보안 공격 및 예방 4

03. 정보보호 대책

01. IPS 개념

1) 침입 차단 시스템(IPS : Intrusion Prevention System)의 정의

• 침입 차단 시스템은 일반적으로 방화벽(Firewall)을 의미함
• 불법적인 외부 침입으로부터 내부 네트워크의 정보를 보호하기 위한 시스템
• 컴퓨터 네트워크 환경에서 네트워크 보안 문제가 주변 혹은 내부로 확대되는 것을 차단하기 위해 내부, 외부 네트워크 사이의 정보 흐름을 안전하게 통제하는 시스템
• 내부 네트워크의 정보를 보호하고 유해 정보 유입을 차단하기 위한 정책 기술
• 침입 차단 시스템은 트래픽 감시나 불법 접근을 방지함
• 침입 차단 정책을 지원하는 하드웨어적 소프트웨어적 기술을 총칭함
• 방화벽 하드웨어 및 소프트웨어 자체의 결함에 의해 보안 상 취약점을 가질 수 있음

2) IPS의 기능

1. 접근 통제 기능
   • E-메일 서버나 공개된 서버용 컴퓨터와 같은 특정한 서버를 제외하고 내부 네트워크에 접근하는 것을 차단하거나 통제하는 기능으로 외부에서 내부 네트워크로 들어오는 패킷과 내부에서 외부 네트워크로 나가는 패킷을 통제함
2. 신분 확인 기능
   • 외부 네트워크에서 내부 네트워크로 접속하기 위해서는 반드시 침입 차단 시스템을 통과시키게 하여 사용자의 신분을 화인함
   • 침입 차단 시스템은 인증 프로그램이나 보안 프로그램을 설치하기 적합한 기능을 제공한
3. 네트워크 감시 통제 기능
   • 내부 네트워크에 접속한 정보를 기록, 조사, 검토, 통제하는 기능이 있으며 불법 접속이 발견되면 추적하는 기능도 제공함
4. 비밀성 보장 기능
   • 인가 되지 않은 외부 사용자에게 내부 네트워크의 중요 정보가 노출되었을 때 정보가 분석되거나 해독 되지 않도록 하는 기능
5. 무결성 보장 기능
   • 중요한 내부 네트워크의 정보에 대해서 변경되거나 파괴되지 않도록 보호하는 기능

3) IPS의 장점

1. 취약한 서비스의 보호
   • 인터넷을 사용하는 인터넷 서비스(HTTP, FTP, E-메일 등)나 응용 프로그램들은 완벽하지 않기 때문에 언제나 외부 공격에 취약하여, 이런 취약한 부분을 보완하고 강화 시켜줌
2. 접근 통제
   • 컴퓨터네 존재하는 자원들은 사용자에 따라 사용 권한을 부여하는 기능이 있음
3. 로그와 통제
   • 사용자의 접근을 로그 파일로 기록하여 사용자를 통제할 수 있음

4) IPS의 단점

1. 네트워크의 속도 저하
   • 내부 네트워크를 진입한 데이터가 바로 컴퓨터로 수신 되지 않고, 침입 차단 시스템을 경유해야 하므로 느릴 수밖에 없음
2. 서비스 불편
   • 인터넷 서비스를 원활하게 사용하지 못함
   • 특정 웹 사이트를 열었을 때 여러 가지 보안 상의 이유로 추가적으로 파일을 설치해야 한다든지, 웹 페이지가 보안 상의 문제로 열리지 않는 경우라고 할 수 있음
3. 특정 서비스 거부
   • 모든 컴퓨터의 환경이나 서비스는 사용자마다 다른데, 일률적인 침입 차단 시스템 때문에 제한되어서는 안 되는 특정 서비스가 거부될 수 있음
4. 수동적인 보호
   • 침입 차단 시스템은 사람이 감시하고 판단하는 것처럼 침입에 대하여 능동적으로 대처하기 어려움
   • 이미 정해져 있는 침입 차단 규칙으로 운영되기 때문
5. 악의적인 내부 사용자의 공격
   • 침입 차단 시스템은 외부 공격만 차단하기 때문에 내부 사용자의 공격에는 무방비 상태가 됨
   • 백도어를 통해 내부 네트워크로 진입하는 것은 차단하지 못함
6. 새로운 형태의 공격 유형
   • 이미 알려진 공격 형태에만 차단 시스템이 작동되기 때문에 새롭게 개발된 공격이나, 고급화된 공격 기술에 대해서는 침입 차단 시스템이 무용지물이 될 수 있음
7. 압축된 바이러스에 취약
   • 침입 방지 시스템은 바이러스를 치료하는 백신 기능이 존재하지 않기 때문에 바이러스가 침입하거나 압축 파일에 숨겨져 있는 바이러스는 차단할 수 있음
8. 침입 알림 기능 부재
   • 공격자의 침입 발생은 로그 파일에 기록된 정보 분석만으로 알 수 있으며, 침입 시에 알림 기능이 없음
9. 다이얼 모뎀 공격
   • 비인가된 다이얼 모뎀을 통한 접속은 방어하지 못함
   • 내부 네트워크에 연결된 공중 전화망이 있는 경우에는 공중 전화망을 통한 공격은 방어하지 못함

