[Network] 9회차 스터디 - 보안

[Network] 9회차 스터디
『IT 엔지니어를 위한 네트워크 입문』 책을 읽고 정리하는 스터디입니다.
이번 주는 9장을 읽어온 후 스터디를 진행했습니다.
학기를 맞이하여 멤버를 새롭게 구성하고 진행한 첫 스터디입니다.
일시 : 2023년 3월 21일(월) 비대면 진행
스터디장 : 우다현(C)
작성자 : 참여자 모두
참여자 : 우다현(C), 김수민(M), 김민석(M), 이채민(M), 문다현(M)

1. 우다현

새롭게 알게 된 점

• 정보 보안의 정의
  • 3대 보안 정의
    • 기밀성(Confidentiality)
      • 인가되지 않은 사용자가 정보를 보지 못하게 하는 모든 작업
    • 무결성(Integrity)
      • 정확하고 완전한 정보 유지
    • 가용성(Availability)
      • 접근 허락
• 네트워크 보안의 주요 개념
  • 네트워크 보안의 목표는 외부 네트워크로부터 내부 네트워크를 보호하는 것이다.
  • 이때 외부로부터 보호받아야 할 네트워크를 Trust 네트워크, 신뢰할 수 없는 외부 네트워크를 Untrust 네트워크로 구분한다.
  • 한 단계 나아가 우리가 운영하는 내부 네트워크이지만 신뢰할 수 없는 외부 사용자에게 개방해야 하는 서비스 네트워크인 경우 DMZ(DeMilitarized Zone) 네트워크라고 부르며, 일반적으로 인터넷에 공개되는 서비스를 이 네트워크에 배치한다.
• 네트워크 보안 분야는 트래픽의 방향과 용도에 따라 두 가지로 나눌 수 있다.
  • Internet Secure Gateway
    • Trust(또는 DMZ) 네트워크에서 Untrust 네트워크로의 통신을 통제
    • 인터넷으로 나갈 때 인터넷 수많은 서비스의 정보와 요청 패킷을 적절히 인식하고 필터링하는 기능이 필요
    • 내부 사용자가 인터넷으로 통신할 때 보안을 제공, 통제하기 위해 사용
    • 서비스/장비 : SWG(Secure Web Gateway), Web Filter, Application Control, Sandbox …
  • Data Center Secure Gateway
    • Untrust 네트워크에서 Trust(또는 DMZ)로의 통신을 통제
    • 장비 : IPS, DCSG(DataCenter Secure Gateway), WAF(Web Application Firewall), Anti-DDoS(Distribute Denial of Service)
• 네트워크 보안 정책 수립에 따른 분류
  • 화이트리스트
    • 방어에 문제가 없다고 명확히 판단되는 통신만 허용
  • 블랙리스트
    • 공격이라고 명확히 판단되거나 문제가 있었던 IP 리스트나 패킷 리스트를 기반으로 데이터베이스를 만들고 그 정보를 이용해 방어하는 형태
    • 각종 패턴으로 공격을 방어하는 네트워크 장비(IPS, 안티바이러스, WAF)들은 일반적으로 블랙리스트 기반의 방어 기법 제공
    • 공격 방법 적은 데이터베이스 : 공격 패턴(Signature)
• 보안 솔루션의 종류
  • 모든 공격을 장비 한 대로 방어할 수 없으므로 여러 장비의 기능으로 단계적으로 방어한다.
  • 네트워크 전체 구성도(네트워크 보안 솔루션 위치) (데이터 센터)
    • DDoS 방어 장비(프로파일링) - 방화벽(포트 제어) - IPS(시그니처) - 웹방화벽(WAF)(시그니처) - 서버
• DDoS
  • DDoS 장비는 데이터 센터 네트워크 내부와 외부의 경계에서 공격을 방어하는데 이것은 볼류메트릭 공격(Volumetric Attack)을 우선 막기 위해서이다.
• 방화벽
  • 4계층에서 동작하는 패킷 필터링 장비이다.
• IDS,IPS
  • 방화벽에서 방어할 수 없는 다양한 애플리케이션 공격을 방어하는 장비
• WAF
  • WAF(Web Application Firewall)는 웹 서버를 보호하는 전용 보안 장비.
• 샌드박스
  • APT(Advanced Persistent Threat: 지능형 지속 공격) 공격을 방어하는 대표적인 장비.
• NAC
  • 네트워크에 접속할 때 인가된 사용자만 내부망에 접속할 수 있고 인가받기 전이나 승인에 실패한 사용자는 접속할 수 없도록 제어하는 기술
• IP 제어
  • 할당된 IP를 관리하고 나아가 정확히 의도된 IP 할당이 아니면 정상적으로 네트워크를 사용하지 못하게 하는 기능
• 접근 통제
  • 접근 통제 솔루션도 에이전트 기반(Agent Based), 에이전트리스(Agentless), 구현 방법에 따라 다양하게 분류할 수 있지만 대부분 배스천 호스트(Bastion host) 기반으로 구현된다.
  • 서버 접근을 위한 모든 통신은 배스천 호스트를 통해서만 가능하다.
• VPN
  • 사용자 기반의 VPN 서비스를 제공해주는 장비

