[개념정리] 네트워크 보안솔루션

이번 글에서는 네트워크 보안 솔루션에 대해 알아보겠다.

네트워크 보안솔루션 종류 (출처: KISA)

위 사진은 KISA에서 정리한 네트워크 보안 솔루션 종류이다

이번 글에서 웹방화벽, 방화벽, IPS, DDoS 차단 시스템, VPN, NAC에 대해 정리했다.

 

🔷 방화벽(Firewall)

Firewall 강의 내용 캡쳐

• 서로 다른 보안 레벨의 네트워크 경로 사이에 위치하여 접근 통제를 하는 역할 ∴ 방화벽엔 규칙이 있음
• 지나 다니는 트래픽을 보고 통과시킬지 말지를 결정한다 ∴방화벽에 트래픽이 집중됨
• 보통 OSI 3~4계층 패킷을 보는데 요즘엔 패킷 이상의 레벨을 보기도 한다.
• 유형: Proxy(진정한 의미의 방화벽이라고 했음), Packet Filtering, Stateful Inspection (상태 정보를 보고 패킷을 통과시킨다)
• Proxy: Gateway 역할을 함. 지원하는 프로토콜이 최신화가 안 돼서 오래 유지되지 못했음
• Packet Filterting
• 보안 기능 외 네트워크 장비로서의 기능과 관리를 한다. 정책관리도 한다
• 역할: 이중화 방식, 세션 테이블 관리(TCP, UDP, Timeout), 로깅관제
• 하나가 장애가 잃어나면 손실이 크기 때문에 이중화 구성을 반드시 필요로 한다.

방화벽 이중화는 HA를 실현한다

 

🔷 상태 저장 방화벽(Statefull Firewall)

말 그대로 방화벽에 상태 정보를 저장한다

Stateful Firewall

inbound 규칙

• 10.0.0.1/80의 패킷은 통과
• 10.0.0.2/80의 패킷은 거부(White List, deafult: all deny)

outbound 규칙

outbound 규칙은 없는데 어떻게 10.0.0.1/80에게 응답을 전송할 수 있었을까? 

다음과 같은 단계를 거쳐서 전송할 수 있게 된다

• 10.0.0.2/80의 패킷이 inbound로 방화벽을 통과할 때, 세션이 저장된다
• 세션 정보에는 dst IP, src IP, 포트 정보 등이 포함되어 세션 테이블에 저장된다
• 서버로부터의 데이터가 방화벽으로 들어오면 세션 테이블에서 일치하는 정보를 검색한다
• 해당 정보가 존재하면 확인 후 클라이언트로 전송한다

outbound 규칙과 상관없이 항상 세션 테이블을 확인하기에, 보안성이 우수하다.

하지만 느리다는 단점이 있다

 

🔷 VPN(Virtual Private Network) 유형 어렵다..

VPN

• 네트워크에서 virtual이란 logical이다
• private network == LAN 선
• 둘 이상의 네트워크를 안전하게 연결시키기 위해, 가상의 터널을 만들어 논리적인 전용망을 만드는 것.
• 고가의 전용선이 아닌 기존 인터넷 회선을 이용하여 전용선의 통신 보안을 강화할 수 있는 솔루션
• CPE(장비) 기반 VPN ???
• SP 기반 VPN ???

 

🔷 웹방화벽(WAF)

WAF

• Web Application Firewall
• 웹앱을 대상으로 한 공격을 탐지하고 차단한다
• HTTP/HTTPS 요청을 통해 들어오는 SQL Injection, XSS, 파일 포함 공격등을 차단한다 => OSI 7계층에서 동작한다
• ≠ 네트워크 방화벽(패킷을 검사하며, 패킷이 돌아다니는 3~4 계층에서 동작함) 

 

🔷 IPS (Intrusion Prevention System)

