컴퓨터 네트워크 - Network Security: Firewall, IDS/IPS

2 분 소요

K-MOOC에서 부산대학교 유영환 교수님의 “컴퓨터 네트워킹” 강의를 수강하며 적은 노트

Firewall and IDS:IPS

firewall(방화벽): 외부에서 불법적으로 침입하는 패킷들을 막는 것

IDS/IPS(Intrusion Detection System/Intrusion Protection System)

firewall 종류

stateless packet filter: 중간 라우터가 firewall 역할을 해서 패킷 단위로 드롭 결정

ex)

action	src addr	dest addr	protocol	src port	dst port	flag bit
allow	222.22/16	outside of 222.22/16	TCP	> 1023	80	any
allow	outside of 222.22/16	222.22/16	TCP	80	> 1023	ACK
allow	222.22/16	outside of 222.22/16	UDP	> 1023	53	-
allow	outside of 222.22/16	222.22/16	UDP	53	> 1023	-

자기 내부에서 발생하는 패킷이고 웹 서버로 가는 것은 다 허용
외부의 웹 서버에서 들어온 패킷이고 목적지는 자신 내부
- ACK가 1인 경우만 받음: 3-way handshake 방식으로 가장 처음 TCP 연결은 ACK 비트가 0임, 즉 외부에서 오는 TCP 연결은 받지 않음, 내부 네트워크에서 보낸 리퀘스트에 대한 응답만 받겠다는 뜻
포트 번호 53: DNS 관련
- 내부 네트워크에서 전송하는 웹 리퀘스트와 그 응답만 통과

denial of service: 공격자가 패킷을 임의로 만들어 보냄
- ex) TCP 연결을 위해선 처음 ACK가 0인 패킷이 먼저 오고, 왔다 갔다 하면서 1로 바뀌지만 실제 TCP 연결이 없었음에도 ACK를 1로 설정한 패킷을 보냄

stateful packet filter: 헤더 정보만 보지 않고, 실제와 같은 지 평가
- 커넥션 테이블: 내부 호스트들이 외부 호스트들과 유지하는 커넥션들을 기록
- 커넥션 테이블을 확인하여 없는 커넥션에서 패킷이 오면 드롭
application gateway: 특정한 응용 서비스를 특정 사용자들에게만 허용할 경우 사용
- 텔넷 게이트웨이를 통과하지 않은 텔넷 커넥션 요청은 다 드롭

IDS/IPS

방화벽의 문제점
- 공격자가 IP 주소나 포트 번호를 바꾸는 것에 대응 힘듦
- 여러 세션들 간의 관계 모름
- 특정 공격이 어떤 순서로 패킷을 보내는 지 파악 못함
IDS/IPS는 한 네트워크 내에서도 여러 곳에 설치
- DMZ zone(demilitarized zone): 웹 서버, FTP 서버, DNS 서버는 외부 사용자에게 서비스해야 하므로 네트워크 보안을 약간 약화시킴
- 중요한 정보를 담아 외부 접근을 차단해야 할 경우 IDS 설치
- IDS는 프로세싱 하는 오버헤드가 크므로, 여러 곳에 설치해 분산
cryptro jacking: 타인의 디바이스에 프로그램을 심어 컴퓨티 파워를 훔쳐 암호 화폐 채굴 등에 사용

종류

signature-based: 다양한 네트워크 어택에 대한 정보를 다 저장
- 정확도 높음
- 데이터베이스화 되어 있지 않은 공격은 찾을 수 없음
anomaly-based: 평소의 동작 중에 스스로 트래픽을 관찰하여 액티비티 프로파일 생성
- 일반적인 트래픽과 이상한 트래픽을 구별하는 것이 어렵기 때문에 머신 러닝, 딥 러닝 기술 연구 중