5) 침입 대응 방법의 종류

1. 침입 예방(Intrusion Prevention)
   • 공격을 무력화하거나 침입이 발생하지 않도록 하는방법
   • 컴퓨터 시스템이나 네트워크의 취약점을 파악하여 주기적으로 보안 관리를 수행함
2. 침입 선점(Intrusion Preemption)
   • 공격 받기 전에 미리 공격하여 침입을 막아내는 방법
   • 공격자의 정보를 파악하여 공격자의 서버나 해킹 툴을 공격함
3. 침입 방해(Intrusion Deterrence)
   • 공격자가 침입하기 어려운 환경을 만드는 방법
   • 공격자의 침입 목표를 숨기거나 침입 목표를 착각하게 만듦
   • 공격자가 목표를 찾는 시간이 많이 소요되면 공격자를 탐지할 가능성이 커짐
4. 침입 오인(Intrusion Deflection)
   • 공격자가 침입에 성공했다고 믿도록 하는 방법
   • 침입 목표와 유사한 시스템을 만들어 공격자들의 침입을 유도함
   • 공격자에게 정상적인 계정을 받았음을 믿게 함
   • 침입 오인 방법은 공격자의 성향이나 정보를 관찰할 수 있어 차후 공격에 적극적으로 대비할 수 있음
5. 침입 탐지(Intrusion Detection)
   • 네트워크에서 허가되지 않은 비정상적인 행동을 탐지하고 ,불법적인 행위와 침입 여부를 확인한 후, 이에 대응하는 방법
   • 침입의 대응 결과를 문서화하여 차후 공격에 철저히 대비함

---

02. IPS의 기본 시스템

1) 스크린 라우터(Screen Router, 패킷 필터링 라우터)

• 스크린 라우터는 내부 네트워크로 진입하는 패킷을 감시하고, 외부 네트워크로 패킷을 전달하는 고유의 라우터 기능이 있음
• 패킷의 정보를 담고 있는 패킷의 헤더를 파악하여 필터링(정상적이지 않은 패킷들을 걸러내는 작업)을 수행함
• 가장 저렴한 가격으로 방화벽을 구축하는 방법이며 신속하게 구축할 수 있음
• 통신 프로토콜의 구조, 송수신 측 IP 주소, 포트 번호 등을 분석하여 내부, 외부 네트워크의 입출력을 허가하거나 거절함
• IP 주소와 포트에 대한 침입 차단만이 가능함
• 침입 형태가 다양하므로 펌웨어 수준으로 구축하기에는 제한점이 많고, 복잡한 보안 정책을 구현하기 어려워 베스천 호스트(방화벽의 메인 서버 컴퓨터)를 함께 운영하는 것이 일반적
• OSI 7계층 중 , 4계층에서 동작하는 IP, TCP, UDP 헤더의 내용을 분석하여 동작함
• 내부, 외부 사용자는 스크린 라우터가 존재함을 인식하지 않고 통신할 수 있음
• OSI 7계층은 모든 네트워크 통신에서 발생하는 충돌, 호환성 문제를 완화하기 위하여 국제표준기구(ISO)에서 표준화된 네트워크 구조를 제시한 기본 모델

2) 베스천 호스트(Bastion Host)

• 방화벽의 메인 서버 컴퓨터를 의미함
• 외부 네트워크에 연결되어 있으면서 내부 네트워크와는 하나의 연결 통로로 되어 있는 컴퓨터 시스템
• 모든 외부 데이터들은 직접 내부 네트워크에 접근할 수 없으며 반드시 베스천 호스트를 경유해야 함
• 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이의 관문 역할을 수행함
• 일반 사용자 계정을 생성하지 않으며 공격 당할 어떠한 서비스 응용 프로그램을 설치하지 않음
• 콘솔을 통해서만 로그인 되도록 하며 불필요한 유틸리티 프로그램을 설치하지 않음
• 베스천 서버의 모든 파일은 읽기 전용의 파일 시스템으로 구축함
• 베스천 호스트가 손상되거나 로그인 정보가 노출되면 내부 네트워크를 보호할 수 없음
• 철저한 관리가 요구되면 보안 소프트웨어는 항상 최신 버전을 사용해야 함
• 물리적인 위치가 매우 중요하므로 내부 네트워크와 스크린 라우터 사이에 설치해야 함

