침입 차단 시스템

침입 차단 시스템

• 네트워크를 경유하여 내부 시스템으로 진입하는 트래픽을 모니터링하고 ACL(Access Control List)를 적용한다.
• 시스템에 접근이 가능한 사용자, IP, port를 결정한다. 반대로 블랙리스트를 등록하여 차단할 수도 있다.
• 인증되지 않은 데이터가 네트워크로 유입되는 것을 방지하고 어떤 종류의 데이터가 어떻게 외부로 보내지는지 규칙을 정해 접근 제어를 수행한다.

인바운드, 아웃바운드(nbound, Outbound)

• 인바운드는 외부 네트워크에서 내부 네트워크로 들어오는 패킷
• 아웃바운드는 내부 네트워크에서 외부 네트워크로 나가는 패킷
• 인바운드 규칙이라는 것은 외부에서 내부로 들어오는 패킷 중에서 어떤 IP, protocol, port, 프로그램을 차단한 것인지, 허용할 것인지 정하는 것이다.

침입차단 시스템 구현 방식에 따른 유형

패킷 필터링(Packet Filtering)

• 패킷 필터링 장비는 OSI 7 계층에서 네트워크 계층과 전송 계층에 있는 데이터를 가지고 인바운드와 아웃바운드 서비스를 제공하는 것이다.
• 미리 정해진 규칙에 따라 패킷 출발지 및 목적지 IP 주소 정보와 각 서비스 포트 번호를 이용해 접속을 제어한다.^[각주:1]

애플리케이션 게이트웨이(Application Gateway)

• 애플리케이션 게이트웨이는 응용계층에서 기동 하기 때문에 접근 통제, 로그 관리 등의 역할을 수행하지만 패킷 필터링에 비해 느리다.
• 각 프로토콜 별로 Proxy Deamon이 있어 Proxy 게이트웨이라고도 한다.

회선 게이트웨이(Circuit Gateway)

상태 기반 패킷 검사(Stateful Packet Inspection)

• 상태 기반 검사는 OSI 전 계층에서 패킷의 컨텐츠를 해석해서 침입차단을 제공하는 기능을 제공한다.

혼합형 타입(Hybrid Type)

• 서비스에 종류에 따라 복합적으로 구성할 수 있는 방화벽

침입 차단 시스템 구축 유형

스크리닝 라우터(Screenig Router)

• IP, TCP, UDP 헤더의 내용만 분석하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 허가/차단하는 라우터
• 필터링 속도가 빠르고 비용이 적으며 클라이언트와 서버 환경의 변화 없이 설치가 가능
• 전체 네트워크에 동일한 보안 유지
• OSI 3, 4계 층만 방어하여 필터링 규칙을 검증하기 어렵다
• 패킷 내의 데이터는 차단이 불가능하며 로그 관리가 어렵다.

배스천 호스트(Bastion Host)

• 내부 네트워크 전면에서 내부 네트워크 전체를 보호한다
• 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치한다
• 스크리닝 라우터보다 안전하다
• 스크리닝 라우터보다 안전하고 접근 제어와 인증 및 로그 기능을 제공한다.
• 배스천 호스트가 손상되면 내부망이 같이 손상된다.

듀얼 홈드 호스트(Dual-Homed Host)

• 2개의 네트워크 인터페이스를 가진 Bastion Host로서 하나의 NIC(Network Inerface Card)는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결한다.
• 방화벽은 하나의 네트워크에서 다른 네트워크로 IP  패킷을 라우팅 하지 않기 때문에 Proxy 기능을 부여한다.
• 정보 지향적인 공격을 방어할 수 있으며 설치 및 유지보수가 쉽다
• 서비스가 증가할수록 Proxy 구성이 복잡해진다.

스크린드 호스트(Screened Host)

• 패킷 필터링 라우터와 배스천 호스트로 구성되어 있다.
• 패킷 필터링 라우터는 외부 및 내부 네트워크에서 발생하는 패킷을 통과시킬 것인지 검사한다.
• 배스천 호스트는 외부 및 내부 네트워크 시스템에 대한 인증을 담당한다.
• 네트워크 계층과 응용 계층의 2단계 보안 형태이다.
• Dual homed의 장점을 유지하며 융통성이 좋아 가장 많이 사용한다.
• 구축 비용이 상대적으로 비싸다

스크린드 서브넷(Screened Subnet)

• 스크린드 호스트의 보안상 문제점을 보완한 방식
• 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 부터 분리하기 위한 구조
• 일반적으로 두 개 의 스크리닝 라우터와 한 개의 배스천 호스트를 이용한다.
• 스크린드 호스트 구조의 장점을 유지하며 보안 문제점을 해결한 가장 안전한 구조이다.
• 설치 및 관리가 어렵고 구축 비용이 높고 서비스 속도가 느리다.

1. 네트워크 계층은 IP 주소가 있고 전송 계층은 포트 번호와 프로토콜 종류를 가지고 있다. 특정 IP, 프로토콜, 포트 차단 및 허용이 가능하다. [본문으로]