연결되면,
순식간에 네트워크는 악성 Worm이 퍼지게 되므로 이러한 상황을 막고자 하는 시스템이다.
NAC (1/3)
2. For example about NAC
• 새로운 Host에 랜선을 연결하면 연결되면, 바이러스 검사 / 윈도우
3. Risk of normal network
• NAC가 없는 경우에는 단 한 대의 PC 만으로 순식간에 네트워크가
감염될 수 있다.
NAC (2/3)
VPN
VPN
VPN
VPN VPN
4. Role of NAC
• 랜선이 연결되는 순간 NAC는 해당 Host의 감염 여부를 확인하여
네트워크에서 격리시킨다.
NAC (3/3)
VPN
VPN
1. The definition of DRM
• 디지털 콘텐츠의 무단 사용을 막아, 제공자의 권리와 이익을 보호해
주는 기술과 서비스를 통틀어 일컫는 말이다. 불법 복제와 변조를 방지하는 기술 등을 제공한다.
[출처] : 네이버 백과 사전
• 관리 대상이 되는 모든 파일에 대해서 복사 / 삭제 / 열람 / 수정
등의 구체적인 행위에 대해서 엑세스 권한을 주어 관리하는 시스템
암호화 상태로 전달 후 열람 허용
협력업체
협력업체
협력업체
2. Concept of DRM
DRM (2/2)
라이센스발급 편집제어 열람제어 인쇄제어 권한제어 로그이력 전송 열람 가능 열람 가능 열람 불가 복사 불가 Internet Internet 열람 불가 유출이 인가된 파일 회사 내부 회사회사 내부내부
열람 가능
1. The definition of ESM
• 이기종의 서로 다른 보안장비에서 발생한 로그를 하나의 화면에서
모니터링할 수 있는 통합 관리 시스템
ESM (1/2)
2. Condition of previous security management
• 구축되어 있는 Firewall, IDS, IPS, VMS, Web Firewall 등의 각각의
관리 페이지로 로그인하여서 현재의 상황을 체크하여야 함.
• 현업의 특성상 순간 순간 각각의 관리 페이지에서 전체적인 보안
3. Concept of ESM
DMZ
IPS
Mail DB Web Server Farm
1. The definition of TMS
• 네트워크의 트래픽을 수집/분석하여 관리자에게 위협에 대한
정보를 제공함으로써, 조기 대응을 유도하는 시스템으로, 트래픽 분석을 통해 이상징후를 유추할 수 있다.
2. Concept of TMS
TMS (2/2)
DMZ Server Farm Internal network TMS Sensor TMS Sensor
참고 사이트
-
http://www.unix.org.ua/orelly/networking/firewall/
-
http://www.naver.com/
-
http://www.juniper.net/
-
http://www.cisco.com/
-
http://e-words.ne.kr/
-
http://www.taskqos.com/
