기초 보안 용어의 이해 [superdk].pdf

기초 보안 용어의 이해
DongKi, Yeo
superdk@hanmail.net
2008. 07.

목표
보안 장비의 기본 개념을 이해함으로써,
보안 장비를 운영할 수 있는 기본 지식을
갖춘다.
2/ 64

목 차 (1/2)
1. Firewall vs Bastion Host
2. IDS (Intrusion Detection System)
3. IPS (Intrusion Prevention System)
4. Viruswall
5. QoS (Quality of Service)
6. VPN (Virtual Private Network)
7. Anti-Spam Solution
8. UTM (Unified Threat Management)
3/ 64

목 차 (2/2)
9. NAC (Network Access Control)
10. DRM (Digital Rights Management)
11. ESM (Enterprise Security Management)
12. TMS (Threat Management System)
4/ 64

1. Firewall
5/ 64

1. The Definition of Firewall
Firewall (1/19)
• 침입차단시스템
• 외부에서 조직내의 컴퓨터나 네트워크로 침입하는 것을 방지하는
시스템, 또는 그러한 시스템이 설치 된 컴퓨터를 말한다.
[정의 출처 http://e-words.ne.kr/]
2. Main characters of Firewall
• 내부 네트워크와 외부 네트워크를 연결하는 병목지점이다.
• 주로 대표 IP 역할을 하며, 내부망을 보호한다.
6/ 64

3. Concept of firewall
Firewall (2/19)
Insecure
Insecure
7/ 64
Secure

4. Firewall Generation
Firewall (3/19)
• 2st Generation : Application Level F/W
• 3st Generation : Stateful Inspection F/W
• 1st Generation : Packet Filtering F/W
8/ 64
Application Layer
Presentation Layer
Session Layer
Transport Layer
Network Layer
Data Link Layer
Physical Layer

Firewall (4/19)
5-1. Description of 1st Generation Firewall
• Packet Filtering Firewall
• Src IP, Dst IP 를 분석하여 필터링한다.
• 1세대 방화벽의 출발은 라우터에 기반한다.
• 단, 웜바이러스 / 스팸메일 등 상위계층에서 동작하는 이상 트래픽을
차단할 수 없다.
Src IP Dst IP Data
192.168.0.10 192.168.0.20 Data
9/ 64

Firewall (5/19)
5-2. Concept of 1st Generation Firewall
Src System Dst System
Application
Presentation
Session
Transport
Network
Data Link
Physical
Firewall
Network
Data Link
Physical
10 / 64
Application
Presentation
Session
Transport
Network
Data Link
Physical

Firewall (6/19)
6-1. Description of 2st Generation Firewall
• Application Level Firewall
• Src IP, Dst IP, Port, Protocol, Contents 등 모든 내용을 필터링한다.
• 즉, 지나가는 패킷의 모든 내용을 볼 수 있으므로, 웜바이러스 /
스팸메일 등 상위계층에서 동작하는 이상 트래픽까지도 차단할 수
있다.
• 단, 과부하가 심하기 때문에 실제 환경에서 운영이 어렵다.
Src IP Dst IP Port Data
192.168.0.10 192.168.0.20 25
Data ( Hello world )
11 / 64

Firewall (7/19)
6-2. Concept of 2st Generation Firewall
Src System Firewall
Dst System
Application
Presentation
Session
Transport
Network
Data Link
Physical
Application
Presentation
Session
Transport
Network
Data Link
Physical
12 / 64
Application
Presentation
Session
Transport
Network
Data Link
Physical

Firewall (8/19)
7-1. Description of 3st Generation Firewall
• Stateful Inspection Firewall
• Network Layer에서 첫 패킷을 가로챈다.
• 이 패킷을 Inspection Engineer에서 App Layer까지 분석한다.
• Dynamic State Tables에 결과를 저장한다.
• 두 번째 패킷 부터는 Inspection Engineer 분석 과정을 생략하고,
Dynamic State Tables의 내용에 따라 동작한다.
• 즉, Application Level Firewall의 과부하 문제를 해결하였다.
• 단, 2번째 패킷 이후에 실려오는 이상 트래픽을 차단할 수 없다.
Src IP Dst IP Port Data
192.168.0.10 192.168.0.20 25
Data ( Hello world )
13 / 64

Firewall (9/19)
7-2. Concept of 3st Generation Firewall
Src System Firewall Inspection Dst System
Application
Presentation
Session
Transport
Network
Data Link
Physical
Application
Presentation
Session
Transport
Network
Data Link
Physical
14 / 64
Engineering
Dynamic
State Tables
Dynamic
State Tables
Application
Presentation
Session
Transport
Network
Data Link
Physical

