iptables 실습
가) 개요
1) NEW 이면서 SYN 플래그를 설정하지 않는 패킷은 차단DROP 한다
2) NEW 라면 반드시 SYN 플래그가 설정된 패킷이어야 한다
나) 룰 작성 (해석 가능할 수 있어야 함)
| 1) iptables -A INPUT -m state ESTABLISHED,RELATED -j ACCEPT 2) iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "[forged syn packet]" 3) iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP |
1) 이미 연결되었거나 연관된 패킷은 허용
2) 로그를 찍기 위한 룰
3) tcp 프로토콜의 SYN 플래그가 없고 NEW 상태일 경우 차단
(실습 명령어
hping3 192.168.0.0 -p 80 -A --fast (ACK만 설정하고 SYN 패킷 설정안한상태)
이후 대상 서버에서 /var/log/messages 확인 )
ftp active 모드의 패킷 허용
| 1) iptables -A INPUT -p tcp -m state --state ESTABLISHED -j LOG --log-prefix "[ESTABLISHED]" 2) iptables -A INPUT -p tcp -m state --state RELATED -j LOG --log-prefix "[RELATED]" 3) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 4) iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT 5) iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT |
1), 2) 로그 남기는 용도
3) 연결된/연관된 인바운드 패킷 허용
4) 최초 new로 21 port 제어채널이 연결될 때 허용 (이후 3번 룰로 허용됨)
5) 연결된/연관된 아웃바운드 패킷 허용
( 짤막복습
active 모드 : 클라(1024↑)->서버(21), 서버(20)->클라(1024↑)
passive 모드 : 클라(1024↑)->서버(21), 클라(1024↑)->서버(1024↑) )
iptables 확장 모듈
connlimit 모듈
- 동일한 ip 또는 대역의 동시 연결 개수에 대한 제한
- 디도스 공격에 효과적으로 대응
주요 옵션
--connlimit-above n : 동시연결 n개까지만
--connlimit-mask mask : 0~32범위 마스크 사용. 대역에 대한 동시 연결 설정.
| iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j LOG --log-prefix "[CONNLIMIT]" iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT |
=> 동일 ip의 동시연결 5개 초과시 로그를 남기고 차단한다
=> 5개 이하일 경우의 new 상태는 허용
실습) TCP SYN Flooding 공격에 대한 대응
| iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j LOG --log-prefix "[CONNLIMIT]" iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT |
=> 24bit 마스크 대역에 대해서 동시연결 10개를 초과하면 차단한다
(iptables룰에 --syn과 --connlimitmask, --connlimit-above가 나오면 TCP SYN Flooding 의심)
(24bit 마스크 대역
10.10.10. 로 시작하는 대역을 의미함
8비트.8비트.8비트.8비트 에서 앞의 3개의 비트 = 24bit)
( 테스트 명령어 : hping3 192.168.0.0 -p 80 -S --fast )
limit 모듈
- 룰에 매치되는 비율을 제한할 수 있는 기능 (초당/분당/시간당/하루당 제한 가능)
(이와 유사한 것 snort의 threshold)
실습1
| iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -m limit --limit 6/minute -j LOG --log-prefix "[LIMIT]" iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -m -j DROP |
=> tcp 패킷의 모든 플래그를 검사하여, SYN, FIN만 설정되어 있을 경우, 분당 6개까지만 로그를 남기고 차단.
실습2
| iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 1/second -j LOG --log-prefix "[LIMIT]" iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -m -j DROP |
=> tcp 패킷의 SYN,FIN 플래그만 검사하여, SYN, FIN가 설정되어 있을 경우(다른 플래그 있어도 포함), 초당 1개까지만 로그를 남기고 차단.
실습3
| iptables -A INPUT -p tcp --tcp-flags ALL FIN -m limit --limit 1/second -j LOG --log-prefix "[LIMIT]" iptables -A INPUT -p tcp --tcp-flags ALL FIN -m -j DROP |
=> tcp 패킷의 모든 플래그를 검사하여, FIN만 설정되어 있을 경우, 초당 1개까지만 로그를 남기고 차단.
실습4
| iptables -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 1/second -j LOG --log-prefix "[LIMIT]" iptables -A INPUT -p tcp --tcp-flags ALL NONE -m -j DROP |
=> tcp 패킷의 모든 플래그를 검사하여, 아무 플래그도 설정되지 않은 경우(NULL) 초당 1개까지만 로그를 남기고 차단.
