'네트워크보안'에 해당되는 글 1

  1. 2007.09.21 네트워크 시큐리티의 이해 1

네트워크 시큐리티의 이해 1

출처 : http://www.ionthenet.co.kr/newspaper/view.php?idx=12359

IT 분야의 최대 이슈로 자리잡은 보안 문제는 네트워크에 의해 야기됐다고 해도 과언이 아니다. 바이러스에서 해킹, DoS 공격, 그리고 피싱에 이르기까지 모든 보안 위협은 네트워크를 기반으로 이뤄지고 있기 때문이다. 전 세계와 연결돼 있는 오늘날의 네트워크를 이런 보안 위협으로부터 보호하기 위해서는 수없이 많은 보안 기술과 장비를 동원해야 한다. 특히 해킹 기법이 정보 탈취에서 시스템 정지, 더 나아가 사기 행위를 통한 금전적인 이익으로 변화하면서 이에 대응하는 보안 기술과 제품 역시 나날이 변화하고 있다. 이번 호에는 가장 전형적인 보안 솔루션에 대한 이해를 통해 네트워크 시큐리티의 기본적인 구조를 파악해 보겠다.

박재곤 기자

각종 장비를 통해 기업의 PC와 서버를 연결하고, 이렇게 구성된 LAN을 인터넷에 연결하는 것은 분명 업무 효율성을 높이고 보다 효과적으로 정보를 공유하기 위한 것이다. 네트워크의 기본 속성은 열려있고 연결돼 있는 것이기 때문에, 같은 언어, 즉  같은 프로토콜을 사용하는 시스템이라면 기본적으로 모두 연결할 수 있다. 그리고 이렇게 연결돼야만 네트워크는 원활한 커뮤니케이션과 정보 공유를 위한 인프라의 역할을 제대로 수행할 수 있다.
하지만 기본적으로 같은 목적을 가진 사람들이 모여 있는 기업이나 단체의 단위 네트워크와는 달리 인터넷은 수많은 기업과 단체, 그리고 개인이 각자의 목적을 가지고 연결되는 곳이다. 그러다 보니 이런 인터넷의 익명성과 개방성을 악용하는 사람들이 생겨나는 것은 어쩌면 당연한 일인지도 모른다.
이들 악의를 가진 사용자들을 일반적으로 해커라고 부르는데, 해커는 개방된 인터넷을 통해 기업의 네트워크로 침투해 중요한 기밀정보를 빼내가기도 하고, 또는 기업의 주요 시스템을 망가뜨리거나 외부 서비스를 하지 못하도록 하기도 한다.


