기초 보안 용어의 이해 [superdk].pdf
기초 보안 용어의 이해 [superdk].pdf
기초 보안 용어의 이해 [superdk].pdf
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>기초</strong> <strong>보안</strong> <strong>용어의</strong> <strong>이해</strong><br />
DongKi, Yeo<br />
<strong>superdk</strong>@hanmail.net<br />
2008. 07.
목표<br />
<strong>보안</strong> 장비의 기본 개념을 <strong>이해</strong>함으로써,<br />
<strong>보안</strong> 장비를 운영할 수 있는 기본 지식을<br />
갖춘다.<br />
2/ 64
목 차 (1/2)<br />
1. Firewall vs Bastion Host<br />
2. IDS (Intrusion Detection System)<br />
3. IPS (Intrusion Prevention System)<br />
4. Viruswall<br />
5. QoS (Quality of Service)<br />
6. VPN (Virtual Private Network)<br />
7. Anti-Spam Solution<br />
8. UTM (Unified Threat Management)<br />
3/ 64
목 차 (2/2)<br />
9. NAC (Network Access Control)<br />
10. DRM (Digital Rights Management)<br />
11. ESM (Enterprise Security Management)<br />
12. TMS (Threat Management System)<br />
4/ 64
1. Firewall<br />
5/ 64
1. The Definition of Firewall<br />
Firewall (1/19)<br />
• 침입차단시스템<br />
• 외부에서 조직내의 컴퓨터나 네트워크로 침입하는 것을 방지하는<br />
시스템, 또는 그러한 시스템이 설치 된 컴퓨터를 말한다.<br />
[정의 출처 http://e-words.ne.kr/]<br />
2. Main characters of Firewall<br />
• 내부 네트워크와 외부 네트워크를 연결하는 병목지점이다.<br />
• 주로 대표 IP 역할을 하며, 내부망을 보호한다.<br />
6/ 64
3. Concept of firewall<br />
Firewall (2/19)<br />
Insecure<br />
Insecure<br />
7/ 64<br />
Secure
4. Firewall Generation<br />
Firewall (3/19)<br />
• 2st Generation : Application Level F/W<br />
• 3st Generation : Stateful Inspection F/W<br />
• 1st Generation : Packet Filtering F/W<br />
8/ 64<br />
Application Layer<br />
Presentation Layer<br />
Session Layer<br />
Transport Layer<br />
Network Layer<br />
Data Link Layer<br />
Physical Layer
Firewall (4/19)<br />
5-1. Description of 1st Generation Firewall<br />
• Packet Filtering Firewall<br />
• Src IP, Dst IP 를 분석하여 필터링한다.<br />
• 1세대 방화벽의 출발은 라우터에 기반한다.<br />
• 단, 웜바이러스 / 스팸메일 등 상위계층에서 동작하는 이상 트래픽을<br />
차단할 수 없다.<br />
Src IP Dst IP Data<br />
192.168.0.10 192.168.0.20 Data<br />
9/ 64
Firewall (5/19)<br />
5-2. Concept of 1st Generation Firewall<br />
Src System Dst System<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical<br />
Firewall<br />
Network<br />
Data Link<br />
Physical<br />
10 / 64<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical
Firewall (6/19)<br />
6-1. Description of 2st Generation Firewall<br />
• Application Level Firewall<br />
• Src IP, Dst IP, Port, Protocol, Contents 등 모든 내용을 필터링한다.<br />
• 즉, 지나가는 패킷의 모든 내용을 볼 수 있으므로, 웜바이러스 /<br />
스팸메일 등 상위계층에서 동작하는 이상 트래픽까지도 차단할 수<br />
있다.<br />
• 단, 과부하가 심하기 때문에 실제 환경에서 운영이 어렵다.<br />
Src IP Dst IP Port Data<br />
192.168.0.10 192.168.0.20 25<br />
Data ( Hello world )<br />
11 / 64
Firewall (7/19)<br />
6-2. Concept of 2st Generation Firewall<br />
Src System Firewall<br />
Dst System<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical<br />