(+ snort의 경우 flags: !UAPRSF 로 설정 했었음)
실습5
| iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 1/second -j LOG --log-prefix "[LIMIT]" iptables -A INPUT -p tcp --tcp-flags ALL ALL -m -j DROP |
=> tcp 패킷의 모든 플래그를 검사하여, 모든 플래그가 설정된 경우 초당 1개까지만 로그를 남기고 차단.
recent 모듈
개요
- 동적으로 source IP 목록을 생성해 이를 기반으로 패킷을 제어
주요옵션 (암기할 필요는 없으나 패킷 해석까지는 가능해야 함)
--name : 목록이름 지정
--set : 새로운 entry 추가
--rcheck : 목록에 패킷의 source ip가 있는지 체크
--update : rcheck처럼 체크한후 lastseen timestamp 갱신
--seconds : --rcheck 또는 --update와 함께 사용. last seend timestampt가 지정한 초 범위내 있는지 체크
--hitcount : --rcheck 또는 --update와 함께 사용. hit count가 지정한 값이상인지 체크. --senocds의 지정한 초 범위 내에 hit count 이상으로 패킷이 발생했는지 체크
실습
SSH Brute Force/Dictionary Attack 차단 룰 설정
| iptables -A INPUT -m state --state NEW -p tcp --dport 22 -m recent --name SSH_DROP --set iptables -A INPUT -m state --state NEW -p tcp --dport 22 -m recent --name SSH_DROP --update --seconds 60 --hitcount 5 -j LOG --log-prefix "[SSH DROP]" iptables -A INPUT -m state --state NEW -p tcp --dport 22 -m recent --name SSH_DROP --update --seconds 60 --hitcount 5 -j DROP |
=> 목록이름은 SSH_DROP. --state NEW 연결요청 패킷이, --secodns 60초 이내에 --hitcount 5번 이상의 패킷이 발생했는지 체크함.
보안장비운영 4 (iptables 끝) END --
보안 솔루션 종류 및 특징
| 네트워크 보안 | 무선침입방지시스템 WIPS |
| 네트워크 접근제어 NAC | |
| 통합보안시스템 UTM | |
| 시스템 보안 | 엔드포인트 탐지 및 대응 솔루션 EDR |
| 스팸차단솔루션 | |
| 보안운영체제 | |
| 컨텐츠/정보유출방지 | 보안 USB |
| 디지털 저작권 관리 DRM | |
| 네트워크/단말 정보유출방지 DLP | |
| 보안관리(관제) | 전사적 보안 관리 시스템 ESM |
| 보안정보 및 이벤트정보 관리 솔루션 SIEM | |
| 보안 오케스트레이션, 자동화 및 대응 시스템 SOAR | |
| 패치 관리 시스템 PMS | |
| 인증 및 암호 솔루션 | 하드웨어 보안 모듈 HSM |
| 싱글 사인온 SSO | |
| 통합 접근 관리 EAM | |
| 통합 계정 관리 IAM |
네트워크 보안
1) 무선침입방지시스템 WIPS (Wireless Intrusion Prevention System) 윕스
- 비인가 무선 단말기의 접속을 탐지 및 차단하고, 보안에 취약한 무선공유기AP를 탐지하는 솔루션
- 비인가 무선AP = rogue AP
(센서장비와 함께 PoE 스위치를 같이 설치함)
(무선환경에서의 차단은 연결을 차단해줄 수 있는 신호를 이용해서 통신을 끊음)
2) 네트워크 접근제어 NAC (Network Access Control) 낙 (기출이력 有)
- 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능 제공
- 네트워크 제어 및 통제 기능을 통해 내부 네트워크가 바이러스나 웜 등의 보안 위협으로부터 안전한 단말기들로 이루어질 수 있도록 강제하는 역할
- ex PacketFence, FreeNAX 등
- 인가된 단말기/사용자인지 인증하는 절차를 거친 뒤 보안 프로그램 설치 및 동작으로 무결설을 검증한 후 접근 허용
3) 통합보안시스템 UTM (Unified Threat Management) (기출이력 有)