어려웠거나 이해하지 못한, 혹은 궁금한 점

IPS, IDS의 동작 방식에서 어노말리 공격 방어 방식에 대한 이해를 더 해보고 싶습니다.

• 패턴 매칭 방식
• 어노말리 공격 방어
  • 프로파일 어노말리
  • 프로토콜 어노말리

추가 내용

다계층 스위치를 이용한 대규모 인터넷 공격 대응 ②

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?cmd=print&seq=6048&menu_dist=3

 

IPS, IDS

https://velog.io/@source39/네트워크-IPSIDS

 

2. 김수민

새롭게 알게 된 점

• 9.2 보안 솔루션의 종류
  • DDoS 방어 장비는 1, 2계층 차원의 공격을 방어하는 보안 장비, 방화벽은 3, 4계층 차원의 공격을 방어하는 보안 장비, IPS는 5, 6, 7계층 차원의 공격을 방어하는 장비라고 대강 이해했어요.
• 9.2.1 p361 DDoS 장비는 회선을 공급해주는 ISP나 네트워크 ISP와 연결되는 데이터 센터 네트워크의 가장 바깥쪽에 위치시켜 이 공격을 완화해야 합니다.
  • 네트워크 보안 장비의 순서도 고려해야 한다.
• 9.2.2 p361 일반적으로 방화벽은 DDoS 방어 장비 바로 뒤에 놓는 네트워크 보안 장비입니다.
• 9.3.3 p368 패킷 필터 방화벽에서 이런 트래픽을 처리하기 위해 정책을 선언하려면 목적지가 불특정 다수의 웹이 될 수 있으므로 위부로 나가는 목적지에 대해서는 모든 패킷을 허용해야 합니다.
  • 세션 테이블이 유용한 이유를 이해하게 되었어요.
• 9.4.2.2 p380 잘 알려진 포트와 실제로 통신하는 프로토콜이 다를 때, 이것을 파악해 적절히 제어하는 기법을 프로토콜 어노말리라고 합니다.
  • 잘 알려진 포트는 의무가 아니라 권고이다.

어려웠거나 이해하지 못한, 혹은 궁금한 점

• 9.1.3.2 그림 9-5 공격과 탐지 도표
  • false positive, false negative?

추가 내용

• VPN
  • 이들이 하나의 네트워크 구축을 위해 기존 전용선을 사용하는 방법에는 비용을 포함한 여러 가지 한계를 가지며, … . 또한 기존의 공중 네트워크는 보안과 관련해서는 서비스를 제공하지 않기 때문에 중요한 문서나 데이터를 전달하기에는 부족한 점이 있었다. 이러한 복합적인 이유가 가상 사설망이 등장한 계기가 되었다.

 

