네트워크 인프라 10. 보안

정보보안의 필수요소

- 기밀성

: 인가되지 않은 사용자가 정보를 보지 못하게 하는 것

: 암호화 작업

 

- 무결성

: 정확하고 완전한 정보 유지

: MD5, SHA를 이용한 해싱

 

- 가용성

: 정보가 필요할 때 접근을 허락하여 유지하는 정보를 온전하게 확인할 수 있도록 관리

 

 

 

 

 

네트워크 보안

- Trust 네트워크

: 외부로 부터 보호 받아야할 네트워크

 

- Untrust 네트워크

: 신뢰할 수 없는 외부 네트워크

 

- DMZ (DeMilitarized Zone) 네트워크

: 내부 네트워크 이지만 신뢰할 수 없는 외부 사용자에게 개방해야하는 서비스 네트워크

: 일반적으로 인터넷에 공개되는 서비스를 이 네트워크에 배치

 

- 인터넷 시큐어 게이트웨이 (Internet Secure gateway) <내부에서 외부로>

: 트러스트 또는 DMZ 네트워크에서 언트러스트 네트워크로의 통신을 통제

: 인터넷에는 수많은 서비스가 있으므로 그에 대한 정보와 요청 패킷을 적절히 인식하고 필터링 하는 기술  필요

: SWG (Secure Web Gateway), 웹 필터, 애플리케이션 컨트롤, 샌드박스 등

 

- 데이터 센터 시큐어 게이트웨이 (Date Center Secure Gateway) <외부에서 내부로>

: 언트러스트 네트워크에서 트러스트 또는 DMZ 네트워크로의 통신을 통제

: 상대적으로 고성능이 필요하기 때문에 공격 관련 정보가 필요

: IPS, DCSG (DataCenter Secure Gateway), WAF (Web Application Firewall), Anti-DDoS 등

 

 

 

 

 

네트워크 보안 정책

- 화이트 리스트

: 방어에 문제가 없다고 명확히 판단되는 통신만 허용하는 방식

: 일반적으로 IP와 통신 정보에 대해 명확히 아는 경우에 사용

: 최근에 많이 사용되는 방식

: 내부 방화벽

 

- 블랙 리스트

: 공격이라고 명확히 판단되거나 문제가 있었던 IP 및 패킷 리스트를 기반으로 DB (Signature)를 만들어 이를 기반으로 방어하는 방식

: IPS, 안티바이러스, WAF에서 주로 사용하는 기법

 

 

 

 

 

보안 장비

: DDoS 방어 장비 - 방화벽 - IPS - WAF 형태로 여러 단계에서 공격을 막도록 인라인 상에 장비를 배치

 

- DDoS 방어 장비

: DDoS 방어 장비는 IDC 네트워크 내부와 외부의 경계에서 공격을 방어하는데, 볼류 메트릭 공격을 막기 위함

: 회선을 공급해주는 ISP나 ISP와 연결되는 IDC 가장 바깥쪽에 위치시켜 공격을 완화시키는 것이 목표

 

※ 볼류 메트릭 공격

: 회선 사용량 이상의 트래픽을 발생시켜 회선 사용을 방해하는 공격

 

- 방화벽

: 4계층에서 동작하는 패킷 필터링 장비

: 3, 4계층 정보를 기반으로 정책을 세워 패킷을 허용 또는 거부

: 일반적으로 DDoS 방어 장비 바로 뒤에 배치

: 다른 보안 장비에 비해 비교적 간단히 동작하고 성능도 우수함

: 최근에 출시되는 고성능 방화벽은 ASIC나 FPGA 같은 전용 칩을 이용하여 대용량을 요구하는 IDC에서도 사용 가능

 

- IDS (침입 탐지 시스템)및 IPS (침입 방지 시스템)

: 방화벽에서 방어할 수 없는 다양한 애플리케이션 공격을 방어

: 최근에는 애플리케이션 공격을 방어하는 장비를 IPS로 통칭

: IDS 및 IPS는 사전에 시그니처를 제공받아 공격을 방어

: 최근에는 애플리케이션 컨트롤 기능이 추가되어 화이트 리스트 기반의 방어 기법도 IPS 장비에 적용할 수 있게 되었고, IDC 영역의 보안을 위해 방화벽과 IPS 장비를 통합한 DCSG 장비시장이 성장중

