기초 보안 용어의 이해

DongKi, Yeo

superdk@hanmail.net

2008. 07.

2 / 64

목 표

보안 장비의 기본 개념을 이해함으로써,보안 장비를 운영할 수 있는 기본 지식을갖춘다.

3 / 64

목 차 (1/2)

1. Firewall vs Bastion Host

2. IDS (Intrusion Detection System)

3. IPS (Intrusion Prevention System)

4. Viruswall

5. QoS (Quality of Service)

6. VPN (Virtual Private Network)

7. Anti-Spam Solution

8. UTM (Unified Threat Management)

4 / 64

목 차 (2/2)

9. NAC (Network Access Control)

10. DRM (Digital Rights Management)

11. ESM (Enterprise Security Management)

12. TMS (Threat Management System)

5 / 64

1. Firewall

6 / 64

Firewall (1/19)1. The Definition of Firewall

• 침입차단시스템• 외부에서 조직내의 컴퓨터나 네트워크로 침입하는 것을 방지하는시스템, 또는 그러한 시스템이 설치 된 컴퓨터를 말한다. [정의 출처 http://e-words.ne.kr/]

2. Main characters of Firewall

• 내부 네트워크와 외부 네트워크를 연결하는 병목지점이다.• 주로 대표 IP 역할을 하며, 내부망을 보호한다.

7 / 64

Firewall (2/19)

3. Concept of firewall

Insecure

InsecureSecure

8 / 64

Firewall (3/19)

4. Firewall Generation

• 2st Generation : Application Level F/W

• 3st Generation : Stateful Inspection F/W

• 1st Generation : Packet Filtering F/W

Physical Layer

Data Link Layer

Network Layer

Transport Layer

Session Layer

Presentation Layer

Application Layer

9 / 64

Firewall (4/19)

5-1. Description of 1st Generation Firewall

• Packet Filtering Firewall• Src IP, Dst IP 를 분석하여 필터링한다. • 1세대 방화벽의 출발은 라우터에 기반한다.• 단, 웜바이러스 / 스팸메일 등 상위계층에서 동작하는 이상 트래픽을차단할 수 없다.

192.168.0.10 192.168.0.20 Data

Src IP Dst IP Data

10 / 64

Firewall (5/19)

5-2. Concept of 1st Generation Firewall

Physical

Data Link

Network

Transport

Session

Presentation

Application

Physical

Data Link

Network

Physical

Data Link

Network

Transport

Session

Presentation

Application

Src System Dst System

Firewall

11 / 64

Firewall (6/19)

6-1. Description of 2st Generation Firewall

192.168.0.10 192.168.0.20 Data ( Hello world )

• Application Level Firewall• Src IP, Dst IP, Port, Protocol, Contents 등 모든 내용을 필터링한다.• 즉, 지나가는 패킷의 모든 내용을 볼 수 있으므로, 웜바이러스 /스팸메일 등 상위계층에서 동작하는 이상 트래픽까지도 차단할 수있다.

• 단, 과부하가 심하기 때문에 실제 환경에서 운영이 어렵다.

25

Src IP Dst IP Port Data

12 / 64

Physical

Data Link

Network

Transport

Session

Presentation

Application

Firewall (7/19)

6-2. Concept of 2st Generation Firewall

Physical

Data Link

Network

Transport

Session

Presentation

Application

Physical

Data Link

Network

Transport

Session

Presentation

Application

Src System Dst System Firewall

13 / 64

Firewall (8/19)

7-1. Description of 3st Generation Firewall

192.168.0.10 192.168.0.20 Data ( Hello world )

• Stateful Inspection Firewall• Network Layer에서 첫 패킷을 가로챈다.• 이 패킷을 Inspection Engineer에서 App Layer까지 분석한다.• Dynamic State Tables에 결과를 저장한다.• 두 번째 패킷 부터는 Inspection Engineer 분석 과정을 생략하고,

Dynamic State Tables의 내용에 따라 동작한다.• 즉, Application Level Firewall의 과부하 문제를 해결하였다.• 단, 2번째 패킷 이후에 실려오는 이상 트래픽을 차단할 수 없다.

25

Src IP Dst IP Port Data

14 / 64

Firewall (9/19)

Physical

Data Link

Network

Transport

Session

Presentation

Application

7-2. Concept of 3st Generation Firewall

Physical

Data Link

Network

Transport

Session

Presentation

Application

Physical

Data Link

Network

Transport

Session

Presentation

Application

Src System Dst System Firewall InspectionEngineering

DynamicState Tables

DynamicState Tables

15 / 64

Firewall (10/19)

8-1. Definition of Bastion Host

• Bastion Host is not a firewall and other security device !!!