변화하는 보안 위협과 대응 기술의 발전
네트워크의 확산은 단순히 네트워크 연결의 확산을 의미하지 않는다. 물리적인 네트워크의 확산이 일어나면 전에 없었던 애플리케이션이나 서비스가 이런 네트워크를 기반으로 생겨나고 확산되기 때문에 네트워크 환경은 점점 더 복잡해질 뿐 아니라, 전체 IT 환경이나 기업에서 차지하는 비중도 높아진다. 기업이나 조직의 비즈니스가 온라인 환경으로 이전하는 것은 이미 가속화되고 있는 상황이다.
기업의 핵심 정보시스템에 침입해 기밀 정보를 빼내가는 것이 전통적인 해킹이었다. 하지만 네트워크 환경의 확산과 높아진 비중 때문에 정보시스템 자체에 대한 공격이나 네트워크 자체에 대한 공격이 성행하기 시작했다. 이른바 1.25 인터넷 대란이 바로 네트워크 자체를 마비시키는 공격이었다.
여기에 보안 위협의 지능화도 급진전됐다. 기존 보안 시스템이나 인증 방식을 우회하거나 애플리케이션 취약점을 이용한 합법적인 접속을 가장한 침입과 공격기법들이 크게 유행하고 있다. 애플리케이션 취약점을 이용한 공격은 웹 서비스가 날로 확산되면서 가장 위협적인 공격으로 평가되고 있다.
물론 이런 보안 위협의 증가와 고도화에 대응하는 보안 솔루션의 발전도 함께 이뤄지고 있다. 초기의 보안 솔루션은 네트워크를 통한 해커의 접속을 막는데 중점을 두었지만, 이런 기존 솔루션으로 날로 다양화 지능화되는 공격을 막아내는 것은 역부족이었다. 결국 보안 솔루션 역시 다양화되고 지능화된 공격에 대응하기 위해 기본적인 방어 기술은 물론 성능이나 기능 모든 면에서 진화를 거듭하고 있다. 대표적인 것으로 지능적인 공격기법에 대응하기 위한 능동형 방어 기술의 도입과 대용량 트래픽 처리를 위한 고성능 네트워크 프로세서 채택, 그리고 다양한 기능의 추가 등을 들 수 있다.
특히 보안의 범위가 네트워크 코어나 기업의 핵심 서버에서 일반 사용자 데스크톱, 원격지 근무자의 접속, 노트북이나 PDA 등의 모바일 단말 등으로 확장되면서 보안 솔루션 역시 다양화되고 있다. 또한 이렇게 광범위하고 복잡해진 보안 솔루션을 일관성 있게 관리하기 위한 통합 보안 관리 솔루션 역시 관심을 모으고 있다.
이번호에는 이런 보안 위협과 그 대응의 변화를 쉽게 이해할 수 있는 파이어월과 IDS, 그리고 IPS에 대해 알아보겠다. 물론 이들 보안 솔루션도 환경의 변화에 따라 발전하고 있지만, 여기서는 기본적인 기능과 동작 원리를 중심으로 살펴볼 것이다.



액세스 허가제를 실시하는 파이어월
파이어월은 말 그대로 방화벽이란 개념으로 만들어진 것이다. 일반적인 방화벽은 호텔이나 빌딩 등의 대형 건물에 설치해 화재 발생 지점 이외의 층이나 방으로 불길이 번지지 못하도록 차단하는 역할을 한다. 당연히 불길이 뚫고 지나갈 수 없는 재질과 견고성을 갖춘 특수 목적의 벽이다.
네트워크 보안 장비인 파이어월 역시 비슷한 역할을 수행한다. 파이어월은 허가되지 않은 모든 트래픽은 차단한다. 앞서 설명했듯이 아무런 보안 장비도 설치하지 않은 네트워크는 기본적으로 인터넷을 통해 어떤 트래픽이든 들어올 수 있다. 하지만 일단 파이어월이 설치되면, 허가되지 않은 어떤 트래픽도 내부 네트워크로 들어올 수 없고, 밖으로 나갈 수도 없다.
예를 들어 파이어월을 설치하면 FTP, 텔넷 등의 서비스를 사내에서 승인된 사람만 사용할 수 있도록 하거나, 허가된 외부 사용자만 내부 네트워크로 들어올 수 있도록 설정할 수 있다. FTP는 내부 사용자가 회사 기밀을 외부로 빼돌릴 목적에 사용될 수 있다. 즉, 외부 서버에 계정을 만든 후 회사 내의 중요한 자료를 FTP로 파일 전송을 할 수 있다. 파이어월은 이 때문에 FTP를 통해 정보가 외부로 나가는 것을 막는 것이다.
때문에 파이어월이 본격적으로 공급되기 시작한 1990년대 말에는 이런 파이어월의 기능 때문에 사용자와 네트워크 관리자 간의 갈등도 적지 않았다. 파이어월이 일선 네트워크에 공급되기 시작한 초기에는 대부분의 네트워크 관리자들이 파이어월을 제대로 관리할 만한 지식과 경험을 갖추지 못한 경우가 많았고, 때문에 공급업체에서 초기에 꼭 필요한 트래픽만 허가해 놓은 설정을 그대로 사용하는 경우가 많았다. 이 경우 사용자들은 그 전에 잘 사용하던 FTP나 텔넷 등의 애플리케이션을 이용할 수 없다. 결국 네트워크 관리자와 사용자 간에 포트를 개방해야한다 말아야 한다 실갱이가 벌어지기도 했다. 이와 반대로 기업의 임원급에서 특정 포트를 열어달라고 하는 대로 열어주다 보면 파이어월이 설치하나 마나한 상태가 되기도 했다.



