보안 위협 탐지 -1일차

* 보안 위협 탐지 (5월 12일~17일, 4일간)
- 보안 솔루션 (방화벽, IDS, IPS 등)
- 취약점 분석

* OSI 모델 vs. TCP/IP 어느것이 먼저 나왔을까요?
- TCP/IP 로버트 칸, 빈트 서프 (1974년)  :  4계층(5계층) (Network, Transport 계층 만듬)
- OSI 모델은 1986년  : 7계층 
- PDNTSPA 
- Physical, Data Link, Network, Transport, Session, Presentation, Application

* 보호(Protection) : 내부의 정보가 외부로 나가는 것을 막는 것
  보안(Security) : 외부에서 내부로 들어오는 것을 막는 것

 ex) 김영혜 이력서.pdf                                                                                                                             .exe
    (수많은 공백 뒤에 진짜 확장자가 보임)

    ( %PDF로 시작해야 진짜 PDF임 MZ로 시작하면 아님)

* 용어 정리
- 침입 차단 시스템(Intrusion Blocking System) : 인터넷 방화벽
- 침입 탐지 시스템(Intrusion Detection System) : IDS
- 침입 방지 시스템(Intrusion Prevention System) : IPS (IPS = IDS + FW + 기타기능)
- 통합 위협 관리 (Unified Threat Management) : UTM (IPS + Virus 탐지)
- 각 회사마다 약간씩 이름을 다르게 부름 (차별화를 위한 마케팅 방식)

* Router
- 서로 다른 네트워크를 연결하는 장치
    ex) 이더넷과 Wi-Fi (공유기도 라우터의 일종),  이더넷과 PPP를 연결, 이더넷과 HDLC연결 등등
- LAN과 WAN을 연결 
    LAN의 종류 : Ethernet(Xerox), Token Ring, FDDI, Wi-Fi
    WAN의 종류 : PPP, HDLC, ATM, X.25 등등
- IP주소 대역이 다른 네트워크를 연결(L3)  ----> Routing Table에서 관리

* Router에 ACL(Access Control List)를 설치하면 Screen Router라고 함
- ACL(액클, 접근통제목록) : 패킷이 지나가는 것을 허용 또는 거부(Permit or Deny)
- ACL에는 허용할 IP주소, 거부할 IP주소 등이 적혀 있음 (살생부)

* Bastion
- 성벽 중간에 크고 높고 앞으로 돌출되어 있는 시설 ---> 성벽을 공략하기 전에 먼저 Bastion을 무력화 시켜야 함
    (수원화성의 공심돈 空心墩, 
- 네트워크에서 모든 트래픽이 지나가도록 설정되어 있는 시스템

* 방화벽의 구분
1세대 : Packet Filtering
- IP헤더(IP주소), TCP/UDP헤더(Port번호)를 보고 허용 또는 거부할지를 결정하는 것
- 장점 : 헤더만 보기 때문에 속도가 매우 빠름, ACL를 기준으로 보안 정책 적용 가능
- 단점 : IP Spoofing(출발지주소를 속임)에 취약, DoS/DDoS공격에 취약  

2세대 : Application Level (Proxy) Firewall
- 7계층 헤더를 보고 허용 또는 거부를 결정
- 특정 프로토콜의 동작(Upload는 차단, Download만 허용)을 통제할 수 있음
- 서비스마다 별도의 데몬(Daemon)이 존재  ----> 데몬이 많아지고 설정이 복잡하고, 매우 느림 ----> 잘 안팔림
- 장점 : 세부 설정 가능 (프로토콜마다 따로따로 설정)
- 단점 : 너무 느림       ex) MS-ISA (Proxy Firewall)

cf. Circuit Gateway Firewall
- 하나의 데몬은 모든 서비스를 통제 (허용 또는 거부)
- 덜 복잡, 덜 느림

3세대 : Stateful Packet Inspection (SPI) : 상태기반 방화벽
- State Table(상태 테이블)에 트래픽의 정보를 저장하고 관리하는 방식 : 출IP,목IP,출Port,목Port,프로토콜,방향 등등
- 3계층과 4계층을 위주로 트래픽 상황을 보고 판단하기 때문에 안전하면서도 매우 빠름 (잘 팔림)    ----> Check Point (오랜기간1위)
  (HW는 Nokia에서 만들고, SW는 CheckPoint를 사용해서 Appliance형태로 판매)
- 내부망에서 요청한 트래픽을 기록하기 때문에 외부에서 들어오는 응답 트래픽은 허용 (네트워크의 정황(context)을 고려)
- 외부망에서 들어오려는 트래픽은 거부 
- Stateful : 네트워크의 흐름을 고려해서 처리한다는 의미

