 네트워크 보안 - 방화벽
방화벽은 인터넷과 같은 외부 네트워크에서 내부 네트워크 등의 내부 네트워크
에 대한 무단 액세스를 방지하는 시스템입니다. 라우터와 같은 장비에 방화벽 기능을 갖게 구성 및
방화벽 전용 하드웨어로 구성이 있습니다. 방화벽의 기본 구현으로 외부에서
발생하는 트래픽은 거부하고 내부에서 외부로 발생하는 트래픽의 반환 트래픽이 허용 시킵니다.
이것은 방화벽 상태 검사 라는 기능을 이용하여 실현하고 있습니다. 방화벽에서 통신 허용 된 설정이없는 한 "외부 네트워크에서 패킷을
수신 할 수 없다" 이들이라면 완벽하다고 생각 될지도 모릅니다 만, 방화벽은 패킷이 악의적 인 트래픽 또는 여부는 확인할 수 없기 때문에 DoS 공격 나 웜과 같은 트래픽을 효과적으로 방지 할 수 없다는 점에서 예를 들어 잘못된 CGI GET 요청 등은見破れ없습니다. 따라서 IDS 또는 IPS 도입 필요성이 나옵니다. 네트워크 보안 - IDS IDS (Intrusion Detection System)는 침입 탐지 시스템입니다. IDS는 그 이름대로 무단 액세스 등의 악성 트래픽을 탐지하여 통지합니다. 예를 들어, Firewall 전에 놓인 IDS는 네트워크를 통과하는 트래픽을 모니터링하고 무단 액세스 보인다 패킷을 감지하면 네트워크 관리자에게 통지합니다. 무단 액세스 패킷인지의 판단은 서명 라는 공격 패턴 데이터베이스를 사용합니다. 이 침입 탐지 통지를받은 관리자는 예를 들어 방화벽 필터링을 강화하고 공격에 대비합니다. 이러한 방화벽과 IDS의 조합에 의해 보안 강도가 높아집니다. 그러나 IDS는 어디 까지나감지하는 시스템이기 때문에 네트워크 관리자가 감지 한 내용에 따라 보안 제어를하지 않는 한 공격을 방지 할 수없고, 실시간으로 공격을 막을 수 없습니다. 그래서 IPS의 등장입니다.
네트워크 보안 - IPS
IPS (Intrusion Prevention System)은 침입 방지 시스템입니다. IPS는 그 이름대로 무단 액세스 등의
악성 트래픽을 탐지하여 통지 할뿐만 아니라 서명을 참조 무단 액세스에 해당하는 패킷
을 파기하거나 세션을 종료하고 즉시 방어합니다 . IPS 바로 보안 구현의 핵심이라 할 수있다 입지입니다. 침입을 감지하면 실시간으로
방어하기 IPS는 웜이나 DoS 등의 패킷이 가지는 특징을 파악한 순간, 방어를 시작하기 때문에 IDS와 같은 노동 집약적 관리자의 유지 보수가 발생하지 않습니다 . 네트워크 보안 - 방화벽 도입시 네트워크 구성 회사 네트워크에 방화벽을 도입 할 경우 네트워크를 최소 3 개로 분리하는 것이 일반적입니다. 내부 네트워크 외부 네트워크, DMZ 의 3 가지입니다. DMZ (DeMilitarized Zone)는 비무장 지대라는 뜻.
| 3 종류의 네트워크 | 의미 | | 내부 네트워크 | 기업의 사내 네트워크 등의 내부 네트워크. Trust 네트워크라고도한다. | | 외부 네트워크 | 인터넷과 같은 외부 네트워크. Untrust 네트워크라고도한다. | | DMZ(요즘 잘 안불려짐) | 내부, 외부 네트워크으로부터 분리 된 네트워크. 외부 네트워크 사용자에게
공개하는 서버를 도입하는 네트워크. 공개 서버를 DMZ에 배치 해 둠으로써
서버를 납치 된 경우에도 내부 네트워크에 대한 무단 액세스를 방지 할 수있다. |
내부 네트워크 외부 네트워크, DMZ에서 발생하는 트래픽은 일반적으로 다음과 같은 흐름입니다.
| 트래픽의 흐름 | 설명 | | 내부에서 외부로 발생하는 트래픽 | 디자인 정책에 따른 트래픽 만 허용 | | 외부에서 내부에 발생하는 트래픽 | 내부에서 발생한 돌아 트래픽 만 허용 | | 내부에서 DMZ에 발생하는 트래픽 | 공개 서버에 액세스하는 데 필요한 최소한의 트래픽을 허용 | | DMZ에서 내부에 발생하는 트래픽 | 내부에서 발생한 돌아 트래픽 만 허용 | | 외부에서 DMZ에 발생하는 트래픽 | 공개 서버에 액세스하는 데 필요한 최소한의 트래픽을 허용 | | DMZ에서 외부로 발생하는 트래픽 | 외부에서 발생한 돌아 트래픽 만 허용 |
자사의 상품이나 서비스 등을 인터넷에서
판매하고있는 Web 서버가있는 EC 사이트 등에서는
내부 네트워크와 완전히 분리, 즉
인터넷 접속 회선도 별도로 데이터 센터
등에서 독립적으로 NW를 구성하는 경우 이 많습니다. EC 사이트와 같은 네트워크에서는 단순히 Firewall과 IPS 등을 도입 할뿐만 아니라 회선 트래픽 부하 분산 장치를 도입하는 것도 많습니다. 이러한 네트워크 구성에서는 DMZ 개념이 아니라 내부와 외부라는 구성으로 생각 보안 뿐만 아니라 부하 분산 장치의 설계가 중요 해지고 있습니다.
| |
|