파이어월이 만드는 평화의 공간 DMZ
현재 보급되고 있는 대부분의 파이어월은 하드웨어 일체형이기 때문에 오히려 네트워크 장비에 가까운 내부 구성을 갖고 있지만, 기본적으로 파이어월은 서버와 비슷한 구성이다. 즉 라우터처럼 CPU와 메모리, 운영체제를 갖고 있으며, 여기에 하드디스크까지 장착하고 있는 전형적인 서버의 구성이다. 실제로 초기의 파이어월은 대부분 소프트웨어 제품이어서 윈도우 운영체제나 유닉스, 리눅스 등의 운영체제를 사용하는 서버급 컴퓨터에 탑재되는 형식이었다.
파이어월이 네트워크에 설치되는 위치는 기업의 네트워크 환경과 파이어월 구성 방식에 따라 다르지만, 일반적으로 (그림 2)과 같이 인터넷으로 통하는 길목에 설치된다. 이로써 기업 네트워크의 내부와 외부를 오가는 트래픽을 모두 감시한다. 하지만 기업이 웹 사이트나 FTP 서비스를 운영하고 있다면
(그림 3)와 같이 DMZ(DeMilitarized Zone)를 구성하는 방식도 외부 웹 서비스를 하는 기업의 경우 많이 사용하는 방식이다. DMZ는 말 그대로 외부와 내부가 서로 연결되지 않도록 하는 공간이다. 실제로 (그림 2)과 같이 파이어월을 설치하고, 웹 서버나 메일 서버 등 외부에서 접속하는 서버를 내부 네트워크에 둘 경우, 어쩔 수 없이 열어둬야 하는 서비스들 때문에 외부의 불특정 다수에게 접속을 열어둘 수 밖에 없다.
예를 들어 웹 서비스를 한다면 웹 서버가 주로 사용하는 80포트를 열어놓게 되는데, 이때 해커가 열어놓은 포트를 통해 웹 서버를 해킹하고, 이를 통해 내부 네트워크를 돌아다니며 필요한 정보를 빼가거나 시스템을 망가뜨릴 수 있다. 하지만 (그림 3)와 같이 DMZ를 구성할 경우, 외부에서의 접속은 DMZ 내에 있는 서버들, 즉 웹 서버나 메일 서버 등에 한정할 수 있다.



파이어월의 주요 보안 기술
파이어월의 보안 기술은 크게 기본 라우터 보안, 패킷 필터링, 애플리케이션 프록시, SIF(Stateful Inspection Firewall)로 나눌 수 있다. 이중 기본 라우터 보안 기술은 일반적으로 사용하고 있는 액세스 라우터에서 ACL(Access Control List)와 NAT(Network Address Translation)로 구현할 수 있는 기본적인 보안 환경이다.
ACL은 사용할 수 있는 서비스를 나열한 단순 리스트로, 이를 통해 외부에서 들어오는 특정 IP 어드레스나 포트 번호를 막을 수 있다. NAT는 하나의 공인 IP 어드레스만으로도 기업이나 조직의 여러 사용자가 인터넷에 접속할 수 있도록 하는 IETF 표준이다. NAT는 개인적인 사설 IP 네트워크를 숨길 수 있기 때문에 내부 사설 IP를 외부로부터 숨김으로써 해커 등이 내부 네트워크 토폴로지를 알지 못하도록 한다.
하지만 기본적으로 라우터는 외부와 내부의 소통을 연결해주는 역할을 하는 장비이기 이를 막는 것이 기본 역할이 아니다. 때문에 라우터의 기본 보안 기능을 사용하는 것은 기본적인 보안 환경을 구현할 수는 있어도 충분한 보안 환경을 구현하기에는 턱없이 부족하다. 라우터는 하드디스크를 이용해 몇 개월치의 사용자 로그를 저장, 불법 접속자에 대한 분석이 가능하고, 단순히 접속을 막고 차단하는 것뿐 아니라 애플리케이션 레벨까지의 강력한 보안을 지원할 수 있다.


