정보처리기사 보안솔루션(IPS) 이해

 

보안솔루션(IPS)란

불법적인 외부 침입으로 부터 내부 네트워크의 정보를 보호하기 위한 시스템이다. 일반적으로 방화벽이 그 역할을 한다. 방화벽은 특정 포트의 접근 제한을 가함으로써 내부 네트워크 보호를 할 수 있다. 내부와 외부 네트워크 사이의 정보흐름을 안전하게 통제하는 시스템을 말한다.

 

보안솔루션(IPS)의 기능

접근 통제기능을 한다. 특정 서버를 제외하고 내부 네트워크에 접근하는 것을 차단하고 통제하는 기능이다. 외부에서 내부 네트워크로 들어오는 패킷과 내부에서 외부 네트워크로 나가는 패킷을 통제한다. 

 

신분확인기능을 한다. 침입 차단 시스템을 통해서만 내부 네트워크 접속이 가능하게 하여 사용사의 신분을 확인하는 것이다. 네트워크 감시 통제기능을 한다. 내부 네트워크에 접속한 정보를 기록, 조사, 검토, 통제하는 기능을 하며, 불법 접속이 발견되면 추적하는 기능을 제공한다.

 

비밀성 보장 기능을 한다. 인가되지 않은 외부 사용자에게 내부 네트워크의 중요 정보가 노출되었을 때 정보가 분석되거나 해독되지 않도록 한다. 마지막으로 무결성 보장 기능을 한다.

 

보안솔루션(IPS)를 사용해야 하는 이유

보안에 취약한 서비스를 보호하기 위함이다. 완벽하지 않은 인터넷 서비스나 응용 프로그램들의 취약한 부분을 보완하고 강화한다. 접근통제한다. 컴퓨터에 존재하는 자원들에 대한 접근 권한을 사용자에 따라 부여한다. 로그와 통제한다. 사용자의 접근을 로그 파일로 기록해 사용자를 통제할 수 있는 장점을 가진다. 

 

보안솔루션(IPS)의 단점

네트워크의 속도가 느려지고 불편해진다. 정해진 규칙대로만 보호가 가능하기 때문에 새로운 형태의 공격을 차단하지 못한다. 내부에서 발생하는 형태의 공격은 차단하지 못한다. 압축 파일에 숨겨져 있는 바이러스를 찾지 못한다. 침입 시 알림 기능이 없다.

 

바이러스 침입 시 대응 방법

침입 예방은 공격을 무력화하거나 침입이 발생하지 않도록 컴퓨터 시스템이나 네트워크의 취약점을 파악하여 주기적으로 보안 관리를 수행하는 것이다. 침입 선점은 공격받기 전 공격자의 정보를 파악해서 공격자의 서버나 해킹 프로그램을 공격하여 침입을 막아내는 것이다.

 

침입방해는 공격자의 침입 목표를 숨기거나 침입 목표를 착각하게 만들어 침입하기 어려운 환경을 만드는것이다. 침입 오인은 침입 목표와 유사한 시스템을 만들어서 공격자들의 침입을 유도해 공격자가 침입에 성공했따고 생각하게 하는 방법이다. 공격자의 성향과 정보를 관찰할 수 있기 때문에 차후 공격에 대비가능하다.

 

침입 탐지는 네트워크에서 허가되지 않은 비정상적인 행동을 탐지하고 불법적인 행위와 침입 여부를 확인하여 이에 대응하는 방법이다.

 

보안솔루션(IPS)기본 시스템

스크린 라우터 
내부 네트워크로 진입하는 패킷을 감시한다. 외부 네트워크로 패킷을 전달하는 라우터 기능 뿐만 아니라 패킷의 헤더를 분석해 필터링을 수행한다. 가장 저렴한 가격으로 신속히 방화벽을 구축할 수 있다. IP주소와 포트에 대한 침입 차단만 가능하다.

배스천호스트
내부 네트워크와 스크린 라우터 사이에 설치되어 게이트웨이 역할을 수행하는 방화벽의 메인 서버 컴퓨터다. 관리자 계정으로 콘솔을 통해서만 접근이 가능하기 때문에 불필요한 유틸리티 프로그램을 설치하지 않는게 정석이다. 철저한 관리가 요구된다. 보안 소프트웨어는 항상 최신 버전을 사용한다.

