보안 솔루션 종류와 이해
IDS
1980년 NSA에서 처음 개념이 확립된 침입탐지시스템은 최초 감사의 목적으로 활용되었다. 근래에는 악의적인 행동을 탐지하고 관리자에게 알려주는 역할로 활용된다.
개요
- Intrusion Detection System으로 침입탐지시스템의 약어
- 1980년 NSA의 제임스 엔더슨(James Anderson)에 의해 처음 개념이 확립
- 장치 또는 소프트웨어 형태로 악의적인 네트워크나 악성행위 상태를 모니터링하여 알림 역할 수행
분류
- 대표적인 분류로 NIDS(네트워크 기반)와 HIDS(호스트 기반)로 분류함
> NIDS(Netowrk IDS) : 네트워크 트래픽을 분석하고 탐지하는 역할 수행
> HIDS(Host-based IDS) : 중요 운영체제 파일을 모니터링하는 역할 수행
> Application-based IDS : 어플리케이션 한정 범위 내에서 모든 현황들을 모니터링하는 역할 수행
탐지 방법 분류
- 이상 징후 기반 IDS(Anomaly-based IDS)
행위기반 탐지 방식이라고 불리며 특정범위 내 행동을 추적하여 악의적인 행위를 찾는 방식
시그니처 기반 방법으로 탐지하지 못하는 악성 파일이나 패킷을 찾아낼 수 있음
사람의 행동을 악성 행위로 간주하는 등의 오탐이 발생할 수 있음
- 시그니처 기반 IDS(Signature-based IDS)
지정된 시그니처를 갖는 파일이나 패킷을 탐지하는 방식
지정된 시그니처만 찾는 방식으로 오탐률이 낮음
지정된 데이터에 의해서만 가능하기 때문에 탐지할 수 있는 범위가 제한적
IPS
개요
- Intrusion Prevention System으로 침입차단시스템의 약어
- IDS의 확장 형태로 악의적인 활동을 모니터하는 기능도 포함하여 차단 기능도 수행
- 주요 기능은 주요 악의적인 활동을 차단
탐지 방법
- 시그니처 기반 탐지(Signature-based Detection)
시그니처 기반 IDS의 탐지 방법을 통해 미리 구성된 패턴과 비교 차단
- 통계적 이상 징후 기반 탐지(Statistical anomaly-based Dectection)
이상 징후 기반 IDS 수준의 네트워크 트래픽을 모니터링하고 비교 차단
잘못된 설정으로 인한 오탐 경고가 발생할 수 있음
- 상태 프로토콜 분석 탐지(Stateful protocol analysis Detection)
프로토콜 분석을 상태 기반 특성에 추가하여 탐지
HTTP, FTP 등 TCP 또는 UDP의 페이로드를 포함하는 프로토콜을 검사
공격자가 공격하는 행위를 어플리에키션 계층에서 확인 가능하며 세션으로 연계되어 있는 패킷에 대해서도 탐지가 가능
대상 분류
- NIPS(Network-based IPS) : 전체 네트워크 상 의심스러운 트래픽을 식별
- WIPS(Wireless IPS) : 무선 네트워크 프로토콜 대상을 식별
- NBA(Network behavior analysis) : 네트워크 트래픽을 분석하여 DDoS 공격 등의 비정상 트래픽 흐름의 위협을 식별
- HIPS(Host-based IPS) : 호스트에서 발생하는 이벤트를 분석하여 각 호스트에서 발생하는 의심스러운 위협을 식별
IDS/IPS 한계
- 적용 조건에 의해 오탐과 미탐의 빈번함이 크게 다를 수 있으며, IPS 적용 룰에 따라 서비스 영향도에 지장 가능성이 존재
- 시그니처 기반 탐지 방법의 경우 새로운 위협 발견과 해당 시그니처가 적용될 때까지의 지연 발생
- 암호화된 공격 패킷의 경우 단일 솔루션으로는 차단 또는 탐지가 어려움
- NIDS/NIPS 성격의 시스템이 TCP/IP 기반 공격 위협의 대상이 되어 위협 요인이 존재
WIPS(Wireless Intrusion Prevention System)