·패킷 필터링
패킷 필터링(Packet Filtering) 기능을 가진 파이어월은 OSI 네트워크 계층에서 데이터의 IP 정보를 조사해 접근 제어 규칙에 패킷이 일치하면 통과시키고, 그렇지 않으면 폐기시켜 내부 네트워크로 들어오는 접근을 막는다. 현재는 일반적인 라우터의 기능으로 자리잡았다.
패킷 필터링은 가격이 저렴하고 네트워크 계층 이상의 상위 계층은 인식하지 않으므로 애플리케이션 프록시보다는 처리 속도가 빠르다는 장점이 있는 반면, 다양한 구성이 어렵고 사용자 접속과 외부 침입에 대한 로깅 기능이 없는 것이 단점이다. 따라서 IP 스푸핑 같은 해킹 공격으로 우회해 언제든지 내부 네트워크가 위협받을 수 있다.


·애플리케이션 프록시
애플리케이션 프록시 파이어월은 프록시 기술을 이용해 내부 사용자와 외부 인터넷 사이에 중간자 역할을 수행해 직접적인 연결을 피하고, 각각의 IP와 응용 서비스에 대해 보안적인 조사를 해 접근 제어 규칙을 적용하는 파이어월이다.
프록시 기술은 특정한 애플리케이션에 적용되도록 구성된 일종의 코드다. 따라서 이 방식은 각각의 프로토콜을 프록시로 구현함으로써 패킷 필터링 애플리케이션보다 정교한 접근 제어가 가능하며, 모든 데이터에 대해 상세한 로그가 남는다. 하지만 각 응용 서비스와 프로토콜마다 네트워크의 애플리케이션 계층까지 정보를 갖고 가기 때문에 처리 성능의 저하를 가져올 수 있으며, 프록시의 수가 주요 인터넷 서비스에만 제한돼 새로운 서비스에 즉각 적용하기 어려운 것이 단점이다.


·SIF
SIF(Static Inspection Firewall)는 패킷 필터링 파이어월과 애플리케이션 파이어월 기술을 상호 보완해 탄생시킨 것이다. 이는 전체적인 패킷 필터링을 통해 IP 정보 뿐만 아니라 데이터 정보까지 조사해 애플리케이션 계층까지의 서비스도 규칙에 따라 접근 제어를 할 수 있도록 한다.
이 기술은 네트워크 계층과 데이터 링크 계층 사이의 검사 엔진(Inspection Engine)이 모든 계층의 정보를 바탕으로 접근 제어를 하며, 과거의 교환 정보와 애플리케이션 정보를 갖고 계속적으로 데이터에 대한 승인 여부를 결정하는 것을 말한다.




 
침입 패턴 분석으로 정교한 탐지 가능한 IDS
IDS(Intrusion Detection System)는 단순히 외부의 침입을 차단하는데 만족해야 했던 파이어월에서 진일보해 침입의 패턴 데이터베이스와 전문 시스템을 사용해 네트워크나 시스템의 사용을 실시간으로 모니터링하고 침입을 탐지하는 기능을 한다.
파이어월과 IDS를 쉽게 비교한다면, 빌딩을 출입할 때 1층 의자에 앉아있는 경비아저씨를 떠올리면 된다. 경비원들은 출입자의 짐이나 방문 목적을 일일이 확인할 수 없기 때문에 일단은 외모를 보고 판단한다. 파이어월도 마찬가지로, 내부 패킷까지 확인하지 못하고 무조건 TCP/IP 어드레스로 판단하기 때문에 위장을 할 경우 쉽게 침입할 수 있다. 더 큰 문제는 내부인이 건물에서 나가는 경우에는 검문을 하지 않는다는 점이다. 보안 사고의 70% 이상이 내부인에게서 발생한다는 통계를 고려한다면 보안상 허점이 생기는 것이다.
IDS를 설치하면 외부와 내부 출입자의 짐을 검사할 수 있기 때문에 해킹을 2차로 막을 수 있고, 내부 사용자가 승인되지 않는 서버에 접속하는 것도 파악할 수 있다. 파이어월은 네트워크의 출입구에 설치해 정해진 보안 정책에 따라 드나드는 패킷을 검사해서 룰(rule)과 비교해 통과 여부를 결정하는 역할을 한다. IDS도 패킷을 검사한다는 점에서 유사하지만, 네트워크를 출입하는 모든 패킷을 검사한다는 점이 다르다.



