[네트워크 보안] 보안 장비

TCP Wrapper

• 방화벽이 없을 시기 개별 네트워크 서비스에 대한 접근 제어를 위해 등장
• 과거에는 SSH, Telnet, FTP 같은 서비스가 보안성 없이 등장했기 때문에 /etc/hosts.allow, /etc/hoets.deny 파일을 사용하여 특정 IP만 접속을 허용/차단하였다.

F/W

• 1세대 방화벽: 패킷 필터 방화벽
  • 패킷 전송 시 이더넷의 SMAC/DMAC, IP의 Source IP/Destination IP, TCP의 Sport/Dport 정보 필터링
• 2세대 방화벽: 세션 단위의 검사가 가능한 방화벽(Stateful Inspection F/W)
  • ex) 구글은 나에게 패킷을 보내는 것을 차단, 나는 보낼 수 있음.
  • 효능이 좋아졌다기보다는 매끄러운 연결을 지원한다.

IDS/IPS

• 1세대, 2세대 방화벽은 패킷의 4계층까지만 필터링 -> 7계층 탐지 불가능(웹 해킹 취약)
• 3세대 방화벽은 7계층에 전송되는 비정형 데이터를 정규 표현식을 통해 탐지 및 차단 가능
• 정규표현식을 사용하면 원하지 않는 데이터도 가져오게 됨 -> 오탐과 미탐 발생

스노트

코드레드, 웜

 

WAF

• IDS/IPS의 웹 어플리케이션 공격을 완벽하게 탐지하지 못하는 한계를 보완
• SQL Injection, XSS, CFRF와 같은 웹 기반 공격이 증가하여 웹 보안에 특화된 솔루션이 필요함에 따라 WAF를 사용한다.

 

UTM(Unified Threat Management)

• 네트워크 환경 안에서 하나의 장비에 여러 보안 기능을 통합하여 관리 -> 관리 및 모니터링에 용이

 

SIEM(Security Information and Event Management)

• IT 환경 내에서 발생하는 모든 보안 이벤트 및 로그 데이터를 수집, 분석, 상관관계 분석을 통해 위협을 탐지하고 대응하는 시스템
• 방화벽, WAF, 웹 서버, 애플리케이션 등 다양한 자원에서 발생하는 보안 로그를 수집하여 중앙에서 관리하고, 실시간 위협을 감지한다.

-> 개인정보 통제가 필요하기 때문에 에이전트 설치가 필수적이다.

 

NAC(Network Access Control)

• 네트워크에 접속하는 장치에 대한 접속 가능 여부를 확인하여 인가된 장치만이 접속할 수 있도록 제한하는 기능
• 네트워크 가시성과 액세스 관리를 지원한다.

 

DLP(Data Loss Prevention)

• 금융권이나 개발 시 내부 데이터를 보호하고 비인가된 데이터 유출을 방지
• 회사마다 방침이 다르다. (회사만의 필수적인 솔루션이나...)

 

EDR(Endpoint Detcion and Response)

 

출현 배경: APT 공격, 세상에 알려지지 않은 제로데이 공격을 당했을 시 당하고만 있을 건가?

• 엔드포인트(PC, 서버, 모바일기기)에서 발생하는 보안 이벤트를 실시간으로 모니터링하고, 위협을 탐지하는 보안 솔루션
• 엔드포인트 기기의 데이터 수집, 실시간 분석 및 위협 탐지, 자동화된 위현 대응 등 사용자 단에서 사용하는 기기의 보안성을 향상시킨다.
• 기존 보안 장비는 엔드포인트 앞단에서 공격을 차단했다면, EDR은 사용자 단에서 차단한다.

 

SOAR

• 보안 운영을 자동화하고 다양한 보안 시스템을 연계할 수 있다.

1. Security Orchestration (보안 오케스트레이션)

• 보안 솔루션(FW, SIEM, NAC 등)을 연동할 수 있다.

2. Security Automation (보안 자동화)

• 반복적인 보안 분석 및 대응 작업 자동화(대용량의 로그 자동 확인)

3. Security Response (보안 대응)

• 보안 위협이 탐지되면서 즉시 대응하는 프로세스 실행