Firewall / IDS / IPS 란

□ 네트워크 보안 - 방화벽

 

 

• 방화벽은 인터넷 등의 외부 네트워크로부터 사내 네트워크 등의 내부 네트워크로의 허가되지 않은 부정한 액세스를 방지하는 시스템이다.
• 마치 화재를 방어하는 벽과 같다고 하여 방화벽이라는 이름이 붙여졌다.
• 라우터 등의 기기에서 방화벽 기능(Cisco IOS Security 등)으로 구성하는 것과, 방화벽 전용 하드웨어로 구성하는 방법이 있다.
• 방화벽의 기본 기능으로 외부에서 발생되는 트래픽은 차단되며, 내부에서 외부로 발생된 트래픽의 반환(리턴)은 허용합니다.
• 이것은 방화벽의 Stateful Inspection 이라고 불리는 기능을 이용하는 것으로 실현된다.
• 레거시 방화벽에서 허용에 대한 설정이 없을 경우에는 '외부 네트워크에서 시작한 패킷은 내부 네트워크로 도달 불가'이다.
• 단순히 이것만 보면 완벽하다고 볼 수도 있지만, 일반적인 방화벽은 패킷이 불순 또는 악의를 갖고 있는 트래픽인지 아닌지 확인할 수 없기 때문에 예를 들어, 악의적인(부정한) CGI의 GET 요청 등을 보고 막을 수 없다. 
• 이러한 점을 보완하기 해야하기 때문에 IDS 또는 IPS 도입 필요성이 나오기 시작한 것이다.

 

 

 

 

□ 네트워크 보안 - IDS

 

 

• IDS(Intrusion Detection System)은 침입탐지시스템이다.
• IDS는 이름처럼 부정한 액세스 등의 악의적인 트래픽을 검출하여 통보한다.
• 예를 들어, 방화벽 앞단에 배치한 IDS는 네트워크 위에서 흘러다니는 트래픽을 감시하고 부정한 액세스라고 생각되는 패킷을 탐지하여 시스템 관리자에게 통보한다.
• 부정한 액세스 패킷이라고의 판단은 '시그니처(Signature)'라고 불리는 공격 패턴 데이터베이스를 사용한다.
• 이러한 침입탐지의 통보를 받는 관리자는 방화벽의 필터링을 강화하는 등 공격에 대비하는 역할을 한다.
  
  
• 이처럼 방화벽과 IDS의 조합으로 보다 보안 강도가 높아졌지만, IDS는 어디까지나 탐지하는 시스템으로 네트워크 관리자가 그 탐지한 내용에 기반하여 보안 제어를 하지 않으면 공격을 막지 못하며, 실시간으로 공격을 차단하는 것은 불가능하다.
• 이런 점을 보완하기 위하여 IPS가 등장하였다.

 

 

 

 

 

□ 네트워크 보안 - IPS

 

 

• IPS(Intrusion Prevention System)은 침입차단시스템이다.
• IPS는 이름에서 보듯이, 부정한 액세스 등의 악의적인 트래픽을 검출하여 통보뿐만 아니라 시그니처를 참조하여 부정한 액세스에 해당하는 패킷을 차단하거나 세션을 끊어 즉시 방어한다.
• IPS는 즉시 보안 구현을 위한 핵심적인 위치에 해당한다.
  침입을 감지하면 실시간으로 방어하는 IPS는 '웜이나 DoS 등의 패킷이 가지는 특징'을 포착한 순간, 그 직후 자동으로 방어를 시작하기 때문에 IDS와 같이 수작업으로 관리자가 maintenance 할 일은 발생하지 않는다.
• 하지만 이론과는 다르게 이러한 효과를 보기 위해 IPS를 도입하였지만, 실질적으로는 과도한 오탐과 차단으로 인해 탐지 모드로 전환하여 사용하는 곳이 많다고 한다.
• 물론 커스터마이징을 통해 잘 사용하는 곳도 있지만, 그만큼 최적화 하는데 시간이 소요되는 것도 사실이다.

 

 

 

 

 

 

 

□ 네트워크 보안 - 방화벽 도입 네트워크 구성

• 기업 네트워크에 방화벽을 도입하는 경우, 네트워크를 적어도 3개의 zone으로 분리하는 것이 일반적이다.
• 네트워크를 분리시에는 내부 네트워크, 외부 네트워크, DMZ 네트워크로 많이들 분리한다.
• DMZ (DeMilitarized Zone)는 비무장지대의 의미이다.

 

 

[방화벽 도입시 일반적인 네트워크 구성]

 

 

 

내부 네트워크, 외부 네트워크, DMZ 상에서 발생하는 트래픽은 일반적으로 아래의 흐름을 따른다.

 

 

 

 

• 자사의 상품과 서비스 등을 인터넷 상에서 판매하고 있는 웹 서버의 어느 이커머스 사이트 등에서는 사내 네트워크와도 완전히 분리, 즉 인터넷 접속회선도 분리하여 데이터센터 등에서 독립한 네트워크를 구성하는 케이스가 많이 있다.
• 이커머스 사이트와 같은 네트워크에서는 단순히 방화벽과 IPS 등을 도입하는 게 아니라 회선 트래픽을 부하 분산시키는 기기를 도입하는 경우도 많이 있다.
• 이러한 네트워크 구성에서는 DMZ 개념이 아닌 내부와 외부의 구성으로 생각하여, 보안 뿐만 아니라 부하분산 기기의 설계가 중요해지고 있다.

 

출처 

 

blog.naver.com/superjini75/222104990962

Firewall / IDS / IPS