12 / 64<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical
Firewall (8/19)<br />
7-1. Description of 3st Generation Firewall<br />
• Stateful Inspection Firewall<br />
• Network Layer에서 첫 패킷을 가로챈다.<br />
• 이 패킷을 Inspection Engineer에서 App Layer까지 분석한다.<br />
• Dynamic State Tables에 결과를 저장한다.<br />
• 두 번째 패킷 부터는 Inspection Engineer 분석 과정을 생략하고,<br />
Dynamic State Tables의 내용에 따라 동작한다.<br />
• 즉, Application Level Firewall의 과부하 문제를 해결하였다.<br />
• 단, 2번째 패킷 이후에 실려오는 이상 트래픽을 차단할 수 없다.<br />
Src IP Dst IP Port Data<br />
192.168.0.10 192.168.0.20 25<br />
Data ( Hello world )<br />
13 / 64
Firewall (9/19)<br />
7-2. Concept of 3st Generation Firewall<br />
Src System Firewall Inspection Dst System<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical<br />
14 / 64<br />
Engineering<br />
Dynamic<br />
State Tables<br />
Dynamic<br />
State Tables<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Network<br />
Data Link<br />
Physical
8-1. Definition of Bastion Host<br />
Firewall (10/19)<br />
• Bastion Host is not a firewall and other security device !!!<br />
• A bastion host is a special purpose computer on a network<br />
specifically designed and configured to withstand attack.<br />
[출처 : 위키백과]<br />
• 취약점을 최소화한 Secure OS가 설치된 Highly Secure Host !!!<br />
로써, 네트워크 구성상 외부에 노출되는 Host 이다.<br />
15 / 64
8-1. Definition of Bastion Host<br />
Firewall (11/19)<br />
• A bastion host is your public presence on the Internet. Think of<br />
it as the lobby of a building. Outsiders may not be able to go up<br />
the stairs and may not be able to get into the elevators, but they<br />
can walk freely into the lobby and ask for what they want.<br />
(Whether or not they will get what they ask for depends upon the<br />
building's security policy.) Like the lobby in your building, a bastion<br />
host is exposed to potentially hostile elements. The bastion host is<br />
the system that any outsiders - friends or possible foes - must<br />
ordinarily connect with to access a system or a service that's<br />
inside your firewall.<br />
출처 : http://www.unix.org.ua/orelly/networking/firewall/ch05_01.htm<br />
16 / 64
8-1. Definition of Bastion Host<br />
Firewall (12/19)<br />
• By design, a bastion host is highly exposed, because its existence<br />
is known to the Internet. For this reason, firewall builders and<br />
managers need to concentrate security efforts on the bastion host.<br />
You should pay special attention to the host's security during<br />
initial construction and ongoing operation. Because the bastion<br />
host is the most exposed host, it also needs to be the most<br />
fortified host<br />
출처 : http://www.unix.org.ua/orelly/networking/firewall/ch05_01.htm<br />
17 / 64
9-1. Firewall architecture<br />
• Screening Router<br />
• Screened host<br />
• Screened subnet<br />
• Dual-homed Host<br />
Firewall (13/19)<br />
18 / 64