- 방화벽Firewall, 침입탐지/방지시스템(IDS/IPS), 가상사설망(VPN), 안티 바이러스 등, 다양한 보안 기능을 하나의 장비로 통합해 제공하는 보안 솔루션
- 단일 장비로 다양한 보안 기능 수행. 단, 장애 발생시 모든 보안기능에 영향을 미친다. (소규모 네트워크 환경에 적절)
(+ ESM : 보안정보, 이벤트를 수집해서 보안위협을 판단해주는 장비)
시스템(단말) 보안 솔루션
1) 엔드포인트 탐지 및 대응 솔루션 EDR (Endpoint Detection and Response) (기출이력 有)
기존 솔루션과의 차이점 비교
| 안티 바이러스 솔루션(백신) | APT 대응 솔루션 | EDR | |
| 판단기준 | 패턴(시그너처) 매칭 | 행위 기반 탐지 | 행위 기반 탐지 |
| 정보 수집위치 | - | 샌드박스(가상머신) 환경 | 엔드포인트(실제환경) |
| 제로데이 공격 대응속도 |
느림 (엔진 업데이트 방식) | 빠름 | 가장 빠름 |
- PC, 모바일, 서버 등 엔드포인트에서 발생하는 악성행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해확산을 막는 솔루션
- 기존 안티 바이러스 제품(백신)은 알려진 패턴(시그너처)을 기반으로 탐지하는 반면, EDR 솔루션은 엔드포인트에서 실행되는 프로세스 기반의 모든 행위를 지속적으로 모니터링하고 이를 기반으로 탐지하므로 알려지지 않은 악성행위에 대해서도 사전 대응할 수 있다
2) 스팸차단솔루션 (Anti-spam solution)
- 스팸 : 본인이 원치 않음에도 불구하고 일방적으로 전송되는 영리목적 광고성 정보
- 메일서버 앞단에 위치하여 proxy프록시 메일 서버로 동작. 스팸 메일 차단 기능뿐 아니라 메일에 대한 바이러스 검사, 내부정보 유출방지 등의 확장 기능을 갖고 있다.
3) 보안운영체제 (Secure OS)
- 보안기능이 통합된 보안 커널을 추가로 인식한 운영체제
- 기본으로 열려있는 취약 서비스를 모두 차단함
(Secure OS 계정이 생성되어 root 계정을 보안 견제하게됨. Secure OS 계정은 계정관리, 서버 방화벽, 사용자/그룹 별 명령어 제어, su 명령어 권한 제어 등 보안을 관리하게 된다 (운영-root, 보안-Secure OS 로 분리 운영))
보안장비운영 5 END --
컨텐츠/정보유출방지 보안 솔루션
1) 보안 USB (Security SUB)
- 정보유출방지 등 보안 기능을 갖춘 USB 메모리
- 사용자 식별/인증, 지정데이터 암호화/복호화, 임의복제 방지, 분실시 데이터 보호를 위한 삭제 등의 기능을 갖춤
2) 디지털 저작권 관리 DRM (Digital Rights Management) (기출이력 有)
- 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고, 이를 의도한 용도로만 사용하도록 제어하는데 사용되는 모든 기술
- 첫 번째 형태 : 디지털 저작물에 대한 보호와 관리를 위해 파일 자체에 암호를 걸어 권한 없는 사용자는 사용하지 못하도록 한다.
- 두 번째 형태 : 문서 DRM. 기업에서 사용하는 문서 보안 솔루션으로 문서를 저장할 때 암호화하여 저장하게 하고 권한 없는 사용자가 읽지 못하게 한다. (권한 관리, 암호화)
3) 네트워크/단말 정보유출방지 DLP (Data Loss/Leekage Prevention)
- 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션
- 유출방지를 위해 정보의 흐름에 대한 모니터링과 실시간 차단 기능을 제공
- 네트워크 DLP는 메일, 메신저, 웹메일, 웹하드, P2P 등 네트워크를 통해 정보가 유출되는 것을 모니터링하고 정책에 따라 통제
- 단말 DLP는 PC 같은 단말기에서 USB 등 이동식 저장 매체와 출력물 등을 통해 유출되는 것을 방지
* 보안관리(관제) 솔루션
1) 보안 관제
개요
- 보호해야 할 정보 자산에 대해 내/외부 위협으로부터 보호하는 역할
- 중앙 관제 센터(보안 관제 센터SOC)에서 실시간으로 감시, 분석, 조치 등을 수행하며 정보수집 > 모니터링 및 분석 > 대응(조치) > 보고 순으로 수행
(ESM, SIEM, SOAR 대표적으로 3가지 솔루션이 있음)
발전방향
1세대 (에스이엠)
- 다양한 보안장비의 탐지 결과에 대한 상호 연관 분석이 어렵고 일관성있는 보안정책을 적용하기 어려웠다
- 전사적 보안관리 시스템 ESM 솔루션(Enterprise Security Management)의 등장.