8-1. Definition of Bastion Host
Firewall (10/19)
• Bastion Host is not a firewall and other security device !!!
• A bastion host is a special purpose computer on a network
specifically designed and configured to withstand attack.
[출처 : 위키백과]
• 취약점을 최소화한 Secure OS가 설치된 Highly Secure Host !!!
로써, 네트워크 구성상 외부에 노출되는 Host 이다.
15 / 64

8-1. Definition of Bastion Host
Firewall (11/19)
• A bastion host is your public presence on the Internet. Think of
it as the lobby of a building. Outsiders may not be able to go up
the stairs and may not be able to get into the elevators, but they
can walk freely into the lobby and ask for what they want.
(Whether or not they will get what they ask for depends upon the
building's security policy.) Like the lobby in your building, a bastion
host is exposed to potentially hostile elements. The bastion host is
the system that any outsiders - friends or possible foes - must
ordinarily connect with to access a system or a service that's
inside your firewall.
출처 : http://www.unix.org.ua/orelly/networking/firewall/ch05_01.htm
16 / 64

8-1. Definition of Bastion Host
Firewall (12/19)
• By design, a bastion host is highly exposed, because its existence
is known to the Internet. For this reason, firewall builders and
managers need to concentrate security efforts on the bastion host.
You should pay special attention to the host's security during
initial construction and ongoing operation. Because the bastion
host is the most exposed host, it also needs to be the most
fortified host
출처 : http://www.unix.org.ua/orelly/networking/firewall/ch05_01.htm
17 / 64

9-1. Firewall architecture
• Screening Router
• Screened host
• Screened subnet
• Dual-homed Host
Firewall (13/19)
18 / 64

9-2. Screening Router
Firewall (14/19)
• 라우터가 내부와 외부 네트워크를 Screen 한다.
• Packet Filtering 을 이용한다.
External Network Internal Network
19 / 64
•Packet Filtering Router
•Boundary Router

9-3. Screened Host
Firewall (15/19)
• 라우터가 내부와 외부 네트워크를 Screen 하고,
모든 Data는 반드시 Screened host 를 통한다.
Bastion Host
External Network Internal Network
20 / 64

9-4-1. Screened Subnet
Firewall (16/19)
• 내부와 외부 네트워크를 Screen 하는 네트워크가 존재한다.
External Network
Perimeter Network
Bastion Host
Exterior Router Interior Router
21 / 64
Firewall
Internal Network

9-4-2. Screened Subnet
• DMZ 구조의 기원이다.
Firewall (17/19)
Bastion Host
22 / 64
DMZ

9-4-3. Screened Subnet
Firewall (18/19)
• Perimeter Network
- Internal Network 로 부터 Bastion host 를 분리한다.
• Exterior Router
- External Network 와 연결된다.
• Interior Router
- Internal Network 와 연결된다.
23 / 64

9-5. Dual-Homed Host
Firewall (19/19)
• 2개의 NIC를 가진 host가 라우터 역할을 한다.
• IP Routing을 할 수 있지만, Routing을 사용하지 않는 것이 권장된다.
NIC #1 NIC #2
External Network Internal Network
24 / 64

2. IDS (Intrusion Detection System)
25 / 64

1. The definition of IDS
IDS (1/4)
• Intrusion Detection System (침입탐지시스템)
• 침입(유해 트래픽)을 탐지하여 관리자에게 통보하는 시스템
• 보안 사고 발생 후 로그를 증거 자료로 제출하기 위해 운영하는
시스템
2. Detection Position
• N-IDS (Network-Based IDS) : 네트워크의 유해 트래픽을 탐지
• H-IDS (Host-Based IDS) : 호스트한대의유해트래픽을탐지
26 / 64

3. Detection Method
IDS (2/4)
• Misuse Detection (오용탐지)
- 바이러스 백신처럼 이미 알려져 있는 공격 패턴에 대해서만
탐지해낼수있는기법.
- 패턴 저장 DB를 전문가 시스템이라고도 한다.
• Anomaly Detection (이상 탐지)
- 정해진 기간에 대해서 트래픽량이나 공격패턴의 추이에 대한
통계를 계산해 두고 있다가 통계와 차이를 보이게 되면
Anomaly 한 상태라 판단하여 탐지하는 기법.
- 흔히 AI : Artificial Intelligence (인공지능) 라고 불리어지는 기법.
- 신경망 시스템의 알고리즘
27 / 64

