상태감시 방화벽(Stateful Inspection Firewall) - Domain 5 Domain 5 정보자산의정보자산의보호보호

– 조직의 내부 네트워크에서 출발하는 각 패킷에 대하여 목적지 IP주소에 대한 기록을 유지 히고 들어오느 패킷에 대하여 소스IP주소를 맵핑

– Application 특성에 따라 선행 트래픽을 기초로 하여, 예측된 트래픽에 대한 제어를 동적으로 수행

– 단순 트래픽 정보의 개념을 더욱 발전

– Application의 섬세한 Data를 분석하여, 예측하는 트래픽을 위한 순간적인 좁은 통로를 동적으로 생성

– 각 패킷에 대해 보안상 그 내용을 검토해야 하는 경우에, 프락시를 부분적으로 이용

– 속도 문제와 보안성을 동시에 추구

– 다른 두 유형의 방화벽보다 관리가 상대적으로 어렵다

방화벽 Rule 적용 -샘플

방화벽 방화벽 Rule 적용 Rule 적용 -샘플 - 샘플

사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com

방화벽시스템 구성형태 -1 방화벽시스템

방화벽시스템 구성형태 구성형태 -1 - 1

• 스크린드 호스트 (Screened Host)

• 듀얼 홈드 호스트( Dual Homed Host)

• DMZ 혹은 스크린드 서브넷 (Screened Subnet)

방화벽시스템 구성형태 -2 방화벽시스템

방화벽시스템 구성형태 구성형태 -2 - 2

• 스크린드 호스트 (Screened Host)

– Screening Router와 하나의 Bastion Host로 구성 – 외부에서의 접근은 오직 Bastion Host로만 허용 – Screening Router에 필터링 기능 부여

– 내부에서 외부망으로의 접근은 보안정책에 의해 구현 가능

외 부 S c r e e n R o u t e r

B a s t io n H o s t 인 터 넷

내 부 네 트 워 크

사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com

방화벽시스템 구성형태 -3 방화벽시스템

방화벽시스템 구성형태 구성형태 -3 - 3

• 듀얼 홈드 호스트( Dual Homed Host)

– 가각 서로 다른 네트워크에 연결된 두개 이상의 네트워크 인터페이스를 가지는 형태

– 한 개의 인터페이스는 외부, 다른 인터페이스는 내부에 연결 하여 두개의 네트워크로 분리

내부네트웍

Bastion Host Proxy Program 인터넷

방화벽시스템 구성형태 -4 방화벽시스템

방화벽시스템 구성형태 구성형태 -4 - 4

• DMZ 혹은 스크린 서브넷(Screened Subnet) – 독립된 네트워크를 가지는 형태

– 외부와 내부네트워크의 직접적인 트래픽은 불가능

– 외부에서의 접속은 Screened Subnet상의 호스트와만 통신 가능 – 내부 네트워크에서의 외부 네트워크에 대한 접속 또한 Screened

Subnet상의 호스트를 통하여만 통신이 가능 – 두개의 Screening Router와 Bastion Host로 구성

외 부 망 (인터네트)

Blocked

스크린 라우터 스크린

서브넷 서비스

제공서버

내 부 망

베스쳔호스트 스크린

라우터

사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com

방화벽의 방화벽의 현안들 현안들

• 방화벽 구현후 당면하는 문제점 – 경영층의 잘못된 보안 인식

• 방화벽이 있으니 더 이상 내부 네트워크에 보안 점검이나 통제가 필요하지 않다고 인식

– 모뎀을 사용한 사용자들의 방화벽 우회

• 방화벽 사용시 경영진은 모뎀의 사용을 엄격히 통제 또는 금지 – 잘 못 구성된 방화벽

• 알려지지 않은 위험한 서비스가 통과됨 – 방화벽 구성요소의 오해

• 단순한 스크리닝 라우터를 방화벽으로 주장 – 모니터링 활동

• 정기적으로 모니터링 활동을 수행하지 않음 – 방화벽 정책

• 방화벽 정책이 정기적으로 점검되고 변경되는 등 유지보수가 되지 않음

• 방화벽 플랫폼

– 방화벽은 하드웨어 혹은 시스템 소프트웨어 플랫을 사용하여 구현 함 – 하드웨어로만 구성되거나 소프트웨어만으로 구성되는 것보다는 일체형장비를

쓰는 것이 낫다.

