정보보호 장비 사용의 발전. 왜 사용하는가?

정보보호 장비의 발전. 사용하는 이유?

이런 보통 이런 순서로 보안장비가 위치된다.

1.

처음에는 서버 단에서 접근제어를 하는 TCP Wrapper 같은 것을 사용하여 보안을 했을 것이다.

/etc/hosts.allow

/etc/hosts.deny

그러나 서버의 자원을 사용한, 호스트 기반의 보안은 한계가 존재한다. (hosy based Security, Text based Security)

 

2.

네트워크 단에서 접근을 차단할 수 있는 방화벽이 등장하였다.

4계층에 있는 정보를 기반으로, 4계층의 접근제어를 수행한다.

▶ L4방화벽 = 1세대 방화벽 = 패킷 필터링 방화벽

 

IP와 port 기반으로 필터링하고, 필터링을 해야 하기 때문에 "인라인 방식"으로 동작한다.

룰과 정책으로 Inbound/Outbound 에 대해서 Allow/Deny

 

인라인 방식: 통신구간에서 직접적으로, 그 통신에 참여를 하는 방식

(2~3 사이에 2세대 방화벽인 Stateful Inspection Firewall 존재)

 

 

3. 

[방화벽의 한계]

불특정 다수에게 오픈되어야 하는 포트. 서비스들이 점점 활성화되기 시작한다.

특히 TCP 80 HTTP 웹서비스, TCP 443 HTTPS, UDP 53 DNS 이 친구들은 방화벽으로 제어가 안된다.

Layer 7인 응용 계층이기 때문에.. 4계층보다 상위 계층에서 동작하는 프로토콜이다.

방화벽으로는 L7에서 동작하는 프로토콜에 대한 검사가 유효하지 않으며,

모든 사용자에게 서비스가 오픈되어야 하기 때문에 방화벽으로는 이와 같은 서비스 제어가 불가능했다.

 

7계층의 트래픽들을 검사할 수 있는 장비가 필요하다.

IDS가 등장. Application Firewall, L7 방화벽, 3세대 방화벽이 등장하였다.

인라인 방식이 아닌 미러(Mirror) 방식으로 동작한다

 

미러 방식: 트래픽이 오면 그대로 복사하여 IDS로 전달. 탐지 기능.

 

 

4. 

[IDS의 한계]

2001년 Code Red Warm으로 인해 탐지 뿐만아니라 차단기능이 필요하다고 생각.

IDS + Filter = IPS 등장

IPS는 다시 인라인으로 동작.

 

그런데.. 어플리케이션 프로토콜들은 데이터가 정형화되어있지 않았다.

즉, 공격패턴이 너무 다양했음.

원래는 탐지 시 Signature, Pattern, Statistics 등으로 탐지 및 차단하였는데, 정형화되어있지 않은 데이터를 이들로 탐지하다보니 오탐(False Positive)과 미탐(False Negative)이 발생하기 시작했다.

이들은 없는 것이 좋지만, 시그니처 패턴으로 이상 징후를 탐지하기 때문에 어쩔 수 없이 IPS, IDS들이 감수해야 하는.. 것들이었다.

 

 

5. 현재

방화벽과 IDS/IPS를 UTM장비를 통해 볼 수있다.

1세대 방화벽과 3세대 방화벽을 통합

 

실습 시 사용할 장비도 UTM 장비를 사용할 것.

 

---

 

이후로는 특정 프토로콜에 커스터마이징된 방화벽이 등장하기 시작한다.

사실 방화벽의 역사는 1~3세대 방화벽이 전부이다. 그 이후는 WAF처럼 특정 프로토콜을 대상으로 특별한 기능을 추가한 방화벽이 등장하고 있는 중이다.

 

그리고 2000년 중반 쯤에 DDoS공격이 많이 발생함. 이에 대응하기 위해 Anti-DDoS 라고 하는 장비도 개발되어 현재 사용되고 있다.

 

이 외는 ESM, SIEM, NAT, VPN, Virus-wall, Anti-vrius, URL Filter, SandBox 등..

※ ESM, SIEM 이 둘은 통합 로그 관련 시스템이다.