IDS의 해킹 분석 방법론
IDS는 원시 데이터(Raw Data Source), 사건탐지(Event Detection), 분석(Analysis), 대응(Response), 데이터 저장소(Data Storage)의 5가지 요소로 구성된다. 이런 요소들이 순차적으로 조합을 이뤄 침입 탐지 프로세스가 된다.
첫 단계는 정보 수집 단계로, 시스템의 모든 정보를 수집해 다음 단계인 정보 가공, 축약단계로 넘기는 기능을 수행한다(단지 침입 정보만을 수집하는 것이 아니라 모든 정보를 수집한다). 두 번째 단계는 정보 가공과 축약 단계로, 침입 탐지에 필요한 의미있는 정보만을 축약하는 단계다. 세 번째 단계는 침입 여부를 판정하는 분석, 침입 탐지 단계로 침입 탐지 시스템의 핵심 과정이다. 마지막 단계인 보고, 조치단계는 침입으로 판단되면 관리자에게 보고하고 관리자가 조치를 취하는 단계다(히스토리 관리를 위한 로그 기록은 저장한다).
IDS의 분류는 보호하고자 하는 목적 시스템 즉, 침입을 판단하기 위한 데이터를 제공하는 소스에 따른 분류와 침입 모델을 기반으로 하는 분류 방법이 있다. 먼저 데이터 소스를 기반으로 분류하는 방법을 살펴보자.
첫째, 단일 호스트 기반 IDS는 단일 호스트에서 침입을 탐지하는 것으로 그 호스트의 감사(Audit) 기록이나 들어오는 패킷 등을 검사해 침입을 탐지한다. 예를 들면 호스트의 로그인 프로세스를 감시하고 루트(root) 사용자의 행동을 감시하며, 파일 시스템 감시 등을 통해 침입을 발견하는 것이다.
네트워크 기반의 IDS보다 잘못된 탐지 즉, 침입이 아님에도 불구하고 침입으로 오판하는 경우가 적은 반면, 우선 타깃 호스트에 설치해야 하므로 해당 호스트의 성능이 저하되고, 데이터를 얻기 위한 로그인 등에 대한 설정이 번거로우며 타깃 호스트가 있는 네트워크 내의 다른 호스트들이 공격을 당해도 알 수가 없다는 단점이 있다.
둘째, 다중 호스트 기반 IDS는 여러 호스트들로부터 데이터를 제공받아 침입을 탐지하는 방식이다. 좀 더 정확한 탐지를 위해 타깃 호스트 사이의 통신을 이용하기도 한다.
셋째, 네트워크 기반 IDS는 패킷 스니퍼(Packet Sniffer)와 패킷 모니터(Packet Monitor) 도구의 발전으로 생겨나게 됐다. 네트워크 상의 모든 트래픽에 대해 패킷을 수집하고 분석해 침입을 발견하는 일은 엄청나게 복잡한 업무다. 이를 자동으로 처리하는 것이 바로 네트워크 기반 IDS이다. 특히 권한없이 접근한다거나 권한을 초과하는 접근에 대한 탐지가 뛰어나다. 또한 네트워크 내의 호스트나 서버의 별도 설정없이 사용할 수 있으며, 파이어월처럼 라우팅 같은 중요한 역할을 담당하지 않기 때문에 오류 발생 시 큰 피해를 주지 않는다.
반면 성능에 대한 요구사항 때문에 서명분석(signature analysis)을 하는 경우가 많은데, 이는 일반적으로 알려진 공격을 탐지하는 데는 뛰어나지만 복잡한 요소를 가진 위험요소를 가진 공격을 탐지하기가 어렵다. 또한 네트워크 패킷 처리능력이 침입 탐지 시스템의 성능을 결정짓게 되므로 적합한 네트워크를 대상으로 적용해야 한다.