- 인가되지 않은 무선단말기의 접속을 차단하고 보안에 취약한 AP(무선공유기)를 탐지하는 솔루션
WIPS의 영역
- 불법 디바이스 탐지/차단
> 불법 AP, AD Hoc 네트워크, 인가/비안가 사용자 등
- DoS 탐지/회피
- Impersonation 탐지/차단
> MITM 공격 유형이며, 해커가 인가된 AP 혹은 사용자인 것처럼 위장하는 형태의 공격
- 패턴 매치 탐지
NAC
개 요
- Network Access Control의 약자로 네트워크 접근 통제로 불림
- 802.1X 표준을 따름
- 특정 프로토콜 사용하여 처음 접근할 때 장치가 네트워크 노드에 접근할 수 있도록 정책을 구현하거나 정의하는 컴퓨터 네트워크 솔루션
- 네트워크의 엔드포인트(서버, PC, IoT 기기 등) 장비의 네트워크 통신 허용을 위한 용도로 많이 활용
목 표
- 제로데이 공격 완화
- 인증, 인가, 계정 모니터링을 통한 사용자의 장치, 응용 프로그램 또는 보안 상태의 역할 기발 제어
- 안티 바이러스, 패치 또는 호스트 침입 방지 소프트웨어가 없는 엔드 포인트 단말이 다른 네트워크를 통해 오염 위험에 빠뜨리지 못하게 함
- 사용자 역할, 컴퓨터의 종류에 따라 정책을 조정하고 네트워크 영역에 접근할 수 있도록 함
- 최소한의 사용자만 네트워크에 접근할 수 있도록 지정함
주요 기능
- 접근 제어/인증
> 내부직원 역할 기반 접근 제어
> 네트워크의 모든 IP 기반 접근 제어
- PC 및 네트워크 장치 통제(무결성 거믖ㅇ)
> 백신/패치/자산 관리(비인가 시스템 자동 검출)
- 해킹/웜/유해 트래픽 탐지 및 차단
> 유해 트래픽 탐지 및 차단
> 위협 행위 차단
분 류
- Pre-admission : 엔드포인트가 내부망에 접근하기 전 방침을 따르게 하는 방법 ( 내부망에 접근하기 전 검역 )
- Post-admission : 엔드포인트가 내부망에 접근 후의 방침을 따르게 하는 방법 ( 내부망에 접근 후 사용자 역할 기반 통제 )
- Agent 방식 : 엔드포인트에서 정보를 얻기 위해 Agent를 통한 제어와 관리 수행
- Agentless 방식 : 설치되는 소프트웨어없이 네트워크의 접근 통제 역할 수행
- inline 방식
> 접근 계층(Access Layer)를 위한 내부 방화벽과 같이 동작되고 정책을 강제화
> 새로운 네트워크에서 구축하기 용이하고 유선상 각각 패킷을 직접적으로 통제하여 기능 강화
- Out-of-band
> 에이전트 설치되어 있는 엔드포인트에서 중앙 서버 및 콘솔로 전달 이후 제어하는 방식
> 기존 인프라 활용이 가능
안티 디도스(Anti-DDoS)
개 요
- DDoS(분산 거비스 거부) 공격을 방어하기 위한 전용 네트워크 보안 장비
- 보통 외부에서 내부로 들어오는 최 상단에 위치하여 DDoS 공격 방어 역할 수행
분 류
- 솔루션마다 각각의 기준은 다르나 일반적으로 분류로 구분함
- Transparent mode
> 백본(backbone) 네트워크 하단에 위치하여 악의적 공격 행위를 차단
- Bypass mode
> 백본(backbone) 라우터 옆에 위치하여 비정상 트래픽 감지 시 자신에게 패킷을 이동시켜 정리 후 정상 패킷을 내부로 보내는 방식
'Network > Security' 카테고리의 다른 글
5. 보안 솔루션 종류와 이해 - UTM,TMS,NMS,ESM,SIEM,SOAR (0) | 2024.08.31 |
---|---|
4. 보안 솔루션 종류와 이해 - DLP,DRM,EPP,EDR (0) | 2024.08.31 |
2. 보안 솔루션 종류와 이해 - 방화벽, 웹방화벽 (0) | 2024.08.31 |
1. 보안 솔루션 시장 변화 분석 (1) | 2024.08.31 |
11. 취약점 기반 암호화 통신 위협 이해 (1) | 2024.08.30 |