IPS

• 네트워크 패킷을 분석하여 공격 시그니처를 탐지하고 비정상적인 트래픽을 중단시키는 보안 솔루션
• 공격 시그니처는 DB에 저장되어 있기에, 업데이트 되지 않거나 분석되지 않은 공격은 시그니처는 IPS를 피할 수 있다
• 수동적인 방어 개념에 초점을 둔 IDS와 방화벽과 달리, 침입 경고 이전에 공격을 중단시키는데 초점을 둠
• IDS와 동일하게 위협을 탐지하고 보고하는 기능이 있기 때문에 IDPS라고도 부른다
• 시그니처 기반 탐지 외 IPS의 위협 탐지 방법
  이상 징후 기반: AI를 사용하지만 오탐할 가능성도 있음 정책 기반: 보안팀에서 만든 정책을 기반으로
• 모든 트래픽을 검사하고 선조치하기에 네트워크 과부하가 걸릴 수 있다
• IPS 위치: 일반적으로 방화벽 뒤, 내부 네트워크 앞에 구성한다
• IPS가 탐지하는 시그니처: 네트워크 스캐닝, DDoS/DoS, 버퍼 오버플로우, SQL Injection, XSS, CVE 악성코드, Telnet 로그인 시도, 리버스 쉘 실행 패턴 등등

SQL Injection

' OR '1'='1'; --
UNION SELECT ...

 

XSS 시그니처

<script>alert('XSS')</script>

 

 

🔷 DDoS 차단 시스템

• Distribution Denial of System
• 대량의 트래픽을 전송해 시스템의 가용성을 해치는 DDoS 공격 전용을 차단한다
• 대량으로 유입된느 트래픽을 신속하게 분석해 유해트래픽 여부를 판단하고 필터링한다
• 네트워크의 가용성과 안정성을 높여주며, 서비스의 연속성을 보장하는 역할을 한다

 

🔷 네트워크 접근제어(NAC)

• Network Access Control
• 네트워크에 접속하는 접속단말의 위협 경로 미리 차단
• 접근 제어/ 인정 기능은 MAC 주소를 기반으로 수행된다
• 동작 원리
  네트워크에 접속하려는 사용자는 MAC 주소를 관리자에게 알려줘야 한다
  관리자가 해당 MAC 주소를 NAC에 등록하면 사용자는 해당 네트워크를 사용할 수 있는 권한을 가진다
  NAC는 등록된 MAC 주소만 네트워크에 접속할 수 있게 허용해주므로
  라우터로 구분된 서브 네트워크마다 에이전트 시스템이 설치되어 있어야 한다

NAC 동작 절차

• 기능
  역할 기반의 접근 제어, IP 기반의 접근 제어
  PC 및 네트워크 장치의 백신/패치/자산 관리
  해킹, 웜, 유해 트래픽 탐지 및 차단

 

🔷 <참고> 인터넷, 인트라넷, 엑스트라넷

인터넷 Internet

• Inter(연결), International(국제적인)
• 여러 개의 네트워크를 연결
• 하나의 프로토콜만 사용한다(TCP/IP) 한국에서는 한국어, 미국에서는 영어지만 인터넷에서는 하나의 프로토콜 사용

인트라넷 Intranet

• Intra(내부)
• 내부의 네트워크
• 회사나 특정 단체들만 사용하는 네트워크
• 회사 업무 보고, 휴가 신청, 연락처, 메신저 등 인가된 사용자만 접근이 가능하다
• 인터넷을 통해 인트라넷에 접속해 회사의 업무를 처리할 수 있다

엑스트라넷 Extranet

• 인트라넷에서 범위를 확장시킨 것
• 인트라넷은 회사 직원들만 접근할 수 있다면, 엑스트라넷은 회사 직원은 물론 협력회사나 고객까지 접근할 수 있다
• ex) 넷플릭스 등의 결제 후 접속 가능한 페이지

 

🔷 <참고> 패킷

• 데이터를 전송하는 기본 단위
• dest, src, 포트번호, 전송 제어 정, 오류 검출을 위한 체크섬 등이 포함됨

 

🔷<참고> MAC 주소와 IP 주소의 연결고리 ARP

ARP란?

