[보안] 방화벽(Firewall), 침입 탐지 시스템(IDS)

방화벽 (Firewall)

- 조직 내부의 네트워크에서 전송되는 정보를 선별하여 수용/거부/수정하는 기능을 가진 침입 차단 시스템이다.

 

- 전체 인터넷으로부터 기관의 내부 네트워크를 분리시킨 하드웨어와 소프트웨어의 조합이다.

 

- 외부와 내부를 오가는 모든 트래픽은 방화벽을 거치고, 로컬 보안 정책에 정의된 대로 승인된 트래픽만이 통과된다.

 

- IP주소와 포트 번호의 조합에 기초한 필터링 정책은 허가된 목록에 있는 호스트와의 연결을 허용한다.

 

- TCP ACK 비트가 설정되어 있는지 아닌지 확인한다.

=> 모든 TCP 연결의 첫 번째 세그먼트는 ACK 비트가 0인 반면, 다른 모든 세그먼트들의 ACK 비트는 1이므로 ACK 비트가 0인 세그먼트만 걸러도 외부에서 오는 모든 연결을 허용하지 않게 한다.

 

- 방화벽의 규칙은 접속 제어 목록과 함께 라우터에 구현된다.

침입 탐지 시스템(IDS; Intrusion Detection System)

- 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템이다.

 

- 헤더 필드 내용 외에도 패킷이 가지고 있는 데이터의 내용까지 살펴본다. (deep packet inspection이라고 함)

 

시그니처 기반(signature-based) / 오용 탐지(Misuse Detection)

: 데이터베이스에 미리 입력해 둔 공격 패턴이 감지되면 알려준다.

=> 아직 기록되지 않은 공격에는 취약하다는 단점이 있다.

=> 대부분의 IDS는 시그니처 기반이다.

 

이상 기반(anomaly-based) / 이상 탐지(Anomaly Detection)

: 비정상적인 행위나 자원의 사용이 감지되면 알려준다.

=> 평소에 트래픽을 관찰할 때 트래픽 분석표를 만든다.

=> 통계학적으로 비정상적인 패킷의 스트림을 찾는다. (ICMP 패킷 빈도, ping 증가)

=> 새로운 공격도 감지할 가능성이 있다.

 

- IDS와 IPS(침입 방지 시스템, intrusion prevention system)을 통틀어 IDS라고 한다.

 

- DMS: 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크로, IDS에 의해 감시되는 구역보다는 낮은 보안 구역이다. 패킷 필터와 IDS 센서만 사용한다.

 

- IDS 센서들을 안쪽에 위치할수록 센서는 전체 트래픽의 일부만 관찰하면 된다. 최근에는 라우터 근처에 하나의 센서만 두어도 될 정도로 고성능의 IDS 시스템이 출시되고 있다.

 

- Snort: 공공 도메인의 오픈 소스 IDS로, 리눅스, 유닉스, 윈도우에서 동작 가능하다. 시그니처 기반이다.

 

 

(참고) James F. Kurose. Computer networking a top-down approach. 7th edition