9-2. Screening Router<br />
Firewall (14/19)<br />
• 라우터가 내부와 외부 네트워크를 Screen 한다.<br />
• Packet Filtering 을 이용한다.<br />
External Network Internal Network<br />
19 / 64<br />
•Packet Filtering Router<br />
•Boundary Router
9-3. Screened Host<br />
Firewall (15/19)<br />
• 라우터가 내부와 외부 네트워크를 Screen 하고,<br />
모든 Data는 반드시 Screened host 를 통한다.<br />
Bastion Host<br />
External Network Internal Network<br />
20 / 64
9-4-1. Screened Subnet<br />
Firewall (16/19)<br />
• 내부와 외부 네트워크를 Screen 하는 네트워크가 존재한다.<br />
External Network<br />
Perimeter Network<br />
Bastion Host<br />
Exterior Router Interior Router<br />
21 / 64<br />
Firewall<br />
Internal Network
9-4-2. Screened Subnet<br />
• DMZ 구조의 기원이다.<br />
Firewall (17/19)<br />
Bastion Host<br />
22 / 64<br />
DMZ
9-4-3. Screened Subnet<br />
Firewall (18/19)<br />
• Perimeter Network<br />
- Internal Network 로 부터 Bastion host 를 분리한다.<br />
• Exterior Router<br />
- External Network 와 연결된다.<br />
• Interior Router<br />
- Internal Network 와 연결된다.<br />
23 / 64
9-5. Dual-Homed Host<br />
Firewall (19/19)<br />
• 2개의 NIC를 가진 host가 라우터 역할을 한다.<br />
• IP Routing을 할 수 있지만, Routing을 사용하지 않는 것이 권장된다.<br />
NIC #1 NIC #2<br />
External Network Internal Network<br />
24 / 64
2. IDS (Intrusion Detection System)<br />
25 / 64
1. The definition of IDS<br />
IDS (1/4)<br />
• Intrusion Detection System (침입탐지시스템)<br />
• 침입(유해 트래픽)을 탐지하여 관리자에게 통보하는 시스템<br />
• <strong>보안</strong> 사고 발생 후 로그를 증거 자료로 제출하기 위해 운영하는<br />
시스템<br />
2. Detection Position<br />
• N-IDS (Network-Based IDS) : 네트워크의 유해 트래픽을 탐지<br />
• H-IDS (Host-Based IDS) : 호스트한대의유해트래픽을탐지<br />
26 / 64
3. Detection Method<br />
IDS (2/4)<br />
• Misuse Detection (오용탐지)<br />
- 바이러스 백신처럼 이미 알려져 있는 공격 패턴에 대해서만<br />
탐지해낼수있는기법.<br />
- 패턴 저장 DB를 전문가 시스템이라고도 한다.<br />
• Anomaly Detection (이상 탐지)<br />
- 정해진 기간에 대해서 트래픽량이나 공격패턴의 추이에 대한<br />
통계를 계산해 두고 있다가 통계와 차이를 보이게 되면<br />
Anomaly 한 상태라 판단하여 탐지하는 기법.<br />
- 흔히 AI : Artificial Intelligence (인공지능) 라고 불리어지는 기법.<br />
- 신경망 시스템의 알고리즘<br />
27 / 64
IDS (3/4)<br />
4. Architecture of Host-Based IDS<br />
BOF is detected !!!<br />
IDS 관리시스템<br />
28 / 64
IDS (4/4)<br />
5. Architecture of Network-Based IDS<br />
Worm is detected !!!<br />
IDS 관리시스템<br />
29 / 64
3. IPS (Intrusion Prevention System)<br />
30 / 64
1. The definition of IPS<br />
IPS (1/2)<br />
• Intrusion Prevention System (침입방지시스템)<br />
• 침입을 탐지하여 차단한 후 관리자에게 통보하는 시스템<br />
2. Response type<br />
• Passive<br />
IDS 처럼 차단 같은 실시간 대응보다는 관리자에게 통보함으로써<br />
조치를 취할 수 있도록 하는 대응을 말함.<br />
• Active<br />
IPS 처럼 탐지된 유해트래픽을 먼저 차단하고, 관리자에게 통보하는<br />
대응을 말함<br />
31 / 64
3. Architecture of IPS<br />
1. Worm is blocked.<br />
2. Worm is detected.<br />
IPS (2/2)<br />
32 / 64
4. Viruswall<br />
33 / 64
1. The definition of Viruswall<br />
• 바이러스 차단 시스템<br />
Viruswall (1/2)<br />
• 바이러스 백신 엔진을 이용 네트워크를 통과하는 콘텐츠 중<br />
바이러스나 웜 등 악성 프로그램을 검사하고 차단 및 치료하는<br />