• A bastion host is a special purpose computer on a networkspecifically designed and configured to withstand attack.[출처 : 위키백과]

• 취약점을 최소화한 Secure OS가 설치된 Highly Secure Host !!!로써, 네트워크 구성상 외부에 노출되는 Host 이다.

16 / 64

Firewall (11/19)

• A bastion host is your public presence on the Internet. Think ofit as the lobby of a building. Outsiders may not be able to go up the stairs and may not be able to get into the elevators, but they can walk freely into the lobby and ask for what they want. (Whether or not they will get what they ask for depends upon thebuilding's security policy.) Like the lobby in your building, a bastion host is exposed to potentially hostile elements. The bastion host is the system that any outsiders - friends or possible foes - must ordinarily connect with to access a system or a service that's inside your firewall.

출처 : http://www.unix.org.ua/orelly/networking/firewall/ch05_01.htm

8-1. Definition of Bastion Host

17 / 64

Firewall (12/19)

• By design, a bastion host is highly exposed, because its existence is known to the Internet. For this reason, firewall builders andmanagers need to concentrate security efforts on the bastion host. You should pay special attention to the host's security during initial construction and ongoing operation. Because the bastion host is the most exposed host, it also needs to be the most fortified host

출처 : http://www.unix.org.ua/orelly/networking/firewall/ch05_01.htm

8-1. Definition of Bastion Host

18 / 64

Firewall (13/19)

9-1. Firewall architecture

• Screening Router

• Screened host

• Screened subnet

• Dual-homed Host

19 / 64

Firewall (14/19)

9-2. Screening Router

• 라우터가 내부와 외부 네트워크를 Screen 한다.• Packet Filtering 을 이용한다.

External Network Internal Network

•Packet Filtering Router•Boundary Router

20 / 64

Firewall (15/19)

9-3. Screened Host

• 라우터가 내부와 외부 네트워크를 Screen 하고, 모든 Data는 반드시 Screened host 를 통한다.

Bastion Host

External Network Internal Network

21 / 64

Firewall (16/19)

9-4-1. Screened Subnet

• 내부와 외부 네트워크를 Screen 하는 네트워크가 존재한다.

External NetworkInternal Network

Exterior Router Interior Router

Bastion Host

Firewall

Perimeter Network

22 / 64

Firewall (17/19)

9-4-2. Screened Subnet

• DMZ 구조의 기원이다.

DMZ

Bastion Host

23 / 64

Firewall (18/19)

9-4-3. Screened Subnet

• Perimeter Network- Internal Network 로 부터 Bastion host 를 분리한다.

• Exterior Router- External Network 와 연결된다.

• Interior Router- Internal Network 와 연결된다.

24 / 64

Firewall (19/19)

9-5. Dual-Homed Host

• 2개의 NIC를 가진 host가 라우터 역할을 한다.• IP Routing을 할 수 있지만, Routing을 사용하지 않는 것이 권장된다.

External Network Internal Network

NIC #1 NIC #2

25 / 64

2. IDS (Intrusion Detection System)

26 / 64

IDS (1/4)

1. The definition of IDS

• Intrusion Detection System (침입탐지시스템)• 침입(유해 트래픽)을 탐지하여 관리자에게 통보하는 시스템• 보안 사고 발생 후 로그를 증거 자료로 제출하기 위해 운영하는시스템

2. Detection Position

• N-IDS (Network-Based IDS) : 네트워크의 유해 트래픽을 탐지• H-IDS (Host-Based IDS) : 호스트 한 대의 유해 트래픽을 탐지

27 / 64

IDS (2/4)

3. Detection Method

• Misuse Detection (오용탐지)- 바이러스 백신처럼 이미 알려져 있는 공격 패턴에 대해서만

탐지해 낼 수 있는 기법.- 패턴 저장 DB를 전문가 시스템이라고도 한다.

• Anomaly Detection (이상 탐지)- 정해진 기간에 대해서 트래픽량이나 공격패턴의 추이에 대한통계를 계산해 두고 있다가 통계와 차이를 보이게 되면Anomaly 한 상태라 판단하여 탐지하는 기법.

- 흔히 AI : Artificial Intelligence (인공지능) 라고 불리어지는 기법.- 신경망 시스템의 알고리즘

28 / 64

IDS (3/4)

4. Architecture of Host-Based IDS

IDS 관리시스템

BOF is detected !!!

