Firewall
1. Firewall(방화벽)
- 보안을 높이기 위한 하드웨어 또는 소프트웨어.
- 외부 네트워크와 내부 네트워크 사이를 지나는 패킷을 관리.
- IP와 포트 번호를 활용.
- 사전 설정된 규칙에 따라 패킷을 차단하거나 보내주는 기능을 함.
2. 주요 기능
1) 접근 제어: 접근을 차단하거나 보내주는 기능으로 Firewall의 중점적인 기능.
2) 로깅과 감사 추적: 관련한 사항을 로그로 남기고, 사고가 났을 때 출입자를 확인하고 이에 대해 추적.
3) 인증: 메시지 인증, 사용자 인증, 클라이언트 인증과 같은 방법이 있음.
4) 데이터의 암호화: 보통 VPN을 이용하여 한 방화벽에서 다른 방화벽으로 데이터를 암호화해서 보냄.
3. 한계
- IP와 포트 번호를 통해서만 처리를 하다보니 그 외의 방법을 통해서 시도되는 공격은 탐지 및 보안이 어려움.
- 접근을 허용한 포트 또는 패킷에 대한 보안이 어려움.
- 악의적인 해커에 의한 서비스 거부 공격(DoS)은 현재까지는 적절한 방어가 쉽지 않음.
- 시스템의 운영체제 또는 애플리케이션의 버그 문제에 대한 대응이 어려움.
Firewall은 비교적 단순한 장비이다. Firewall을 우회하여 접근하려는 시도들이 많고, Firewall만으로는 보안을 확보하는 데에 한계가 있다. 다른 보안 장비들을 추가로 이용하여 보완할 수 있다.
DDoS(Distributed Denial of Service)
1. DDoS(분산 서비스 거부 공격)
- 감염된 대량의 좀비 PC를 이용해 동시에 접속시킴으로써 과부하를 일으켜 마비시키는 사이버 공격.
2. 목적
- DDoS의 목적은 공격 대상을 마비시키는 것이다.
- (예시)
1) 사회적 혼란을 의도한 국가의 공격.
2) 경쟁 서비스를 사용하지 못하게 하려는 업체의 공격.
3) 금전적 이익과 수익 등을 위한 공격.
3. 공격 유형
- 서비스를 거부시킬 수 있는 방법은 다양하고 많기 때문에 DDoS의 공격 유형은 매우 다양하다.
IDS(Intrusion Detection System)와 IPS(Intrusion Prevention System)
해킹 및 악의적 접근이 다양해지면서 Firewall이 탐지할 수 없는 시스템을 탐지하는 IDS(침입 탐지 시스템)가 출현했고, 탐지만 가능한 IDS의 기능에 방어 기능이 추가된 IPS(침입 방지 시스템)가 출현했다.
1. IDS(침입 탐지 시스템)
- 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템.
2. IPS(침입 방지 시스템)
- IDS, Firewall과 같은 네트워크 기반의 차단 솔루션을 논리적으로 결합한 시스템.
- 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등 방어 조치를 취하는 보안 솔루션.
IDS는 패킷을 수집해서 분석하는 탐지 장비이고, IPS는 침입을 차단하는 장비이다.
차단의 역할을 생각하면 Firewall과 같지만, IPS는 IP와 포트 번호 외의 다른 요소도 고려하는 더 고도화된 장비라고 볼 수 있다.
IDS(침입 탐지 시스템) 특징
1. IDS의 Firewall과의 차이점
- Firewall은 OSI 1~4계층까지 검사가 가능한 반면, IDS는 1~7계층 전부를 확인할 수 있음.
- Firewall은 네트워크 트래픽이 어디서 오는지 확인만 가능하다면, IDS는 공격 내용까지 감지.
2. 주요 기능
- 대상 시스템에서 제공하는 사용 내역 및 네트워크 상의 패킷 등 탐지 대상에서 생산되는 데이터 수집.
- 수집된 데이터를 침입 판정에 사용할 수 있도록 의미 있는 정보로 전환.
- 새로운 침입 패턴의 기록 관리 및 분석 결과에 대한 로그 기록.
- 가공된 데이터로 침입 여부를 판정, 탐지 기술로 분류.
- 침입 판정 시 자동으로 적절한 대응을 하거나 관리자에게 보고하여 조치를 취하도록 함.
IPS(침입 방지 시스템) 특징
1. IPS의 IDS와의 차이점
- IPS는 침입을 탐지하며 탐지에 대한 방지도 할 수 있는 시스템으로, IDS보다 업그레이드된 서비스.
- 침입이 일어나기 전에 실시간으로 침입을 막고, 유해 트래픽을 차단하는 등, 더 능동적인 보안 시스템.