선차단 후처리로 즉각 대응 가능한 IPS
파이어월과 IDS의 단점을 보완하는 IPS(Intrusion Prevention System)의 핵심은 ‘능동적 보안’이다. 새로운 애플리케이션과 서비스의 출현 등으로 복잡해진 네트워크 환경의 변화에 따라 공격기법 자체도 급속히 진화하고 있기 때문에 ‘외부로부터 침입과 위협 요소를 사전에 탐지/차단하고 지능화된 각종 공격과 유해 트래픽에 대한 자동화된 보안 대응기술’이 주요 이슈가 되고 있다. 이같은 기술의 가장 대표적인 것이 바로 IPS다.
파이어월의 경우 정해진 규칙에 따라 외부에서의 접근을 차단하는 역할만을 수행하고, IDS는 탐지 중심의 솔루션이라 이상 트래픽을 탐지해도 이에 대한 조처를 취할 수 없다는 단점을 갖고 있다. 설령 내부나 외부로부터의 공격을 탐지했다고 해도, 보안 관리자가 침입을 막기 위한 조치를 취하기 시작하는 시점까지는 어느 정도의 시간이 걸린다. 이 때문에 이미 침입자에 의한 침입이 진행된 상태여서 기업은 오랜 시간과 많은 비용이 소요되는 원상복구와 수리 작업을 수행할 수밖에 없다.
이와 달리 IPS는 공격 시그니처를 찾아내고 네트워크의 트래픽을 관찰해, 수상한 활동을 하는 패킷에 조치를 취할 수 있다. 서버가 비정상적인 행동을 할 경우 자동으로 실행을 중단시킨다. 또한 기존 시스템의 오탐지가 발생하는 것을 피할 수 있도록 정확하게 침입을 구별하고 패킷을 감시하므로 빠른 성능으로 실시간 반응이 가능하도록 개발된 솔루션으로, 최소한의 구성과 커스터마이징으로 관리자의 업무를 줄여줄 수 있다.
특히 고성능 네트워크 프로세서를 장착하고 하드웨어 기반의 어플라이언스 형태로 설계돼 높은 성능을 제공하고, VIPS(Virtual IPS) 기능을 이용해 설치와 운영에서의 유연성 보장도 가능하다는 것이 장점이다.
기존 보안 솔루션의 장점을 흡수하면 발전된 IPS는 기반으로 하는 보안 기술이나 아키텍처가 업체마다 달라 초기에는 사용자를 혼란스럽게 하기도 했다. 하지만 시장에 적용되는 과정을 거치면서 기능이나 성능 등에서 일정한 범위를 갖게 됐다.
현재 IPS의 핵심기술로 가장 중요시되는 것은 급속한 증가가 예상되는 제로데이 공격(Zero-day Attack)의 위협에 대한 능동적 대응 기법과 알려지지 않은 공격(Unknown Attack)이나 이상 트래픽(Anomaly Traffic)을 효율적으로 탐지하고 방어할 수 있는 정확한 분석 기능이다.
이를 위해 IPS는 시그니처 패턴 매칭 기법과 트래픽 유형 분석, 그리고 프로토콜 분석 기능을 병행해 동작하는데, 내/외부로부터 악의적인 공격과 유해 트래픽의 실시간 탐지/차단을 위해 모든 네트워크 트래픽과 프로토콜에 대한 완벽하고 철저한 분석기능을 제공해야 한다.
특히, IDS의 단점인 오탐율 최소화와 알려지지 않은 신종 변종 공격에 효율적인 대처를 위해 패킷 기반 뿐 아니라 세션 기반 탐지 기법까지 제공해야 하며, 다양한 이상 징후 탐지(Anomaly Detection) 기법과 분석 기능 제공이 필수적이다.



