8주차 과제 - Firewall, IPS, IDS, DDoS

8주차 과제 - Firewall, IPS, IDS,DDoS.pptx

0.42MB

 이번 시간에는 네트워크 상에 존재하는 대표적인 공격기술과 방어기술에 대하여 알아보겠습니다.

 

 과제 발표에 사용한 ppt 파일을 첨부하겠습니다. 현재 진행하고 있는 과제는 AI 스쿨의 리팩토링 보안직무 과정의 일부입니다. 만약 해당 과정에 더 관심이 있으시다면 AI스쿨의 공식 카페에 방문하여 더많은 정보를 확인해 주시기 바랍니다.

https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

 1. Firewall (방화벽)

 [이미지 1]

 우리가 흔히 사용하는 컴퓨터의 윈도우 OS에서도 "Windows 방화벽"이라는 이름으로 자주 볼 수 있는 프로그램 혹은 장치입니다. 방화벽의 역할은 외부 네트워크에서 오는 공격을 차단하고, 내부 네트워크에서 외부 네트워크로 정보가 유출되는 것을 막는 일 입니다. 이를 위하여 신뢰성이 높은 내부 네트워크(LAN)와 신뢰성이 낮은 외부 네트워크(WAN)를 분리하고, 사전 설정된 정책에 따라 데이터의 송수신을 허용하거나 차단합니다.

 - 1세대 방화벽 : 패킷 필터링

 패킷 필터링 기술이란, 방화벽을 통과하는 패킷을 확인하여 필터링 하는 기술입니다. 패킷의 표면 정보에 해당하는 발신 주소, 수신 주소, 패킷 유형, 포트번호 등을 검사합니다. 이렇게 검사한 정보들이 사전에 설정된 정책에 부합한다면 방화벽을 통과시크는 방식으로 작동합니다. 이 방식은 운용하기 쉽다는 장점이 존재합니다만, 과부하 시에 처리 지연 현상과 안정성에 문제가 생겨 차세대 방식으로 발전하게 됩니다.

 - 2세대 방화벽 : 상태 분석

 상태 분석이란, 기존에 사용되던 패킷 필터링 기술과 서킷 레벨 게이트웨이 기술이 결합된 방식으로 작동합니다. 서킷 레벨 게이트웨이는 방화벽을 통과하는 패킷이 TCP 핸드섀이크 방식을 거쳐서 정식으로 승인 받은 포트 번호로 출입하는 것인지를 확인하는 방식 입니다. 가존 1세대 방화벽에서는 수많은 데이터 패킷이 전송되었을 때, 모든 패킷의 패킷 필터링을 일일히 진행되는 방식으로 작동했다면, 2세대에서는 TCP 헤대의 SYN 값을 확인하여 이상이 없다면 다음 패킷도 통과 시키는 방식으로 작동합니다.

 - 3세대 방화벽 : 애플리케이션 방화벽

 3세대 방화벽은 네트워크 상의 공격 문제가 갈수록 진화하기에 고안되었습니다. 이전 세대롸는 다르게 패킷 자체를 열어보고 내용을 확인합니다. 열어본 패킷이 애플리케이션에게 줄 영향을 분석하고 애플리케이션에게 어떤 영향을 주는지 파악 한 이후에 데이터의 출입을 허가합니다. 또한 활성화된 포트를 통해 들어온 패킷이 비정상적인 행동을 보일 경우 즉시 차단하는 기능도 포함하고 있습니다.



 2. IDS (Intrusion Detection System)

 침입 탐지 시스템으로, 방화벽에서 사전에 감지하고 차단할 수 없었던 위험에 대응하기 위하여 등장한 프로그램 혹은 장치입니다. IDS는 사전에 알려져 문서화가 완료된 공격들이 감지된다면 시스템 운영자에게 경고하는 방식으로 작동하게 됩니다. 



 3. IPS (Intrusion Prevention System)

 침입 방지 시스템으로 IDS에서 시스템 내부로 공격이 들어왔음을 탐지하는데에서 그치지만 IPS는 시스템 외부에 존재하는 공격을 탐지하고, 역으로 공격을 차단하는 기능을 가지고 있습니다. IDS가 문서화된 공격을 시스템 내부에서 감지한다면, IPS는 규칙과 정책을 기반으로 외부에서 오는 공격을 감지하고 차단합니다. 하지만 매우 고가의 장비가 필요합니다.



 4. 방화벽. IDS, IPS 비교점

 미리 알려드린 3가지 방어 기술의 공통점과 차이점을 나열한 도표입니다.

 [이미지 2]

 5. DDoS 공격 (Distributed Denial of Service attack)

 DDoS 공격을 알기 위해서는 먼저 DoS 공격에 대하여 알고 가도록 하겠습니다. DoS 공격이란 Denial of Service attack의 약자로 한국어로 하면 '서비스 거부 공격'입니다. 상대방을 "서비스 거부" 상태에 몰아넣기 위해서 하는 모든 공격들을 통칭힙니다. 그리고 DDoS 공격이란 이런 DoS 공격을 여럿이서 하는 것입니다.  DDoS 공격은 종류가 아주 여러 가지가 있지만 이해를 돕기 위하여 가장 원시적인 방식 하나와 일반적인 방식 하나를 예시로 들겠습니다.

 - 새로고침 

 [이미지 3]

 공격하고자 하는 웹 사이트 등에 접속하여 새로고침을 연속으로 하는 방식으로 트래픽을 과부하시켜 상대방을 "서비스 거부 상태"에 밀어넣는 방식 입니다. 개인이 혼자 새로고침을 연속으로 하는건 DoS 공격에 해당하지만, 특정 집단이 특정 시간에 특정 사이트를 동시다발적으로 공격하기로 합의하고 실행한다면 이는 DDoS 공격에 해당합니다.

 - 좀비 PC

 [이미지 4]

 공격자가 사전에 악성 코드를 배포, 공격자의 명령에 따르는 "좀비 PC"들을 양성하고, 양성한 좀비 PC들을 아용하여 상대방에게 공격을 하는 방식입니다. 좀비 PC를 이용하여 상대방을 공격한다는 점 때문에 역추적과 범인 검거가 아직도 어렵기 때문에 현재에도 많은 DDoS 공격이 이 방식으로 이루어 집니다.

 DDoS 공격의 경우 엄밀히 분류한다면 해킹에 해당하지는 않습니다. 해킹은 상대방의 정보를 빼내는 것이 목적인 반면, DDoS 공격은 상대방을 "서비스 거부 상태"에 몰어넣기 위함이기 때문입니다. 물론 서비스 거부 상태에 들어간 서비스가 통상 상태에 비해 보안 취약점이 더 많이 드러날 개연성이 있기에 해킹에 활용되기도 합니다.