Firewall(방화벽)
: ip와 포트번호를 기반으로해서 허용할지 차단할지 결정하는 기본적인 형태의 보안 장비
=> ip와 포트번호 기반으로만 허용할지 차단할지 결정하다보니 매우 단순해서 방화벽만으로는 위험성을 차단하는데 부족하다 그래서 ids, ips, 웹 방화벽 등 같이 복합적으로 구성한다
방화벽의 기능
1. 접근 통제
: 허용된 패킷만을 통화시키는 packet filtering이나 proxy 방식을 통해 효율적인 통제 수행
2. 주소 변환 nat(network address translation) 할당 기능
: 내부망의 주소를 외부와 분리하여 내부시스템을 보호하고 연결을 유지하기 위한 기능이다
3. 인증(authemtication)
: 메시지 인증 / 사용자 인증 / 클라이언트 인증
4. 감사 및 로깅(auditing & logging)
: 정책 설정 및 변경, 네트워크 트래픽 허용 또는 차단, 관리자 접근 등 접근정보를 로그로 남긴다 / 외부 침입이 발생하면 로그 분석을 통해 추적할 수 있다
5. 데이터 암호화(data encryption)
: 방화벽간의 통신에서 전송하는 데이터(방화벽이 가지고 있는 설정값)을 암호화해서 보낸다
DDoS(Distributed Denial of service attack)
: 공격자가 봇넷을 원격으로 지시해서 피해자에게 한번에 공격하는 걸 DDoS라고 한다 / 트래픽이 집중되어서 공격이 들어오는 걸 막기위한 장비가 ddos 장비이다
*dos(denial of service) : 서비스에 대한 거부 - 받아들일 수 있는 양보다 훨씬 더 많은 트래픽이 발생(ex 티켓팅, 항공권 예매 등) 공격자는 dos를 악의적으로 사용하여 대상 장비가 작동할 수 없게 만든다
IDS(instrusion detection system) 침입탐지시스템
: 탐지에 대한 기능만 가지고 있다(탐지에 대한 목적)
IPS(intrusion prevention system)침입방지시스템
: 탐지와 동시에 차단까지하는 특징을 가지고 있다(탐지를 통해서 실시간으로 차단하는 목적)
=> 탐지 패턴 기반, 행위 기반
*행위 기반 : 비정상적인 행위에 대한 임계값을 정해서 임계치에 도달했을시에는 공격으로 간주
=> ids, ips 변형된 패턴 탐지 어렵다, 오탐 현상 발생 등 각각의 단점들을 보안하기 위해 복합적으로 함께 사용한다
침임 탐지 방식
1. 서명 기반 탐지 기법
- 공격 유형을 탐지하는데 있어서 가장 일반적인 기법
- 기존 공격 유형을 미리 등록해 탐지를 수행하기 때문에 정확한 탐지가 가능하다
2. 정책 기반 탐지 기법
- 외부로부터 접속이 들어오는 경로를 정해놓고 허가되지 않은 경로를 통한 접속이 들어올 때 탐지하는 기법
3. 이상 기반 탐지 기법
- 일정한 임계값을 설정한 뒤, 해당 임계값을 초과하는 접속이 들어왔을때 침입으로 탐지하는 기법