IPS의 주요 기능과 구성
IPS도 크게 호스트 기반 IPS와 네트워크 IPS로 나눌 수 있다. 호스트 IPS는 ▲커널과 함께 동작해 커널 이벤트를 가로채 처리하는 방식과 ▲커널과 독립적으로 작동하는 방식으로 구분된다. 커널의 이벤트를 가로채는 방식은 대부분 액세스 컨트롤의 기능을 가지고 트러스트 운영체제 제품군이고, 커널과 독립적으로 작동하는 방식은 차폐(Shielding) 기술 또는 시그니처와 행동 기반 분석 알고리즘을 탑재해, 이벤트를 관찰해 특정 규칙에 위배하는 이벤트를 필터링하는 제품으로 선보였다.
이같은 기술이 일반적인 IDS나 바이러스 백신 제품과 차이점은 규칙이나 시그니처 기반의 방어뿐만 아니라, 패킷의 행동에 의해 자동적으로 반응을 한다는 것이다. 자동적인 반응의 형태는 각 이벤트의 위험 수위에 따라 달라지며, 결정된 반응의 형태는 관리자가 조절할 수 있다. 이런 선조치 후처리 방식은 악의적인 이벤트로 인한 시스템의 피해를 최소화할 수 있다. 또한 기존의 방식인 선탐지 후조치의 관리 방식을 개선해 보안 관리자의 업무를 줄여줄 수 있다.
네트워크 기반 IPS의 핵심은 실시간 패킷 처리 속도, 오탐지를 최소화하는 기술, 변형 공격과 오용공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술이 주요하다.
IPS를 구성하는 주요 기술은 다음과 같다.


·오탐지 또는 미탐지를 최소화하며 자동적으로 한계영역을 조절하는 실시간 적응형 알고리즘
·모든 네트워크의 활동과 애플리케이션 취약점에 대한 침입을 탐색해, 침입여부를 판단하는 결정(Deterministic)과 퍼지(FUZZY) 등의 확률 또는 인공지능 알고리즘
·DDoS 공격에 대한 방어와 감내 알고리즘
·성능이 향상된 행동 분석 알고리즘
·변형 침입 탐지와 오용 탐지의 고유 알고리즘
·다양한 종류의 방지 방법과 방식
·방지하는 방법이 정확함을 입증할 수 있는 자동화된 피드백 메커니즘
·방지 능력과 빠른 반응 속도를 위한 네트워크상의 위치 제품
·탐지와 방지 로그의 최소화 혹은 빠른 분석 속도를 위한 분류된 로그의 사용으로 향상된 로그 관리
·내부에서 외부 혹은 내부에서 내부의 침입을 막기위한 접근 권한 알고리즘
·패킷 캡처와 분석 시간, 반응 시간의 실시간 처리를 위한 성능
·하드웨어 일체형, ASIC 기반 등


IPS의 설치 위치는 보호하고자 하는 네트워크의 전단에 배치하는 것이 일반적이다. (그림 8)과 같이 DMZ나 내부 서버팜, 그리고 내부 네트워크 적용하는 것이다. 그러나 네트워크 관리자나 보안 관리자에 의해 특정 세그먼트에 적용할 수도 있다.
IPS가 DMZ 내에 위치하게 되면 웹서버나 메일 서버를 외부 악성 공격을 방어할 수 있으며, 파이어월 앞단에 위치하면 악성공격을 실시간으로 차단함으로서 파이어월의 부하를 줄여준다. 또한 서버 팜과 연결해 외부의 공격으로부터 중요 서버들을 보호하며, 내부 네트워크에서는 내부 공격에 대응해 해킹사고를 미연에 방지할 수 있다.


신고

'개발' 카테고리의 다른 글

Eclipse Plugin  (0) 2007.10.09
File Name 변환기  (4) 2007.10.08
네트워크 시큐리티의 이해 1  (0) 2007.09.21
Struts - 스트럿츠 아키텍쳐  (0) 2007.09.07
Pagination Query  (2) 2007.09.03
XML 금지 문자  (0) 2007.08.29
TRACKBACK 0 COMMENT 0

티스토리 툴바