 

- WAF (Web Application Firewall)

: 웹 서버를 보호하는 전용 장비

: HTTP 및 HTTPS 와 같은 웹 프로토콜의 공격에 대해 세밀하게 방어

: 전용 네트워크 장비, 웹 서버 플러그인, ADC 플러그인, 프록시 장비 플러그인 등으로 제공됨

: IPS에서 방어할 수 없는 IPS 회피 공격을 방어

: 패킷을 데이터 형태로 조합하여 처리하기 때문에 데이터를 수정하거나 추가하는 기능 수행도 가능

 

- 샌드박스

: 보안 장비를 우회하는 공격 기법인 APT (Advanced Persistent Threat, 지능형 지속 공격)을 방어하는 대표적인 장비

: 악성코드를 샌드박스 시스템 내부에서 실행시켜 그 행동을 모니터링하여 파일의 악성 코드 여부를 판별

 

- NAC (Network Access Control)

: 네트워크에 접속하는 장치들을 제어하기 위해 개발된 기술

: 네트워크에 접속할 때 인가된 사용자만 내부망에 접속 가능

 

- IP 제어 솔루션

: 정확히 의도되어 할당된 IP가 아니면 정상적으로 네트워크를 사용하지 못하게 하는 솔루션

: 국내에서 많이 사용하는 기술

 

- 접근 통제 솔루션

: 서버나 DB에 대한 직접적인 접근을 막고 작업 추적 및 감사를 수행

: 에이전트 기반, 에이전트 리스, 배스천 호스트 등의 구현 방법이 존재

 

※ 배스천 호스트

: 서버 접근을 위한 모든 통신을 제어하는 방식

: 배스천 호스트를 통한 통신만 방화벽에서 허용함으로써 접근 제어가 가능

 

- VPN (Virtual Private Network)

: 가상 전용 망을 구축하여 터널링을 통해 패킷을 보호하는 것

: 현재는 대부분의 방화벽이나 라우터 장비에서 제공

: IPSEC과 SSL을 주로 사용

 

 

 

 

DDoS 공격 방식

- 볼류 메트릭 공격

: 대용량의 트래픽을 이용하여 대역폭을 포화시키는 공격

: NTP 증폭, DNS 증폭, UDP 플러드, TCP 플러드

 

- 프로토콜 공격

: 3,4 계층 프로토콜 스택의 취약점을 이용해 대상에 엑세스하여 리소스를 낭비시켜 서비스 중단을 유도

: Syn 플러드, Ping Of Death

 

- 애플리케이션 공격

: 애플리케이션 계층의 약점을 악용하는 공격으로, 방어가 까다로운 공격

: 대상과의 연결을 설정한 후 프로세스와 트랜잭션을 독점해 서버의 자원을 소모시킴

: HTTP 플러드, DNS 서비스 공격, Slowloris 등

 

 

 

 

 

DDoS를 방어하는 방법

- 인라인

: 탐지와 방어를 하나의 장비에서 수행

 

- Out of Path

: 탐지와 방어를 다른 장비에서 수행

 

- 프로파일링

: 평소 데이터 흐름을 습득해 일반적인 대역폭, 세션량, 초기 접속량, 프로토콜 별 사용량 등을 저장

: 저장한 데이터와 일치하지 않는  트래픽 발견 시 차단

 

- 데이터베이스

: IP 리스트나 데이터베이스를 기반으로 특정 공격 패턴 등을 방어

 

- ISP 및 클라우드 기반 DDoS 방어 서비스

: WAF와 같이 별도의 보안 장비 없이 다양한 DDoS 공격을 방어할 수 있는 방법

: 실제 서비스 서버 앞에서 클라이언트의 요청을 받아 처리한 후 문제가 없는 요청만 서버로 전달

: 실제 서비스 네트워크가 가려지므로 대규모 공격도 큰 투자없이 방어 가능

 

 

 

 

 

 

Reference

IT 엔지니어를 위한 네트워크 입문 | 고재성 - 교보문고