29 / 64

IDS (4/4)

5. Architecture of Network-Based IDS

IDS 관리시스템

Worm is detected !!!

30 / 64

3. IPS (Intrusion Prevention System)

31 / 64

IPS (1/2)

1. The definition of IPS

• Intrusion Prevention System (침입방지시스템)• 침입을 탐지하여 차단한 후 관리자에게 통보하는 시스템

2. Response type

• PassiveIDS 처럼 차단 같은 실시간 대응보다는 관리자에게 통보함으로써조치를 취할 수 있도록 하는 대응을 말함.

• ActiveIPS 처럼 탐지된 유해트래픽을 먼저 차단하고, 관리자에게 통보하는대응을 말함

32 / 64

IPS (2/2)

3. Architecture of IPS

1. Worm is blocked.2. Worm is detected.

33 / 64

4. Viruswall

34 / 64

Viruswall (1/2)

1. The definition of Viruswall

• 바이러스 차단 시스템

• 바이러스 백신 엔진을 이용 네트워크를 통과하는 콘텐츠 중바이러스나 웜 등 악성 프로그램을 검사하고 차단 및 치료하는바이러스 방지 솔루션[출처] : http://terms.naver.com/search.naver?query=viruswall

35 / 64

Viruswall (2/2)

2. Architecture of Viruswall

36 / 64

5. QoS (Quality of Service)

37 / 64

QoS (1/2)

1. The definition of Viruswall

• 서비스(HTTP, FTP, VOIP …)의 품질을 보장하는 시스템

2. For example

• 업무 서비스를 12345/tcp 포트로 제공한다고 가정할 때,HTTP/FTP/Messenger 등의 비업무 서비스들의 사용량이 많아서100M의 회선 중 92M를 사용하고 있다면, 업무 속도는 느려지게되고, 네트워크가 웜바이러스에 심하게 감염될 경우 100M 모두를웜바이러스가 사용하게 되므로 업무는 마비된다.

• QoS를 통해 업무를 100M 중 20M를 할당하면 의도하지 않은트래픽으로 인해 업무 서비스가 마비되는 경우를 예방할 수 있다.

38 / 64

QoS (2/2)

3. Concept of QoS

혼잡 트래픽

Q o SSystem

중요 서비스의품질 보장

유해 트래픽 차단

트래픽 모니터링 & 분석QoS 핸들링

39 / 64

6. VPN (Virtual Private Network)

40 / 64

VPN (1/6)

1. The definition of VPN

• Public Network로 분리되어 있는 서로 다른 네트워크를논리적으로 동일한 사설망을 만들어 준다.

• 가상사설망

2. A type of VPN

• L2TP / PPTP VPN : Layer2를 이용한 VPN- L2TP : 인증만 수행- PPTP : 암호화 + 인증까지 수행

• IPSec VPN : IP layer Security VPN (Layer3를 이용한 VPN)- ESP (Encapsulating Security Payload) : 암호화 + 인증까지 됨- AH (Authentication Header) : 인증만 수행

• SSL VPN : SSL layer VPN

41 / 64

VPN (2/6)

2. Concept of VPN

VPN VPN

VPN Client

Tunnel

42 / 64

Physical

VPN (3/6)

3-1. Concept of IPSec VPN

Data Link

Network

data

data

Transport

Application

TCP

dataTCPVPN IP ESP / AH Client IP

IPSec + Data

43 / 64

VPN (4/6)

3-2-1. Mode of IPSec VPN

dataTCPVPN IP ESP Client IP

IPSec + Data

• Tunnel Mode : VPN Device to VPN Device Encryption

VPN VPN

Tunnel

dataTCPClient IP dataTCPClient IP

Normal Packet Normal Packet

Security Zone

Encryption Packet

44 / 64

VPN (5/6)

3-2-2. Mode of IPSec VPN

dataTCPClient IP ESP

IPSec + Data

• Transparent Mode : End to End Encryption

VPN VPN

TunnelSecurity Zone

Encryption Packet

45 / 64

VPN (6/6)

3-3. Concept of SSL VPN

datahandshake

Record

Physical

Transport

Session

Presentation

Application

SSL

data

* handshake Protocol : Negotiation Protocol* Change cipher spec : Cipher Spec 변경* Record Layer : Negotiation Protocol

Change cipher spec

datahandshake Change cipher spec

Alert protocol

Alert protocol

46 / 64

7. Anti-Spam Solution

47 / 64

InternetInternet

1. The definition of Anti-Spam

• 스팸메일을 차단하는 시스템, 스팸차단이라고도 함.

