보안 솔루션

목차

1. 침입 차단 시스템(IPS: Intrusion Prevention System)
2. 침입 탐지 시스템(IDS: Instrusion Detection System)
3. 백도어 탐지 기법

---

1. 침입 차단 시스템(IPS: Intrusion Prevention System)

1-1. IPS의 개념

* 불법적인 외부 침입으로부터 내부 네트워크의 정보를 보호하기 위한 시스템
* 일반적으로 방화벽(Firewall) 그 역할을 담당한다
* 내부와 외부 네트워크 사이의 정보흐름을 안전하게 통제하는 시스템

1-2. IPS의 기능

1. 접근 통제기능
2. 신분 확인기능
3. 네트워크 감시 통제기능
4. 비밀성 보장기능
5. 무결성 보장기능

1-3. IPS의 장점

* 취약한 서비스의 보호
* 접근 통제
* 로그와 통제

1-4. IPS의 단점

* 네트워크의 속도가 느려지고 불편해진다
* 정해진 규칙대로만 보호가 가능하며 새로운 형태의 공격을 차단하기 어렵다
* 내부에서 발생하는 형태의 공격은 차단하지 못한다
* 압축파일에 숨겨져 있는 바이러스를 찾지 못하고 침입시에 알림 기능이 없다

1-5. 침입 대응 방법의 종류

1. 침입예방(Intrusion Prevention)
2. 침입선점(Intrusion Preemption)
3. 침입방해(Intrusion Deterrence)
4. 침입오인(Intrusion Deflection)
5. 침입탐지(Intrusion Detection)

1-6. IPS의 기본 시스템

1. 스크린 라우터(Screen Router)
2. 배스천 호스트(Bastion Host)
3. 프록시(Proxy) 서버

1-7. IPS의 세대별 방식

1. 패킷 필터링(Packet Filtering)방식 - 1세대
2. 응용 게이트웨이(Application Gateway)방식 - 2세대
3. 서킷(회로) 게이트웨이(Circuit Gateway)방식 - 3세대
4. 하이브리드(Hybrid)방식
5. 스테이트풀 인스펙션(Stateful Inspection)방식

1-8. IPS의 구축방식

1. 단일 홈 게이트웨이(Single-Homed Gateway)구조
2. 이중 홈 게이터웨이(Dual-Homed Gateway)구조
3. 스크린 호스트 게이트웨이(Screened Host Gateway)구조
4. 이중 홈 게이트웨이 + 스크린 호스트 게이트웨이 구조
5. 스크린 서브넷 게이트웨이(Screen-Subnet Gateway)구조
6. 이중 홈 게이트웨이 + 스크린 서브넷 게이트웨이 구조

1-9. IPS 구축시 고려사항

1. 네트워크 접속 정책 결정
2. 모니터링 백업의 제어
3. 보안비용
4. 서비스의 설치 및 구성

---

2. 침입 탐지 시스템(IDS: Instrusion Detection System)

2-1. IDS의 개념

* 허가되지 않은 네트워크상의 비정상적인 행동을 탐지하고 이에 대응할수 있는 기능을 가진 보안시스템
* 암호화된 공격형 패킷은 탐지할수 없다
* 수집된 데이터는 원격지 시스템에서 모아서 관리
* 방화벽과 상호 보완적으로 사용할수 있다

2-2. Snort

1. Snort의 개념
    * 소스파이어에서 개발한 오픈소스 네트워크 침입 방지/탐지 시스템으로 가장 오랫동안 넓게 사용되는 IDS/IPS 기술
2. Snort의 기능
    * 패킷 스니퍼(Libpcap): 네트워크의 패킷을 읽어오는 기능
    * 패킷 로그남기기(Syslog): 감시한 패킷을 로그에 기록
    * Network IPS 기능
3. Snort의 구조
    * 스니퍼(sniffer)
    * 전처리기(Preprocessor)
    * 탐지 엔진
    * 로깅&경고
4. Snort의 구성단계
    * 데이터 수집
    * 필터링및 축약
    * 분석및 침입탐지
    * 추적과 대응보고

2-3. 호스트 기반의 침입 탐지 시스템(HIDS: Host IDS)

* IDS가 호스트 내부에 설치되어 컴퓨터 내부 사용자들의 활동을 감지하고 해킹을 탐지하는 보안시스템

2-4. 네트워크 기반의 침입 탐지 시스템(NIDS: Network IDS)

* 네트워크를 경유하는 패킷들을 분석하여 해킹을 탐지하는 네트워크 보안 시스템

2-5. NIDS의 설치 위치에 따른 특징

1. 패킷이 라우터에 들어오기 전
    * 모든 공격을 탐지할수 있다는 장점이 있으나 NIDS 성능이 좋아야 한다
2. 라우터의 뒤
    * 패킷 필터링을 거친 후에 패킷을 검사하므로 패킷 데이터 양이 적고 탐지 기능이 강력
3. 방화벽 뒤
    * 내부 공격자의 탐지가 가능하기 때문에 내외부 공격에 대해 하나의 침입탐지 시스템만 사용해야 한다면
    * IDS와 방화벽의 협조가 가능한 방화벽뒤에 설치하는것이 적장
4. 내부 네트워크
    * 내부 네트워크의 공격을 탐지하고자 할 경우에 설치하는 위치
5. DMZ
    * 강력한 내부, 외부 공격자에 의한 중요한 데이터 손실을 방지하기 위한 위치

---

3. 백도어 탐지 기법

3-1. 백도어의 개념

* 시스템 접근에 대한 사용자 인증없이 접근할수 있는 비상구를 생성하는 기술

3-2. 백도어 탐지 기법

1. 동작중인 프로세스와 열린 포트 확인
2. SetUID 파일검사
3. 백도어 탐지도구 사용
4. 무결성 검사
5. 로그 분석

참고자료 : 이기적 환상콤비 정보처리기사