바이러스 방지 솔루션<br />
[출처] : http://terms.naver.com/search.naver?query=viruswall<br />
34 / 64
2. Architecture of Viruswall<br />
Viruswall (2/2)<br />
35 / 64
5. QoS (Quality of Service)<br />
36 / 64
1. The definition of Viruswall<br />
QoS (1/2)<br />
• 서비스(HTTP, FTP, VOIP …)의 품질을 보장하는 시스템<br />
2. For example<br />
• 업무 서비스를 12345/tcp 포트로 제공한다고 가정할 때,<br />
HTTP/FTP/Messenger 등의 비업무 서비스들의 사용량이 많아서<br />
100M의 회선 중 92M를 사용하고 있다면, 업무 속도는 느려지게<br />
되고, 네트워크가 웜바이러스에 심하게 감염될 경우 100M 모두를<br />
웜바이러스가 사용하게 되므로 업무는 마비된다.<br />
• QoS를 통해 업무를 100M 중 20M를 할당하면 의도하지 않은<br />
트래픽으로 인해 업무 서비스가 마비되는 경우를 예방할 수 있다.<br />
37 / 64
3. Concept of QoS<br />
중요 서비스의<br />
품질 보장<br />
QoS (2/2)<br />
트래픽 모니터링 & 분석<br />
QoS 핸들링<br />
Q o S<br />
System<br />
38 / 64<br />
유해 트래픽 차단<br />
혼잡 트래픽
6. VPN (Virtual Private Network)<br />
39 / 64
1. The definition of VPN<br />
VPN (1/6)<br />
• Public Network로 분리되어 있는 서로 다른 네트워크를<br />
논리적으로 동일한 사설망을 만들어 준다.<br />
• 가상사설망<br />
2. A type of VPN<br />
• L2TP / PPTP VPN : Layer2를 이용한 VPN<br />
- L2TP : 인증만 수행<br />
- PPTP : 암호화 + 인증까지 수행<br />
• IPSec VPN : IP layer Security VPN (Layer3를 이용한 VPN)<br />
- ESP (Encapsulating Security Payload) : 암호화 + 인증까지 됨<br />
- AH (Authentication Header) : 인증만 수행<br />
• SSL VPN : SSL layer VPN<br />
40 / 64
2. Concept of VPN<br />
VPN Client<br />
VPN (2/6)<br />
VPN VPN<br />
Tunnel<br />
41 / 64
3-1. Concept of IPSec VPN<br />
Application<br />
Transport<br />
Network<br />
Data Link<br />
Physical<br />
VPN (3/6)<br />
data<br />
TCP<br />
data<br />
IPSec + Data<br />
VPN IP ESP / AH Client IP<br />
42 / 64<br />
TCP<br />
data
3-2-1. Mode of IPSec VPN<br />
VPN (4/6)<br />
• Tunnel Mode : VPN Device to VPN Device Encryption<br />
VPN VPN<br />
Tunnel<br />
Security Zone<br />
Encryption Packet<br />
Normal Packet<br />
IPSec + Data<br />
Normal Packet<br />
Client IP TCP data<br />
VPN IP ESP Client IP TCP data<br />
Client IP TCP data<br />
43 / 64
3-2-2. Mode of IPSec VPN<br />
VPN (5/6)<br />
• Transparent Mode : End to End Encryption<br />
VPN VPN<br />
Tunnel<br />
Encryption Packet<br />
IPSec + Data<br />
Client IP ESP<br />
Security Zone<br />
TCP<br />
44 / 64<br />
data
3-3. Concept of SSL VPN<br />
Application<br />
Presentation<br />
Session<br />
Transport<br />
Physical<br />
SSL<br />
VPN (6/6)<br />
data<br />
handshake<br />
Record<br />
Change cipher spec<br />
45 / 64<br />
Alert protocol<br />
handshake Change cipher spec<br />
data<br />
Alert protocol<br />
data<br />
* handshake Protocol : Negotiation Protocol<br />
* Change cipher spec : Cipher Spec 변경<br />
* Record Layer : Negotiation Protocol
7. Anti-Spam Solution<br />
46 / 64
1. The definition of Anti-Spam<br />
• 스팸메일을 차단하는 시스템, 스팸차단이라고도 함.<br />
2. Concept of Anti-Spam<br />
Internet<br />
Anti-Spam Solution<br />
47 / 64
8. UTM (Unified Threat Management)<br />
48 / 64