3) 프록시(Proxy) 서버

• 베스천 호스트에 설치되어 운용되는 전문화된 응용 프로그램 혹은 서버 프로그램
• 내부 네트워크에 존재하는 사용자 컴퓨터가 자신을 통하여 네트워크 서비스에 간접적으로 접속할 수 있게 해주는 컴퓨터나 응용 프로그램
• 네트워크 서버와 사용자 컴퓨터 간의 중계기로 대리 통신 역할을 수행하는 서버
• 프록시 서버에 요청한 내용을 캐시에 저장하고 관리함
• 캐시 안에 저장된 정보를 사용자 컴퓨터가 요구하며 원격 네트워크의 서버에 접속하여 데이터를 가져올 필요가 없게 됨으로써 송수신 시간을 절약할 수 있음
• 외부 네트워크와 데이터 송수신이 줄어들게 되므로 병목 현상을 방지할 수 있음

4) Secure OS의 보안 기능

• 식별 및 인증
• 임의적 접근 통제(DAC)
• 강제적 접근 통제(MAC)
• 객체 재사용 보호
• 완전성 조정
• 신뢰 경로
• 감사 및 감시 기록 축소

---

03. IPS의 세대별 방식

1) 패킷 필터링(Packet Fintering) 방식 - 1세대

• 인터넷의 IP 패킷의 IP 프로토콜과 TCP 프로토콜의 침입을 차단하는 방식
• OSI 7계층의 네트워크 계층(3계층)과 전송 계층(4계층)의 프로토콜 침입을 차단함
• 패킷 필터링 방화벽은 패킷의 출발지 및 목적지 IP 주소, 서비스의 포트 번호 등을 이용한 접속 제어를 수행함
• 내부 네트워크로 진입하는 IP 패킷의 헤더를 검사하는 방식
• IP 필터링을 통하여 내부 네트워크로 들어오는 IP를 차단할 수 있음
• 처리 속도가 빠르고 우수하며 사용자에게는 투명성을 제공함
• 구축 비용이 저렴하여 인터넷 IP 주소가 변조되는 Spoofing 공격에 취약함
• 내부 네트워크에 출입하는 트래픽에 대한 분석이 불가능해 로그 파일을 만들 수 없음
• 다양한 공격을 막아내기 위한 기술을 추가하기가 복잡하고 불편함

2) 응용 게이트웨이(Application Gateway) 방식 - 2세대

• 인터넷으로 침입하는 공격을 응용 보안 서비스 프로그램이 차단하는 방식
• OSI 7계층의 응용 계층(7계층)의 프로토콜 침입을 차단함
• 1세대인 패킷 필터링 방식을 포함하고 있고, 응용 프로그램별 침입 차단을 제공함
• 응용 프로그램별 프록시 데몬이 있어 실시간 침입을 차단할 수 있음
• 내부 IP 주소를 숨길 수 있어 보안성이 좋음
• NAT 기능을 이용하여 IP 주소 자원을 효율적으로 사용함과 동시에 보안성을 높일 수 있음
• 강력한 로그 파일 관리 기능과 감시 기능을 제공함
• 응용 프로그램별 프록시 데몬이 실시간 침입을 차단할 수는 있지만, 복잡하고 어려우므로 사용자에게 투명성을 제공하기 어려움

3) 서킷(회로) 게이트웨이(Circuit Gateway) 방식 - 3세대

• OSI 7계층의 세션 계층(5계층), 표현 계층(6계층), 응용 계층(7계층) 프로토콜 침입을 차단함
• 특정한 계층이 아닌 거의 모든 프로토콜의 침입을 차단할 수 있는 방식
• 사용자 컴퓨터에는 클라이언트 프로그램을 설치하고 방화벽에 있는 프록시 서버와 안전한 통신을 위한 서킷 게이트웨이를 구축하고 이 서킷을 통해 내부 시스템과 통신을 함
• 내부 네트워크 주소를 숨길 수 있으며 클라이언트 프로그램이 설치된 사용자 컴퓨터에서는 별도의 인증 절차 없이 투명한 서비스를 제공할 수 있음

4) 하이브리드 방식

• 1세대인 패킷 필터링 방식과 2세대인 응용 게이트웨이 방식을 혼합한 방식
• 처리 속도와 보안 구축 설정이 신속함
• 관리가 복잡하며, 보안 수준이 강화될수록 복잡함

5) 스테이트풀 인스펙션(Stateful Inspection) 방식

• 패킷 필터링 방식과 응용 게이트웨이의 단점을 보완한 방식으로 두 방식의 장점을 최대한 이용함
• 네트워크 내부로 들어오는 패킷이나 외부로 나가는 패킷들을 관리자가 세운 정책에 의해 동적으로 분석하여 허용 및 차단할 수 있음
• 패킷 단위가 아니라 세션 단위로 감시하므로 정상적인 세션은 패킷을 더 이상 감시할 필요가 없어 고속으로 처리할 수 있음
• 보안성이 우수하며, 새로운 서비스를 추가하기 용이함
• 높은 보안성을 유지하기 위한 비용이 많이 들고, 구축이 복잡하여 관리가 어려움