4세대 : Dynamic Packet Filter
- 능동적으로 차단하는 기능이 있는 방화벽
- 요청 개수가 임계값을 초과하는 경우 ----> 공격으로 간주 ----> 스스로 차단 

5세대 : Kernel Proxy, Secure OS 개념 도입
------> 전문가 필요 (비용 발생)

최근에는 HW일체형 방화벽 (설정이 다 되어 있음) -----> 선을 연결하기만 하면 됨

* 방화벽 배치 방법
1) Screened Host
- 모든 트래픽은 Bastion Host(Proxy Server)를 들렀다가 가야 함
- 웹 브라우저에서 Proxy 주소를 Bastion Host로 설정하면 됨 (안하면 인터넷 연결이 안됨)
- 외부에서는 Bastion Host외에는 보이지 않기 때문에 가려진 호스트(Screened Host)라고 함
- 최근에는 잘 안쓰임

2) Dual Homed
- 외부망을 연결하는 포트와 내부망을 연결하는 포트가 따로 분리되어 있음 (물리적인 분리)
- 트래픽을 내부망과 외부망으로 서로 다른 네트워크로 구성할 수 있음 (내부망은 사설IP, 외부망은 공인IP ----> NAT설정)
- 방화벽에 문제가 생기면 네트워크가 분리된 상태가 되므로 상당히 안전함

3) Screened Subnet
- 외부망(인터넷)과 내부망 사이에 DMZ구간을 두어서 네트워크를 완전히 분리하는 방식
- 외부망에서는 DMZ까지만 접근이 가능하고 내부망은 접근할 수 없도록 설정
- 내부망은 DMZ까지만 접근이 가능하고 외부망으로는 나갈수 없음       ex) 은행
- DMZ에는 외부에서 접근이 많은 뱅킹 서버, 웹서버, 메일서버, DNS서버 등을 배치
- DB서버는 내부망에 배치 ----> 뱅킹 서버에서는 DB서버에 접근이 가능하지만 외부망에서는 DB서버에 접근이 불가능 (은행 네트워크)

다른 VM들은 다 끄고 Windows7을 켭니다.
(PW : 윈도12#$ )

* 강사용PC 공유
http://10.42.3.209/   > intel > checkpoint.iso 파일을 다운로드
압축 풀기 프로그램 (ahnlab.com > 다운로드 > V3zip 무료 다운로드)
checkpoint.iso 파일에 오른쪽 마우스 클릭해서 압축 풀기
setup.exe 파일을 클릭
Next 클릭
Smart Console만 체크 (나머지는 해제)
이후로는 계속 Next 클릭
---> 바탕화면에 아이콘 세개 생김

* 용어 설명
- Module : 방화벽 본체 
- Smart Console : 방화벽을 관리하는 컴퓨터

* 방화벽 규칙 작성 방법 (Rule Set)
- 맨 마지막 줄에는 모두 거부를 배치 (Deny All Philosophy : 모두 거부 원칙)
- 최소한 하나의 허용이 있어야 함
- 큰 조건은 아래로 배치, 작은 조건은 위에 배치 ----> 위에서부터 내려가면서 적용되기 때문에 큰 조건이 위에 있으면 아래는 무력화됨
- 자주 참조될수록 위쪽에 배치 (효율성 측면)

* 방화벽 적용 방법
- 위에서 내려가면서 적용 
- 해당 규칙을 찾으면 그 조건을 적용
- 해당 규칙을 찾지 못하면 맨 마지막 줄의 모두 거부에 해당 ----> 버려짐

 

방화벽은 체크포인트를 바탕으로 만드는것이 많아 체크포인트로 실습함

1. 나만 방화벽에 접근가능

2. 그 외에는 접근 불가능