1. The definition of UTM<br />
• 여러 <strong>보안</strong> 모듈이 통합되어 있는 통합 <strong>보안</strong> 장비<br />
• 팩스/스캔너/전화기 복합기와 동일한 개념<br />
2. Concept of UTM<br />
Internet<br />
UTM<br />
F/W IDS<br />
Spam Etc<br />
49 / 64
9. NAC (Network Access Control)<br />
50 / 64
1. The definition of NAC<br />
• 관리자가 정의한 <strong>보안</strong>환경이 운영되는 시스템만 네트워크에 연결이<br />
가능하도록 한다.<br />
• Clear Network 에 악성 Worm이 감염된 Host가 연결되면,<br />
순식간에 네트워크는 악성 Worm이 퍼지게 되므로 이러한 상황을<br />
막고자 하는 시스템이다.<br />
2. For example about NAC<br />
NAC (1/3)<br />
• 새로운 Host에 랜선을 연결하면 연결되면, 바이러스 검사 / 윈도우<br />
패치 버전 등을 확인하여, Clear Host이면 네트워크에 연결시키고,<br />
악성 Worm에 감염된 Host 이면, 치료 후 네트워크의 사용을 허용<br />
한다.<br />
51 / 64
3. Risk of normal network<br />
• NAC가 없는 경우에는 단 한 대의 PC 만으로 순식간에 네트워크가<br />
감염될 수 있다.<br />
VPN<br />
VPN<br />
Tunnel<br />
NAC (2/3)<br />
VPN<br />
52 / 64
4. Role of NAC<br />
• 랜선이 연결되는 순간 NAC는 해당 Host의 감염 여부를 확인하여<br />
네트워크에서 격리시킨다.<br />
VPN<br />
NAC (3/3)<br />
53 / 64<br />
NAC
10. DRM (Digital Rights Management)<br />
54 / 64
1. The definition of DRM<br />
DRM (1/2)<br />
• 디지털 콘텐츠의 무단 사용을 막아, 제공자의 권리와 이익을 보호해<br />
주는 기술과 서비스를 통틀어 일컫는 말이다. 불법 복제와 변조를<br />
방지하는 기술 등을 제공한다.<br />
[출처] : 네이버 백과 사전<br />
• 관리 대상이 되는 모든 파일에 대해서 복사 / 삭제 / 열람 / 수정<br />
등의 구체적인 행위에 대해서 엑세스 권한을 주어 관리하는 시스템<br />
55 / 64
2. Concept of DRM<br />
열람 불가<br />
열람 가능<br />
열람 가능<br />
원본 파일<br />
열람 가능<br />
복사 불가<br />
DRM (2/2)<br />
유출이 인가된<br />
파일<br />
56 / 64<br />
회사 내부<br />
로그이력 전송<br />
라이센스발급<br />
편집제어<br />
열람제어<br />
인쇄제어<br />
권한제어<br />
협력업체<br />
암호화 상태로<br />
전달후열람허용<br />
Internet<br />
열람 불가
11. ESM (Enterprise Security Management)<br />
57 / 64
1. The definition of ESM<br />
ESM (1/2)<br />
• 이기종의 서로 다른 <strong>보안</strong>장비에서 발생한 로그를 하나의 화면에서<br />
모니터링할수있는통합관리시스템<br />
2. Condition of previous security management<br />
• 구축되어 있는 Firewall, IDS, IPS, VMS, Web Firewall 등의 각각의<br />
관리 페이지로 로그인하여서 현재의 상황을 체크하여야 함.<br />
• 현업의 특성상 순간 순간 각각의 관리 페이지에서 전체적인 <strong>보안</strong><br />
이벤트의 발생 현황을 실시간으로 체크하는 것은 불가능함.<br />
58 / 64
3. Concept of ESM<br />
DMZ<br />
Mail DB Web<br />
Web<br />
F/W<br />
ESM (2/2)<br />
IPS<br />
Web<br />
F/W<br />
59 / 64<br />
F/W Log<br />
IDS Log<br />
IPS Log<br />
VMS Log<br />
Server Farm<br />
VMS FTP Web
12. TMS (Threat Management System)<br />
60 / 64
1. The definition of TMS<br />
TMS (1/2)<br />
• 네트워크의 트래픽을 수집/분석하여 관리자에게 위협에 대한<br />
정보를 제공함으로써, 조기 대응을 유도하는 시스템으로,<br />
트래픽 분석을 통해 이상징후를 유추할 수 있다.<br />
61 / 64
2. Concept of TMS<br />
TMS (2/2)<br />
TMS Sensor TMS Sensor<br />
DMZ Server Farm Internal network<br />
62 / 64<br />
Alert 관리자 PC
참고 사이트<br />
- http://www.unix.org.ua/orelly/networking/firewall/<br />
- http://www.naver.com/<br />
- http://www.juniper.net/<br />
- http://www.cisco.com/<br />
- http://e-words.ne.kr/<br />
- http://www.taskqos.com/<br />
- http://www.fasoo.com/<br />
63 / 64
감사합니다<br />
64 / 64