FW, IDS, IPS and DDoS 장비

목차

• FW 
• IDS
• IPS 
• DDoS 장비
• 주요 장비 배치

 

FW

• 정의: 미리 정의된 보안 규칙(ACL)에 기반하여 송수신 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템
• 특징 및 기능
  • 접근통제(Access Control): 접근통제목록(ACL), 즉 ‘방화벽 정책’ 을 통해 패킷 접근 통제
  • 식별 및 인증기능: 접근 통제 목록을 통해 허가된 객체나 사용자만 접근 허용
  • 서비스 통제: 위험성이 존재하는 서비스를 필터링함으로써 내부 호스트들의 취약점 감소
  • 데이터 암호화: 방화벽을 통해 전송되는 데이터를 암호화시켜 기밀성 유지
  • 감사추적기능: 침해사고 발생 시 로그분석 등을 통한 사후 분석 기능
  • 주소변환(NAT): 내부망 주소를 외부망에 맞게 변환하여 망 간의 분리를 통해 내부망 보호
  • IP(네트워크 계층), 포트(전송계층)기반 검사
    • 상위계층은 검사를 안하다보니 악성코드가 담긴 바이러스, 웜 등의 악성코드를 탐지하고 방어하는데 한계
    • 방화벽 자체에 대한 송수신만 통제하다보니 정작 내부 네트워크에 대한 보안 정책을 적용할 수 없어서 내부 공격자에게 취약
    • ACL 정책에 적용되지 않은, 새로운 패턴 공격에도 취약
    • 방화벽을 우회할 시 통제 못함

 

IDS

• 정의: 비정상적인 사용과 오용, 남용 등의 행위를 실시간으로 탐지하여 관리자에게 경고 메시지를 보내주는 시스템
• 특징
  • 대규모 트래픽,  사후분석을 통해 탐지패턴 생성(비교적 큰회사에서 IDS IPS)
  • 내외부망의 접속점에 위치하여 방화벽의 부족한 부분 보완
  • 스니핑과 정해진 패턴을 이용하여 공격탐지.(공격 시그니쳐 비교, 프로토콜 불일치)
  • 공격에 대한 실질적 대응 능력 부족, 높은 오탐율 문제
    • cctv처럼 탐지만 할 뿐이지 결국 대응을 못함.
    • 1세대 IDS 제품은 높은 오탐율 때문에 보안과 인프라에 심각한 영향을 끼친 사례.
• 종류
  • HIDS vs NIDS

    

     
    
    • HIDS
      • 호스트 자체에 대해 이상현상 및 오용 탐지
      • 암호화 및 스위칭 환경에서 적합하며, 따로 하드웨어 구축이 따로 필요하지 않으며, 내부 탐지가 목적이다 보니 내부 공격(트로이 목마, 백도어) 등을 탐지할 때 유리함.
      • OS 별로 따로 구축해줘야해서 설치시 용이하지는 않음. 공격자가 로그 변조 및 DoS 공격 하면 IDS 무력화도 가능함. 시스템 자체에 설치하다 보니 따로 부하가 발생함 

      • 

      • NIDS
        • 네트워크를 통해 전송되는 정보를 탐지하는 데 사용
        • 스위치 단에만 설치하면 되므로 초기 구축 비용도 저렴하고, 용이함. OS별로 구분 따로 없음. 시스템에 따로 설치하는 것이 아니라 따로 하드웨어를 구축한 것이므로 타 시스템에 부하 안 감
        • 암호화된 패킷은 분석하기 힘듦. 시스템 자체 내의 세부 행위는 분석하기 힘들며, 나아가 고속환경에서 수 많은 패킷을 분석해야하다보니 오탐율도 높으며, 놓치는 패킷도 많음.