침입탐지 시스템 -1 침입탐지 침입탐지 시스템 시스템 -1 - 1

• 악의적인 의도로 침입 하는 유형을 감지하여 경고를 발생함

• 내부 사용자의 오용으로부터 회사자산을 보호함

• 네트워크 기반 침입탐지(Network-based IDS)

– 네트워크에 대한 공격을 확인하고 운영자에게 위험 알림 – 인터넷과 방화벽 사이에 설치 – 모든 침입 시도 감지 – 방화벽과 내부망 사이에 설치 – 방화벽을 통과한 침입 발견 – 방화벽의 대체가 아니라 방화벽을 보완

• 호스트 기반 침입탐지(Host-based IDS) – 특정한 환경을 위해 구성

– 운영시스템의 각종 자원을 모니터링

– 실행 프로그램의 변경, 파일의 삭제 등을 탐지 – 특별한 권한의 명령을 사용하기 위한 시도시

경고 발생

Firewall Router 내부네트워크

및Server군

Internet

Hub

IDS Manager 콘솔 S-IDS Agent

N-IDS Agent

사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com

침입탐지 시스템 -2 침입탐지 침입탐지 시스템 시스템 -2 - 2

• 침입탐지 구성요소 – 센서

• 데이터 수집

• 패킷, 로그파일, 시스템 호출 등의 형태 – 분석기

• 센서로부터 입력을 받고 침입 행위를 판단 – 관리콘솔

– 사용자 인터페이스

• IDS의 기능

– 침입탐지, 증거수집, 자동화대응 – 보안정책관리 및 모니터링 – 시스템도구와 인터페이스

• 침입탐지 시스템의 제한

– 보안 정의의 취약점 , 어플리케이션 레벨의 취약점 – 어플리케이션내의 백도어, 식별 및 인증 스킴의 취약점

4. 보고보고및및조치조치 (Report & Response) (Report & Response) 2. 2. 정보가공정보가공및및축약축약

(Data Reduction) (Data Reduction) 1.

1. 정보수집정보수집 (Data Collection) (Data Collection)

Host MultiHost Network

3. 침입침입분석분석및및탐지탐지 (Analysis & Detection) (Analysis & Detection)

MisuseAnomaly

4. 보고보고및및조치조치 (Report & Response) (Report & Response) 2. 2. 정보가공정보가공및및축약축약

(Data Reduction) (Data Reduction) 1.

1. 정보수집정보수집 (Data Collection) (Data Collection)

Host MultiHost Network

3. 침입침입분석분석및및탐지탐지 (Analysis & Detection) (Analysis & Detection)

MisuseAnomaly

침입탐지 모델 침입탐지 침입탐지 모델 모델

• 서명기반(Signature-based)

– 알려진 침입 패턴에 대한 침입 탐지, Misuse Detection – 침입패턴은 서명(Signature) 형태로 식별되고 저장

• 통계기반(Statistical-based)

– 평상시 사용자의 패턴 분석 후 입력 패턴과 비교하여 침입을 탐지하는 모델 , Abnormal Intrusion Detection

– 알려진, 기대되는 시스템의 동작에 대한 포괄적인 정의가 필요

• 뉴럴 네트워크( Neural Networks)

– 네트워크 상의 일반적인 활동이나 트래픽의 패턴을 모니터링 하고 데이터베이스를 생성

– 통계적 모델과 유사하지만 자기학습기능이 추가됨

사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com

허니팟 / 허니 넷 허니팟 허니팟 / / 허니 허니 넷 넷

• 허니 팟

– 인터넷 상에서 연결되어 있는 서버가 실패한 것 처럼 보이게하는 소프트웨어 응용

– 오히려 해커를 꾀어 들이는 미끼 시스템으로 해커를 유혹함

– 기술적으로는 방화벽, IDS에 연결되어 있기는 하지만 네트워크상의 실제 프로덕션 가치는 갖고 있지 않음

– 높은 상호작용 : 실제환경 제공

– 낮은 상호작용 : 실제환경을 모의로 꾸며서 제공

• 허니 넷

– 여러 허니 팟을 함께 연결하여 더 큰 모의 네크워크를 꾸밈

– 해커가 가짜 네트워크로 침투하게끔 하고 조사자가 감시기술을 이용하여 그들의 움직임을 감시

• 허니팟과 허니넷의 모든 트래픽은 의심스러운 것으로 간주

• 이들 공격으로 모터 모은 정보는 실제 네트워크상의 취약성을 갱신하는데 사용

암호화 / 복호화 암호화 암호화 / 복호화 / 복호화

• 암호화 / 복호화

– 평문의 메시지를 암호문이라 불리는 안전하게 코드화한 텍스트로 변환 하는 과정

– 이때 사용되는 메시지의 재구성 방법을 암호화 알고리즘이라 함.