프록시 서버
배스천 호스트에 설치되어 운용되는 전문화된 응용 프로그램이다. 네트워크 서버와 사용자 컴퓨터 간 중계기로 대리 통신 역할을 수행하는 서버다. 프록시 서버에 요청한 내용을 캐시에 저장하고 관리한다. 캐시를 활용해 송수신 시간을 절약할 수 있고 병목 현상을 방지한다.

 

보안솔루션(IPS) 세대별 방식

1세대 : 패킷 필터링 방식 : IP헤더와 TCP헤더를 체크하여 필터링 하는 방식이다.OSI 7계층의 네트워크 3~4단계층 프로토콜 침입을 차단한다.

2세대 : 응용게이트웨이 방식 : 인터넷으로 침입하는 공격을 응용 보안 서비스 프로그램이 차단하는 방식이다. OSI 7계층 프로토콜 침입을 차단한다.

3세대 : 서킷(회로)게이트웨이 방식 : 방화벽에 있는 프록시 서버와 안전한 통신을 위한 서킷 게이트웨이를 구축하고 이 서킷을 통해 내부 시스템과 통신하는 방식이다. OSI 7계층 중 5~7단계 프로토콜 침입을 차단한다.

하이브리드 방식 : 1세대와 2세대 방식을 혼합한 방식이다. 

스테이트풀 인스펙션 방식(Stateful Inspection) : 1세대와 2세대 단점을 보완하고 패킷이 아닌 세션 단위로 감시를 실시하여 고속으로 처리가 가능하다. 

 

보안솔루션(IPS)구축방식

단일 홈 게이트웨이 구조 : 배스천 호스트에 통신 네트워크 카드 1개를 장착한다. 일반 사용자 계정, IP 포워딩, 라우팅 기능이 없어야 한다. 

이중 홈 게이트웨이 구조 : 배스천 호스트에 통신 네트워크 카드 2개를 장착한다. 단일 홈 게이트웨이가 2개 있는 것처럼 운영된다.

스크린 호스트 게이트웨이 구조 : 단일 홈 게이트웨이 구조에 패킷 필터링 라우터를 추가하여 사용하는 구조다. 스크린 라우터에서 1차 방어, 배스천 호스트에서 2차 방어 후 내부 네트워크로 전달된다.

이중 홈 게이트웨이 + 스크린 호스트 게이트웨이 구조 : 이중 홈 게이트웨이 구조에 패킷 필터링 라우터를 추가해 사용한다. 

스크린 서브넷 게이트웨이 구조 : 배스천 호스트 양쪽에 스크린 라우터를 설치하여 외부에 통신 네트워크 카드를 설치한다. 내부, 외부 네트워크 사이에 완충지대(DMZ : DeMilitarization Zone)을 서브넷으로 두고 사용한다. 

이중 홈 게이트웨이 + 스크린 서브넷 게이트웨이 구조 : 배스천 호스트 양쪽에 스크린 라우터를 설치하여 외부, 내부에 모두 통신 네트워크 카드를 설치하는 구조다. 

 

보안솔루션(IPS) 설치시 주의사항

보안솔루션을 구축할 경우 네트워크 접속 정책을 결정해야 한다. 내부 네트워크의 접속에 대한 철저한 분석을 통해 정책을 결정한다. 접속 허용 리스트, 운영상의 문제점 및 위험 요소에 대한 정책을 결정해야 한다. 

 

모니터링 백업를 제어해야 한다. 모니터링 중 발견된 위험 요소를 제거하는 방식을 고려해야 한다. 공격자의 추적 시스템이나 백업 시스템 상태 제어가 가능한지 여부를 고려해야 한다. 보안 비용을 고려한다. 시스템별 보안 수준에 따라 구축비용과 인건비를 고려한다. 서비스의 설치 및 구성을 고려한다. 웹 서비스의 경우 보안성을 갖춘 웹 언어의 사용을 고려한다.

 

FTP서버의 접근 권한 및 익명 접근 차단을 고려한다. 일반 사용자의 보안 교육 및 관리 체계를 고려한다.

 

침입탐지 시스템(IDS : Intrusion Detection System)이란

IDS란 허가되지 않은 네트워크상의 비정상적인 행동을 탐지하고 이에 대응할 수 있는 기능을 가진 보안 시스템이다. 외부뿐만 아니라 내부 공격자의 공격을 탐지하여 공격에 대한 경고 메시지를 전달할 수 있지만 자체적으로 차단 및 작업을 중지할 수는 없다. 암호화된 공격형 패킷은 탐지할 수 없다.

 

수집된 데이터는 원격지 시스템에서 모아서 관리하게 된다. 방화벽과 상호 보완적으로 사용이 가능하다.