IDS (3/4)
4. Architecture of Host-Based IDS
BOF is detected !!!
IDS 관리시스템
28 / 64

IDS (4/4)
5. Architecture of Network-Based IDS
Worm is detected !!!
IDS 관리시스템
29 / 64

3. IPS (Intrusion Prevention System)
30 / 64

1. The definition of IPS
IPS (1/2)
• Intrusion Prevention System (침입방지시스템)
• 침입을 탐지하여 차단한 후 관리자에게 통보하는 시스템
2. Response type
• Passive
IDS 처럼 차단 같은 실시간 대응보다는 관리자에게 통보함으로써
조치를 취할 수 있도록 하는 대응을 말함.
• Active
IPS 처럼 탐지된 유해트래픽을 먼저 차단하고, 관리자에게 통보하는
대응을 말함
31 / 64

3. Architecture of IPS
1. Worm is blocked.
2. Worm is detected.
IPS (2/2)
32 / 64

4. Viruswall
33 / 64

1. The definition of Viruswall
• 바이러스 차단 시스템
Viruswall (1/2)
• 바이러스 백신 엔진을 이용 네트워크를 통과하는 콘텐츠 중
바이러스나 웜 등 악성 프로그램을 검사하고 차단 및 치료하는
바이러스 방지 솔루션
[출처] : http://terms.naver.com/search.naver?query=viruswall
34 / 64

2. Architecture of Viruswall
Viruswall (2/2)
35 / 64

5. QoS (Quality of Service)
36 / 64

1. The definition of Viruswall
QoS (1/2)
• 서비스(HTTP, FTP, VOIP …)의 품질을 보장하는 시스템
2. For example
• 업무 서비스를 12345/tcp 포트로 제공한다고 가정할 때,
HTTP/FTP/Messenger 등의 비업무 서비스들의 사용량이 많아서
100M의 회선 중 92M를 사용하고 있다면, 업무 속도는 느려지게
되고, 네트워크가 웜바이러스에 심하게 감염될 경우 100M 모두를
웜바이러스가 사용하게 되므로 업무는 마비된다.
• QoS를 통해 업무를 100M 중 20M를 할당하면 의도하지 않은
트래픽으로 인해 업무 서비스가 마비되는 경우를 예방할 수 있다.
37 / 64

3. Concept of QoS
중요 서비스의
품질 보장
QoS (2/2)
트래픽 모니터링 & 분석
QoS 핸들링
Q o S
System
38 / 64
유해 트래픽 차단
혼잡 트래픽

6. VPN (Virtual Private Network)
39 / 64

1. The definition of VPN
VPN (1/6)
• Public Network로 분리되어 있는 서로 다른 네트워크를
논리적으로 동일한 사설망을 만들어 준다.
• 가상사설망
2. A type of VPN
• L2TP / PPTP VPN : Layer2를 이용한 VPN
- L2TP : 인증만 수행
- PPTP : 암호화 + 인증까지 수행
• IPSec VPN : IP layer Security VPN (Layer3를 이용한 VPN)
- ESP (Encapsulating Security Payload) : 암호화 + 인증까지 됨
- AH (Authentication Header) : 인증만 수행
• SSL VPN : SSL layer VPN
40 / 64

2. Concept of VPN
VPN Client
VPN (2/6)
VPN VPN
Tunnel
41 / 64

3-1. Concept of IPSec VPN
Application
Transport
Network
Data Link
Physical
VPN (3/6)
data
TCP
data
IPSec + Data
VPN IP ESP / AH Client IP
42 / 64
TCP
data

3-2-1. Mode of IPSec VPN
VPN (4/6)
• Tunnel Mode : VPN Device to VPN Device Encryption
VPN VPN
Tunnel
Security Zone
Encryption Packet
Normal Packet
IPSec + Data
Normal Packet
Client IP TCP data
VPN IP ESP Client IP TCP data
Client IP TCP data
43 / 64

3-2-2. Mode of IPSec VPN
VPN (5/6)
• Transparent Mode : End to End Encryption
VPN VPN
Tunnel
Encryption Packet
IPSec + Data
Client IP ESP
Security Zone
TCP
44 / 64
data

3-3. Concept of SSL VPN
Application
Presentation
Session
Transport
Physical
SSL
VPN (6/6)
data
handshake
Record
Change cipher spec
45 / 64
Alert protocol
handshake Change cipher spec
data
Alert protocol
data
* handshake Protocol : Negotiation Protocol
* Change cipher spec : Cipher Spec 변경
* Record Layer : Negotiation Protocol