- 단일 관제 환경(ESM 솔루션)에서 수집, 분석 및 대응해 상호연관분석과 일관성 있는 보안정책의 적용이 가능하도록 해주었음
2세대 (씸)
- ESM의 한계점 : 보안장비 위주의 보안정보만을 수집하고, 단기성 또는 당일 보안 정보만을 처리한다는 한계점.
- 지능화되고 장기간 지속적으로 발생하는 보안 위협 (APT 공격)에 ESM만으로는 부족함
- SIEM (Security Infomation & Event Management) 보안정보 및 이벤트관리 솔루션 등장
- 다양한 원천에서 발생하는 보안이벤트 정보와 로그 등 수집 및 장기간 저장하여 빅데이터 기반의 상관관계 분석을 통해, 지능화되고 지속적인 위협에 대한 탐지 가능
3세대 (쏘아)
- SIEM의 한계점 : 한정된 보안 인력으로 지속적으로 증가하는 보안 위협을 분석하고 대응하기 어려움. 보안전문가(보안관제 담당자)의 업무처리가 필요
- 탐지된 보안 위협에 대해 표준화된 업무 프로세스에 따른 자동화된 분석과 대응이 필요해짐
- SOAR (Security Orchestration, Automation and Response) 보안 오케스트레이션, 자동화 및 대응 시스템 솔루션 등장
- 보안 위협에 대한 자동화된 분석과 대응 환경을 만들어 보안 인력을 효율적으로 운영하면서 표준화된 프로세스를 통해 분석의 정확도를 높이고 대응 시간을 단축시킨다
(키워드 요약
ESM - 보안장비기준 시스템, 단기성
SIEM - 보안정보 및 이벤트 관리, 지능화된 지속적 공격 대응
SOAR - 자동화 및 대응 시스템 )
2) 전사적 보안관리 시스템 ESM (Enterprise Security Management) (기출이력 有)
- 다양한 보안장비에서 발생하는 보안정보를 통합적으로 수집 및 관리하여 불법적 행위에 대응할 수 있도록 하는 통합 보안 관리 시스템
- 침입차단시스템Firewall, 침입탐지/방지시스템(IDS/IPS), 가상사설망(VPN) 등 보안 이벤트를 취합하고 이들간의 상호연관분석을 하면서 실시간 보안위협을 파악하고 대응하는 역할 (상호연관분석Corelation_
- 보안 정책의 일관성
- 구성요소
1. ESM 에이전트 : 보안장비에 설치되어 로그 및 이벤트 데이터를 수집해 ESM 매니저로 전달
2. ESM 매니저(=엔진) : 수집된 데이터를 저장, 분석하여 ESM 콘솔로 전달
3. ESM 콘솔 : 전달된 정보의 시각적 전달, 상황판단 및 리포팅 등 ESM 매니저와 에이전트 제어/통제
3) 보안정보 및 이벤트관리 시스템 SIEM (Security Infomation & Event Management)
- ESM의 진화된 형태. 각종 서버 장비, 네트워크 장비 등 다양한 범위에서 발생하는 로그와 이벤트를 수집해 빅데이터 기반의 상관관계 분석을 통해 위협을 사전에 차단하는 통합 보안 관제 솔루션 (대용량 스토리지, 특화된 검색엔진)
주요기능
- 데이터 통합 : 다양한 보안장비 및 어플리케이션 등에서 발생하는 데이터를 수집하여 통합분석
(로그 수집(설치된 에이전트를 통해 수집), 로그 변환(표준 포맷으로))
- 상관관계 분석 : 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관관계 분석
(로그 분류(유사한 정보 그룹핑하여 취합), 로그 분석(여러 개의 로그 연관성 분석))
- 알림 : 이벤트를 관리자에게 자동으로 알리는 기능
- 대시보드 : 이벤트 데이터를 가지고 패턴을 표시하거나 표준 패턴을 형성하지 않는 활동 파악