2. Concept of Anti-Spam

Anti-Spam Solution

48 / 64

8. UTM (Unified Threat Management)

49 / 64

InternetInternet

1. The definition of UTM

• 여러 보안 모듈이 통합되어 있는 통합 보안 장비• 팩스/스캔너/전화기 복합기와 동일한 개념

2. Concept of UTM

UTM

F/W IDS

Spam Etc

50 / 64

9. NAC (Network Access Control)

51 / 64

1. The definition of NAC

• 관리자가 정의한 보안환경이 운영되는 시스템만 네트워크에 연결이가능하도록 한다.

• Clear Network 에 악성 Worm이 감염된 Host가 연결되면,순식간에 네트워크는 악성 Worm이 퍼지게 되므로 이러한 상황을막고자 하는 시스템이다.

NAC (1/3)

2. For example about NAC

• 새로운 Host에 랜선을 연결하면 연결되면, 바이러스 검사 / 윈도우패치 버전 등을 확인하여, Clear Host이면 네트워크에 연결시키고,악성 Worm에 감염된 Host 이면, 치료 후 네트워크의 사용을 허용한다.

52 / 64

3. Risk of normal network

• NAC가 없는 경우에는 단 한 대의 PC 만으로 순식간에 네트워크가감염될 수 있다.

NAC (2/3)

VPNVPN

VPNVPN

VPN Tunnel

53 / 64

4. Role of NAC

• 랜선이 연결되는 순간 NAC는 해당 Host의 감염 여부를 확인하여네트워크에서 격리시킨다.

NAC (3/3)

VPNVPN

NAC

54 / 64

10. DRM (Digital Rights Management)

55 / 64

1. The definition of DRM

• 디지털 콘텐츠의 무단 사용을 막아, 제공자의 권리와 이익을 보호해주는 기술과 서비스를 통틀어 일컫는 말이다. 불법 복제와 변조를방지하는 기술 등을 제공한다.[출처] : 네이버 백과 사전

• 관리 대상이 되는 모든 파일에 대해서 복사 / 삭제 / 열람 / 수정등의 구체적인 행위에 대해서 엑세스 권한을 주어 관리하는 시스템

DRM (1/2)

56 / 64

암호화 상태로

전달 후 열람 허용

협력업체협력업체협력업체

2. Concept of DRM

DRM (2/2)

라이센스발급편집제어열람제어인쇄제어권한제어

로그이력 전송

열람 가능

열람 가능

열람 불가

복사 불가

InternetInternet

열람 불가

유출이 인가된

파일

회사 내부회사회사 내부내부

열람 가능

원본 파일

57 / 64

11. ESM (Enterprise Security Management)

58 / 64

1. The definition of ESM

• 이기종의 서로 다른 보안장비에서 발생한 로그를 하나의 화면에서모니터링할 수 있는 통합 관리 시스템

ESM (1/2)

2. Condition of previous security management

• 구축되어 있는 Firewall, IDS, IPS, VMS, Web Firewall 등의 각각의관리 페이지로 로그인하여서 현재의 상황을 체크하여야 함.

• 현업의 특성상 순간 순간 각각의 관리 페이지에서 전체적인 보안이벤트의 발생 현황을 실시간으로 체크하는 것은 불가능함.

59 / 64

3. Concept of ESM

DMZ

IPS

Mail DB Web Server Farm

VMS FTP Web

ESM (2/2)

F/W LogIDS LogIPS LogVMS Log

WebF/W

WebF/W

60 / 64

12. TMS (Threat Management System)

61 / 64

1. The definition of TMS

• 네트워크의 트래픽을 수집/분석하여 관리자에게 위협에 대한정보를 제공함으로써, 조기 대응을 유도하는 시스템으로,트래픽 분석을 통해 이상징후를 유추할 수 있다.

TMS (1/2)

62 / 64

2. Concept of TMS

TMS (2/2)

DMZ Server Farm Internal network

TMS Sensor TMS Sensor

Alert 관리자 PC

63 / 64

참고 사이트

- http://www.unix.org.ua/orelly/networking/firewall/- http://www.naver.com/- http://www.juniper.net/- http://www.cisco.com/- http://e-words.ne.kr/- http://www.taskqos.com/- http://www.fasoo.com/

64 / 64

감 사 합 니 다감 사 합 니 다