Address Resolution Protocol
IP주소와 매칭되는 MAC 주소를 찾는 프로토콜

A는 B에게 데이터를 전송하려하는데, ARP 테이블에 B의 MAC 주소가 없다

1. A는 B의 IP주소를 알고 있음
2. A는 MAC 주소를 알고있는 2계층 스위치에게 FF:FF:FF:FF:FF:FF 로 ARP 패킷 브로드캐스팅
3. B의 IP를 가진 컴퓨터가 자신의 MAC주소와 함께 응답을 전송함(요청자에게 보내는 유니캐스트로)
   패킷을 받은 나머지 PC들은 자신의 IP주소가 아니라면 패킷 삭제
4. A는 일정 시간 MAC주소를 ARP 테이블에 저장해놓는다

 

🔷<참고> IPv4와 IPv6

IPv4

32비트로 구성되어 2^32자리수까지 표현이 가능하다 4와 32 숫자 간의 연관은 없음. 그냥 프로토콜 버젼이라고 함

보통 상용화되어 쓰이고 있다
3자리 숫자가 4마디로 표시되고 각 마디는 옥탯이라 불린다.
한 옥탯 당 가지는 범위가 8 bit이므로 256자리까지 나타낼 수 있다.

 

✅ IPv4 클래스

Class	첫번째 옥텟	첫번째 옥텟의 값의 범위(10진수)	이론적 IP주소 범위
A class	0xxx xxxx	0 ~ 127	0.0.0.0 ~ 127.255.255.255
B class	10xx xxxx	128 ~ 191	128.0.0.0 ~ 191.255.255.255
C class	110x xxxx	192 ~ 223	192.0.0.0 ~ 223.255.255.255
D class	1110 xxxx	224 ~ 239	224.0.0.0 ~ 239.255.255.255
E class	1111 xxxx	240 ~ 255	240.0.0.0 ~ 255.255.255.255

 

IP Class의 경우 A, B, C, D, E Class로 나누어 Network ID와 Host ID를 구분하게 된다.

 

A Class의 경우 처음 8bit(1byte)가 Network ID이며, 나머지 24bit(3byte)가 Host ID로 사용된다. 

비트가 0으로 시작하기에 네트워크 할당은 0~127이다 . 즉, 128 곳에 가능하며, 최대 호스트 수는 16,777,214개이다. 

 

B Class의 경우 처음 16bit(2byte)가 Network ID이며, 나머지 16bit(2byte)가 Host ID로 사용된다. 

비트가 10으로 시작하기에 네트워크 할당은 16,384 곳에 가능하며, 최대 호스트 수는 65,534개이다.

 

C Class의 경우 처음 24bit(3byte)가 Network ID이며, 나머지 8bit(1byte)가 Host ID로 사용된다. 

비트가 110으로 시작하기에 네트워크 할당은 2,097,152 곳에 가능하며, 최대 호스트 수는 254개이다.

 

IPv6
43억개의 주소밖에 사용하지 못하는 IPv4를 보완하기 위해 나온 프로토콜

128비트로 구성되어  2^128자리수까지 표현 가능

 

🔷<참고>  IPv4 사설망과 NAT

사설 IP:
IPv4 주소 체계에 포함되지만,
전용 용도로, 인터넷에서 직접 사용이 불가능하다

내부망에서만 사용된다

 

사설 IP 대역:

사설 IP 대역	크기 (주소 수)	예시
10.0.0.0/8	약 1,670만 개	10.0.0.1
172.16.0.0/12	약 104만 개	172.16.0.1, 172.31.255.254
192.168.0.0/16	약 6만 5천 개	192.168.0.1, 192.168.1.1

 

 

NAT:

NAT 동작 상황

 

Network Address Translation

인터넷에서 직접 통신이 불가능한 사설 IP 주소를 공인 IP로 변환한다

주로 공유기에서 수행된다

공인 IP 주소를 절약하고, 내부망의 구조를 숨길 수 있다