7. Anti-Spam Solution
46 / 64

1. The definition of Anti-Spam
• 스팸메일을 차단하는 시스템, 스팸차단이라고도 함.
2. Concept of Anti-Spam
Internet
Anti-Spam Solution
47 / 64

8. UTM (Unified Threat Management)
48 / 64

1. The definition of UTM
• 여러 보안 모듈이 통합되어 있는 통합 보안 장비
• 팩스/스캔너/전화기 복합기와 동일한 개념
2. Concept of UTM
Internet
UTM
F/W IDS
Spam Etc
49 / 64

9. NAC (Network Access Control)
50 / 64

1. The definition of NAC
• 관리자가 정의한 보안환경이 운영되는 시스템만 네트워크에 연결이
가능하도록 한다.
• Clear Network 에 악성 Worm이 감염된 Host가 연결되면,
순식간에 네트워크는 악성 Worm이 퍼지게 되므로 이러한 상황을
막고자 하는 시스템이다.
2. For example about NAC
NAC (1/3)
• 새로운 Host에 랜선을 연결하면 연결되면, 바이러스 검사 / 윈도우
패치 버전 등을 확인하여, Clear Host이면 네트워크에 연결시키고,
악성 Worm에 감염된 Host 이면, 치료 후 네트워크의 사용을 허용
한다.
51 / 64

3. Risk of normal network
• NAC가 없는 경우에는 단 한 대의 PC 만으로 순식간에 네트워크가
감염될 수 있다.
VPN
VPN
Tunnel
NAC (2/3)
VPN
52 / 64

4. Role of NAC
• 랜선이 연결되는 순간 NAC는 해당 Host의 감염 여부를 확인하여
네트워크에서 격리시킨다.
VPN
NAC (3/3)
53 / 64
NAC

10. DRM (Digital Rights Management)
54 / 64

1. The definition of DRM
DRM (1/2)
• 디지털 콘텐츠의 무단 사용을 막아, 제공자의 권리와 이익을 보호해
주는 기술과 서비스를 통틀어 일컫는 말이다. 불법 복제와 변조를
방지하는 기술 등을 제공한다.
[출처] : 네이버 백과 사전
• 관리 대상이 되는 모든 파일에 대해서 복사 / 삭제 / 열람 / 수정
등의 구체적인 행위에 대해서 엑세스 권한을 주어 관리하는 시스템
55 / 64

2. Concept of DRM
열람 불가
열람 가능
열람 가능
원본 파일
열람 가능
복사 불가
DRM (2/2)
유출이 인가된
파일
56 / 64
회사 내부
로그이력 전송
라이센스발급
편집제어
열람제어
인쇄제어
권한제어
협력업체
암호화 상태로
전달후열람허용
Internet
열람 불가

11. ESM (Enterprise Security Management)
57 / 64

1. The definition of ESM
ESM (1/2)
• 이기종의 서로 다른 보안장비에서 발생한 로그를 하나의 화면에서
모니터링할수있는통합관리시스템
2. Condition of previous security management
• 구축되어 있는 Firewall, IDS, IPS, VMS, Web Firewall 등의 각각의
관리 페이지로 로그인하여서 현재의 상황을 체크하여야 함.
• 현업의 특성상 순간 순간 각각의 관리 페이지에서 전체적인 보안
이벤트의 발생 현황을 실시간으로 체크하는 것은 불가능함.
58 / 64

3. Concept of ESM
DMZ
Mail DB Web
Web
F/W
ESM (2/2)
IPS
Web
F/W
59 / 64
F/W Log
IDS Log
IPS Log
VMS Log
Server Farm
VMS FTP Web

12. TMS (Threat Management System)
60 / 64

1. The definition of TMS
TMS (1/2)
• 네트워크의 트래픽을 수집/분석하여 관리자에게 위협에 대한
정보를 제공함으로써, 조기 대응을 유도하는 시스템으로,
트래픽 분석을 통해 이상징후를 유추할 수 있다.
61 / 64

2. Concept of TMS
TMS (2/2)
TMS Sensor TMS Sensor
DMZ Server Farm Internal network
62 / 64
Alert 관리자 PC

참고 사이트
- http://www.unix.org.ua/orelly/networking/firewall/
- http://www.naver.com/
- http://www.juniper.net/
- http://www.cisco.com/
- http://e-words.ne.kr/
- http://www.taskqos.com/
- http://www.fasoo.com/
63 / 64

감사합니다
64 / 64