4) 보안 오케스트레이션, 자동화 및 대응 시스템 SOAR (Security Orchestration, Automation and Response)
개요
- 지속적으로 증가하는 보안 위협에 효과적으로 대응하기 위해 분석과 대응에 자동화된 프로세스가 필요
- 가트너 : SOA, SIRP, TIP을 폭넓게 포함하는 개념. 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 플랫폼
- 보안 위협에 대한 자동화된 분석과 대응 환경을 만들고, 보안 인력을 효율적으로 운영하며 분석의 정확도를 높이고 대응 시간을 단축시키기 위한 솔루션 (AI, 머신러닝 활용) = 자동화된 통합보안관제 시스템
주요기능
1. SIRP (Security Indicent Reponse Platform) : 보안 사고 대응 플랫폼
- 업무 특성에 맞는 업무 프로세스(워크플로우)를 정의하는 기능
- 보안운영센터(SOC)의 단순하고 반복적인 업무를 자동화하여 업무처리시간 단축
2. SOA (Security Orchestration and Automation) : 보안 오케스트레이션 및 자동화
- 다양한 시스템을 통합하고 자동화하는 기능. SIRP에서 정의한 업무 프로세스의 실행을 지원
3. TIP (Threat Inteligence Platform) : 위협 인텔리전스 플랫폼
- 보안 위협을 판단하기 위해 다양한 내/외부 위협 인텔리전스를 활용
- 보안 분석가의 판단을 보조
위협 인텔리전스(TI: Threat Inteligence) 서비스
개요
- 여러 내외부 조직의 수많은 위협 정보를 수집, 분석, 활용하여 생성해내는 증거 기반 정보
- SIEM, SOAR 등 보안관제 솔루션과 연계해 위협에 대한 분석과 대응을 효과적으로 수행
- 알려지지 않은 위협, 지능형 지속 위협(APT)과 같은 공격에도 효과적으로 대응 가능
- 참고
가트너 정의 : 위협에 대한 맥락, 매커니즘, 지표 등 실행 가능한 조언 등을 포함하는 증거 기반의 지식
아이사이트 파트너스 정의 : 사이버 위협의 공격자와 그 동기, 의도, 방법에 대한 지식
한국 인터넷 진흥원 정의 : 사이버 위협 정보를 체계적으로 수집하고 종합적으로 연관 분석해 자동화한 정보공유를 목적하는 하는 예방 대응 시스템
보안장비운영 6 END --
패치 관리 시스템 PMS (Patch Management System)
- 사용자 PC의 운영체제와 각종 어플리케이션에 대한 패치를 기업 보안 정책에 따라 자동으로 설치, 업그레이드 해주는 솔루션
- 구성요소 : PMS 서버, PMS 에이전트, 관리용 콘솔
(패치 벤더 -> PMS 벤더 -> PMS 서버 -> PMS 에이전트 순으로 패치 전달 적용
PMS 벤더는 공중망을 씀. 과거에는 자동배포가 이루어졌는데, 침해사고 이후로 수동 배포가 가이드라인이 됨)
인증 및 암호 솔루션
1) 하드웨어 보안 모듈 HSM (Hardware Security Module)
- 암호화 키, 디지털 키에 대한 안전한 저장/관리 및 고속의 암호화 처리를 수행할 수 있는 전용의 하드웨어 장비
2) 싱글 사인온 SSO (Single Sign On)
- 한 번의 사용자 인증으로 여러 시스템에 접근할 수 있는 통합인증 솔루션
3) 통합 접근 관리 EAM (Extrancet Access Management)
- 모든 사용자에 대한 통합 인증SSO과 사용자별/그룹별 접근권한 통제를 담당하는 권한관리 솔루션
(싱글 사인온SSO는 통합 접근 관리 EAM에 포함된다. 실무에서 SSO/EAM 서버라고 부르기도.)
