정성환의 IT개발 창고

1. IDS/IPS

- 침입탐지시스템(IDS, Intrusion Detection System)은 ID 절차를 자동화하기 위해 이벤트를 수집, 분석, 처리, 저장하기 위한 기능을 수행한다.

• IDS는 다음과 같은 공통적인 기능들을 수행한다.

- 식별된 이벤트와 관련한 정보를 기록한다.
- 식별된 이벤트 중 중요도에 따라 관리자에게 공지한다.
- 특정 기간, 조건을 기반으로한 보고서를 생성한다.

- 침입방지시스템(IPS, Intrusion Prevention System)은 IDS의 기능과 더불어 식별된 이벤트를 처리 후 차단하는 기능을 수행한다.

2. Snort

- 시그니처 기반 NIDS의 엔진으로 사용되는 대표적인 오픈소스이다. \

- IDS가 수행해야할 기능들에 대한 구성 요소를 포함한다.

- 네트워크 데이터에 대한 수집, 해석, 전처리, 탐지, 로깅, 처리, 저장 등의 기능을 보유한다.

- 주요 기능들을 디코더, 탐지 엔진에 의해 처리한다.

- 탐지 엔진은 정의된 룰셋에 의해 패킷 데이터를 식별, 탐지 후 이벤트를 생성, 로깅한다.

• Snort의 구성은 스니퍼, 패킷 로거, NIDS 모드로 구분한다.

• 스니퍼 모드는 네트워크 데이터를 수집하고 데이터 스트림을 출력한다.

• 패킷 로거 모드는 Snort가 설치된 NIDS 시스템의 하드디스크에 패킷을 기록한다.

• NIDS 모드는 사용자 기반의 룰셋에 의한 네트워크 데이터를 분석하고 처리한다.

3. 스위치와 라우터

- L2 Ethernet Header를 참조해서 스위칭 하는 장비를 스위치라고 하며 L3 IP Header를 참조해서 스위칭하는 장비를 라우터라고 함.

- 스위치의 성능이 좋아져 IP Packet을 스위칭하게되는데 이를 L3 스위치라고 함. (라우터와 동일)

4. 방화벽 (firewall)

• 방화벽은 네트워크나 호스트 간 네트워크 트래픽 흐름을 통제하거나 모니터링하는 시스템이다. • 조직의 정보는 대부분 컴퓨터에 저장되기에 정보 보안을 위해 불법적인 접근을 차단해야 한다.

• 방화벽은 단일 시스템을 기준으로 외부 인터넷에서의 접근을 제한시키는 것이 사용 목적이다.

• 조직은 외부와 내부 네트워크 사이에 방화벽을 설치함으로 불필요하거나 악의적인 트래픽을 거부 혹은 차단한다.

• 방화벽의 기능은 접근 통제, 사용자 인증, 감사 및 로그, 프록시, 주소 변환 등을 보유한다.

• 방화벽은 침입 차단의 대상 네트워크 계층에 아래와 같이 분류 할 수 있다.
- 패킷 필터 방화벽(Packet Filtering Firewall) 

- 상태 기반 패킷 검사 방화벽(Stateful Packet Inspection Firewall) 

- 애플리케이션 수준 방화벽 - 프록시 서버(Proxy-Server) 

- 회선-레벨 게이트웨이(Circuit-level Gateway)

방화벽 솔루션 예) Forty gate 등 다수

프록시(Proxy) 란? 

프록시란 ‘대리＇라는 뜻을 가지고 있는데, 네트워크 기술에서는 프로토콜에 있어서 대리 응답 등을 행하는 개념이다.
보안 분야에서 주로 보안상의 이유로 직접 통신할 수 없는 두 점 사이에서 통신을 할 경우 그 사이에서 중계기로서 대리로 통신을 수행하는 기능을 가리켜 ‘프록시(Proxy)’, 그 중계 기능을 하는 것을 “프록시 서버(Proxy Server)라고 한다.