– 암호화 알고리즘에서는 Key를 사용함.

– 복호화는 암호화의 역과정으로서, 암호화에 사용된 동일한 알고리즘을 이용하여 본래의 메시지로 환원하는 과정

• 암호화 시스템의 주요요소

– 암호화 알고리즘, 암호화 키, 키 길이

• 암호화의 사용 용도

– 네트웍을 통하여 전달되는 데이터의 보호

– 비인가 된 열람과 조작으로부터 컴퓨터에 저장된 정보보호

– 무의식적인 또는 의식적인 데이터의 변경을 방지 및 감지

사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com

암호 형태 암호 암호 형태 형태

• 연산 유형

– 전치(Transposition) : 평문의 문자를 재배열하는 방법

– 치환(Substitution) : 평문의 각 문자를 다른 문자나 심볼로 일대일 대응 – 혼합

• 전치와 치환의 방법을 모두 사용

• DES(Data Encryption Standard) 알고리즘

• 평문 처리방법

– 블록 암호화 : 연산을 블록 단위로 처리

– 스트림 암호화 : 평문과 동일한 암호를 연속적으로 처리

• 암호화 방식

– 대칭키(비밀키) 암호화 : 암/복호화시 동일 키 사용 – 비대칭키(공개키) 암호화 : 암/복호화시 다른 키 사용

암호화 복호화

공통비밀키

대칭형 암호시스템(알고리즘)

•특징 : 암호화키와 복호화키가 동일

•장점 : 암복호화를 위해 하나의 키만 사용, 암호화 및 복호화 속도가 빠름

•단점 : 키관리의 어려움. 키분배의 문제. 다양한 응용의 어려움

•알고리즘 : DES, AES, SEED, 3DES, SEA, RC4, Blowfish, IDEA, FEAL

Dyejsmldmnf mdfnmd,sdd fnfnfnlkfekkfe-Dyejsmldmnf mdfnmd,sdd

fnfnfnlkfekkfe-대칭형 암호시스템(알고리즘) 공통비밀키

대칭키(비밀키) 암호기술

사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com

대칭 키 암호기술 -DES 대칭 키 암호기술 -DES

평 문

L0 R0

L1 R1

L15 R15

K16

L16 R16

암호문 IP^-1

•1977년 미 상무성 표준국이 연방정부 관계의 일반 컴퓨터 데이터용 표준 암호 로 제정

•평문/암호문 : 64비트 블록 사용

•키 : 56 비트 (8비트는 패리티비트)

•64비트의 평문에 대한 처리를 16회 반 복처리

•DES 대체 알고리즘으로 AES

(Advanced Encryption Standard) 도입Æ Rijndael (벨기에) 채택

•운영방식

-ECB (Electronic Code Block) -CBC (Cipher Block Chaining) -CFB (Cipher Feedback) -OFB (Output Feedback)

암호화 복호화

공개키(수)

비 대칭형 암호시스템(알고리즘)

Dyejsmldmnf mdfnmd,sdd fnfnfnlkfekkfe-Dyejsmldmnf mdfnmd,sdd

fnfnfnlkfekkfe-비 대칭형 암호시스템(알고리즘) 개인키(수)

•특징 : 암호화키(=공개키)와 복호화키(=비밀키)와 가 다름

•장점 : 키관리가 용이. 다양한 응용이 가능. 안전성이 뛰어남

•단점 : 암호화 및 복호화 속도가 느림

•사례 : RSA, ECC, KCDSA, ElGamal, DSS 등

비대칭키(공개키) 암호 기술 비대칭키(공개키) 암호 기술

암호화 된 문서

문서에서 Domain 5 Domain 5 정보자산의정보자산의보호보호 (페이지 34-43)