(흐름
SSO/EAM 서버 (사용자 인증SSO 서비스, 권한관리 서비스)
=> SSO/EAM Agent는 업무 포탈 사이트를 통해 인증 토큰을 응답받음
=> 업무 포탈 사이트나 업무 시스템은 Agent의 인증 토큰으로 SSO/EAM API를 이용해 검증하고, 권한 목록을 받아 Agent에게 안내(권한에 따른 메뉴 노출 등))
4) 통합 계정 관리 IAM (Identity and Access Management)
- 통합 인증 관리, 계정관리 솔루션
- EAM을 보다 포괄적으로 확장한 보안 솔루션. 조직이 필요한 보안 정책을 수립하고 자동으로 사용자에게 계정을 만들어준다.
- 사용자 위치와 직무에 따른 적절한 계정 및 권한 부여. 사용자 정보의 변경과 삭제도 실시간 반영 가능
(= 전사적으로 계정관리를 자동화해주는 솔루션)
네트워크 보안장비 운영
1) 물리적 네트워크 보안장비 구성
[인터넷]
|
[라우터]
(ACL 적용하여 패킷 필터링)
|
[Anti-DDoS]
(DDoS 공격은 연관된 모든 장비가 영향을 받으므로
가상 상단에 위치한 보안장비)
[FireWall (1차)]
(패킷필터링 등)
|
[SSL-VA 또는 L7 Switch]
|
[TAP]
(패킷을 복제해서
DMZ구간의 미러링 모드 보안장비들(IDS, Anti-APT 등)에 전달)
|
[IPS(1차)]
(침입방지(차단) 시스템)
|
[WAF]
(웹 방화벽)
|
[서버 팜 Server Parm]
(웹서버, DNS 서버, 메일 서버 등등...)
L7 Switch : 어플리케이션 수준에서 패킷을 스위칭해줌. SSL Offload 기능도 있음
SSL-VA (SSL-Visibility Appliance) : HTTPS 통신시 종단간 트래픽 가시성을 확보할 수 없음(암호화된 트래픽이라서)
때문에, SSL-VA 장비로 Proxy 서버 역할을 하여 SSL 트래픽을 암복호화한 뒤 타 보안장비가 탐지 및 차단
SSL 오프로드offload 기능 : SSL 서버를 대신해 SSL 트래픽을 암복호화 하는 기능
네트워크 보안장비 설치 모드
1. 인라인 모드 : 회선에 직접 물려서, 원본 패킷을 처리하는 경우. (패킷 직접 차단가능, 단 장비에 에러가 발생하면 전체 네트워크에 영향을 줄 수 있다)
2. 미러링 모드 : 복제된 패킷을 통해 처리하는 경우 (=out of path) (직접적인 차단 불가능, RST 플래그를 통해 연결을 끊도록 신호를 보낸다)
Q. IDS와 IPS의 설치 모드는 각각 어떤 것이 적합하고 그 이유는 무엇인가?
A. IPS는 탐지뿐 아니라 차단까지 해줄 수 있는 장비이므로 인라인 모드가 적합하고
IDS는 탐지목적의 장비이므로 복제된 트래픽을 받아 처리하는 미러링 모드가 적합하다
접근통제 관점
가. 인터넷 구간 : 인터넷에서 직접적으로 접근 가능한 구간 (1차 Firewall까지. 1차 Firewall은 서로 다른 보안 레벨이 적용되는 경계에 있다)
나. DMZ 구간 : 인터넷 구간과 내부망 사이 중간지점으로, 인터넷/내부망으로의 접근을 허용/차단하는 구간
다. 내부망 구간 : 인터넷으로부터 완전히 분리된 망 또는 접근통제시스템을 통해 접근통제를 수행하여 DMZ 서버들만 접근 가능한 구간 (인터넷의 직접 접근을 차단)
보안장비운영 7 END --
'(실기) 정보보안기사&산업기사' 카테고리의 다른 글
| 침해사고 유형별 시나리오 2~5 (0) | 2024.04.09 |
|---|---|
| 보안장비운영 8,9 시스템 점검도구 1,2 침해사고 유형별 시나리오 1 (0) | 2024.04.08 |
| 클라우드 컴퓨팅 보안 1, 보안장비운영 1~3 (0) | 2024.04.05 |
| 이메일 보안 3, 데이터베이스 보안 1,2,3 (0) | 2024.04.03 |
| 웹 서버 취약점 4~6, 이메일 보안1,2 (0) | 2024.04.02 |