 

 

IPS

• 정의: 다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막는 시스템
• 특징
  • 침입탐지가 목적인 IDS의 기능을 넘어서 침입을 탐지했을 경우에 대한 대처까지 수행
  • 방화벽은 IP주소 또는 포트에 의해 네트워크 공격을 차단할 수 있지만, IPS는 응용프로그램까지 차단가능
  • 탐지 패턴: 시그니처 기반, 비정상 행위 기반 기법
    • 시그니쳐 기반: 데이터베이스에 저장된 공격 패턴에 기반하여 공격 행위인지 아닌지 판단
    • 비정상 행위 기반 기법: 사용자 로그인 횟수, CPU 사용량, 디스크 읽기/쓰기 횟수등의 임계값을 설정하여 해당 임계값을 넘으면 비정상 행위로 인지
    • IDS와 탐지 방법은 거의 유사
  • 응용 계층 수준의 공격과 패턴에 대해서 대응 가능
    • 웜과 바이러스등의 침입을 네트워크 단에서 처리 => 사후조사에 소요되는 인적비용 줄임.
    • 방화벽은 패킷의 헤더만 파악, IPS는 패킷 내부 데이터를 넘어서 어플리케이션 계층까지 검사를 함.
    • 깊은 검사를 해야하다보니 일일히 패킷을 검사하기에는 무리.
    • 그래서 방화벽에서 먼저 일차적으로 거른 다음에 검사하는 것이 일반적
      • 이렇게 해도 인라인 방식이라 패킷이 많이 오면 오탐 경보 홍수나 시그니처에 따른 성능 부하가 상대적으로 심함.
      • 반면, IDS는 지나간 패킷을 복사하고 검사하여 따로 접근 통제는 안하다 보니 상대적으로 IPS보다 네트워크 부하가 덜함. 그래서 단독으로 IPS 장비를 쓰기보단 IDS랑 조합하여 씀

 

DDoS 장비

 

DDoS 공격 사진

사전 단어 정의

• DoS: 웹 사이트 또는 애플리케이션과 같은 대상 시스템의 가용성을 떨어뜨려 일반 사용자와 공격 대상(서비스 제공자)에게 악형향를 끼치는 공격
• DDoS: 공격자가 봇넷을 원격으로 조정하여 DoS 공격하는 것을 DDoS 

 

등장 배경

• DDoS 공격은 초기에는 시스템이나 네트워크 장비의 취약점이 타겟이었음
• 그러나 네트워크 장비나 DNS 서비스와 같은 인프라 기반 서비스 제공 영역을 이용한 DDoS 공격이 확대되다보니 이렇게 다양한 공격을 방어하기 위해선 이에 대한 전문적인 시스템이 필요하다고 느껴짐.
• 그래서 등장한 것이 DDoS 전문 방어 장비가 나타남

 

특징

• 임계값 기반 차단
• 시간대와 임계치 값, IP 기준을 어떻게 잡는지에 따라 장비의 정확도가 달라짐.
• 볼류메트릭 공격을 방어하기 위한 트래픽 프로파일링 기법을 주로 사용함.
• 인라인 방식과 아웃 오브 패스 방식이 존재함.

 

DDoS 공격 타입

	볼류메트릭	프로토콜	어플리케이션
정의	대용량 트래픽을 이용한 공격	3, 4계층의 프로토콜 스택의 취약점을 악용하여 대상에 접근하는 공격	7계층 프로토콜 스택의 약점을 공격. 정교하며, 까다로움
방식	공격에 의해 생성된 트래픽을 최종 자원에 접근 시켜 해당 서비스를 완전히 차단 시킴	공격 대상의 서비스 처리 자원을 모두 소진시키는 공격. 네트워크 장비 및 보안 장비가 주 타깃	대상과의 연결을 확립한 후, 서버 자원을 독점하여 소모시킴. 어플리케이션, 프로토콜, 플랫폼 자체의 취약점을 이용
예제	NTP 증폭, DNS 증폭, UDP 및 TCP 증폭	SYN 플러드, Ping of Death	HTTP 플러드, DNS 서비스 공격, Slowloris 공격 등

 

 

주요 장비 배치

분석위주: DDOS 장비> 방화벽 >  IDS > IPS + waf(최종)

방어위주: DDOS 장비> 방화벽 > IPS >  IDS + waf(최종)

+ waf라는 장비는 상당히 다루기 까다로워서 배치해두고 거의 사용을 안하는 곳도 있고, 설치를 안하는 곳도 있다고 함.