3. 김민석

새롭게 알게 된 점

• 3대 보안 정의 : 기밀성, 무결성, 가용성 외에 진정성, 책임성, 부인 방지, 신뢰성의 보안 요소가 있다.
• 인터넷 시큐어 게이트웨이
• 트러스트 네트워크에서 언트러스트 네트워크로의 통신을 통제
• 데이터 센터 시큐어 게이트웨이
• 언트러스트 네트워크에서 트러스트로의 통신을 통제
• 요즘은 화이트리스트 기반 정책을 사용하나, 많은 시간과 인력이 필요하므로
• 이것이 부족한 경우는 블랙리스트 기반 정책으로 공격 데이터베이스를 최신으로 유지하는 것이 좋다.
• DDos 방어 장비 - 방화벽 - IPS - WAF - 서버 순으로 구성되어 있다.장비마다 역할이 다르다. 네트워크 7계층처럼 역할이 다르고 각각의 장비들이 자신의 역할에만 집중
• 예를 들어, IPS는 방화벽에서 방어할 수 없는 다양한 애플리케이션 공격을 방어한다.
• 왼쪽에서 오른쪽 장비로 갈수록 왼쪽 장비가 못한 것을 오른쪽 장비가 하는 것으로 이해했습니다.
• 접근 통제 솔루션은 여러 가지로 분류할 수 있지만 배스천 호스트 기반이 대표적이다.
• 서버 호스트의 방화벽에 배스천 호스트에서 출발한 통신만 허용하고 다른 통신은 모두 방어하도록 설정하고 배스천 호스트의 보안, 감사를 높이면 보안을 강화할 수 있다.
• 상태 기반 SPI(Stateful Packet Inspection) 엔진을 통해 패킷 상태를 인지해 패킷의 인과 관계를 파악한다. 이렇지 않으면 보안상 매우 취약하다.
• 방화벽의 패킷 확인은 세션 테이블 매치, 포워딩 테이블, 정책 매치 등의 과정이 필요하다.포워딩 테이블이 성립하지 않을 시, 패킷을 폐기하고책 370p에 Yes/No를 이용한 화살표로 잘 정리된 거 같습니다.
• 정책 매체가 성립하지 않을 시, 패킷을 차단한다.
• 세션 테이블 매치가 성립하지 않을 시, 방화벽 정책을 확인하고
• 5-튜플 데이터 [source ip, source port, destination ip, destination port, protocol] :
• TCP/IP 연결을 구성하는 5개의 서로 다른 값 집합
• IDS : 탐지가 메인인 시스템 / Detection / 인라인 상에 있지 않고 감시 IPS : 방지가 메인인 시스템 / Prevention / 인라인 상에 위치해 IPS 장비 자체적으로 방어 가능
• 어노말리 기법 : 기존 패턴 매칭 기법은 공격 데이터베이스를 기반으로 보안 처리를 하는데 이것은 극미한 변화가 생기면 어려움이 생긴다. 어노말리 기법은 분명한 공격으로 파악되지 않더라도 특정 기준 이상의 행위를 이상하다고 판단하고 방어하게 된다. ex) 평소에 10개의 트래픽이 오다가 갑자기 100개의 트래픽이 왔을 때 이상 감지
• DDos 공격 방식은 볼류메트릭 공격, 프로토콜 공격, 애플리케이션 공격이 있다. 볼류메트릭 공격이 가장 일반적인데 이것은 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜 회선을 사용하지 못하도록 방해하는 공격이다.

어려웠거나 이해하지 못한, 혹은 궁금한 점

세션의 방향성 ?

FTP 액티브, 패시브 모드가 잘 이해가 되지 않아서 추가적인 공부를 해보려고 합니다 !

추가 내용

 

4. 이채민

새롭게 알게 된 점

[9.1.3]

트래픽의 방향과 용도에 따라 네트워크 보안 분야가 나뉘어진다는 것을 알 수 있었습니다.

• 인터넷 시큐어 게이트웨이(Internet Secure Gateway)
  • 트러스트(또는 DMZ) 네트워크에서 언트러스트 네트워크로의 통신을 통제
  • 인터넷으로 나갈 때는 인터넷에 수많은 서비스가 있으므로 그에 대한 정보와 요청 패킷을 적절히 인식하고 필터링하는 기능이 필요하다.
• 데이터 센터 시큐어 게이트웨이(Data Center Secure Gateway)
  • 언트러스트 네트워크에서 트러스트(또는 DMZ)로의 통신을 통제
  • 상대적으로 고성능이 필요하고 외부의 직접적인 공격을 막아야 하므로 인터넷 관련 정보보다 공격 관련 정보가 더 중요하다.

⇒ 어디서 어떤 네트워크로 통신이 이루어지느냐에 따라 어떤 기능이 중요하고 어떤 성능을 필요로 하는지 달라지는 지를 알 수 있어서 좋았습니다.

[9.2.7]

보안을 강화하기 위한 방법 중 배스천 호스트 기반 방식이 있는 것을 처음 알게 되었습니다. 서버 호스트의 방화벽에 배스천 호스트에서 출발한 통신만 허용하고 그 외의 다른 통신들은 모두 방어하도록 설정하기 때문에 보안이 더 강화할 수밖에 없다는 것을 알게 되었습니다.

[9.6]

VPN에 대해서는 그냥 단순한 정의만 알고 있었는데, 이번 9.6장을 통해서 VPN이 동작하는 방식에 대해 자세히 알 수 있었습니다.

일반적으로 VPN은 Host to Host 통신 보호, Network to Network 통신 보호, Host가 Network로 접근할 때 보호 방식으로 총 3가지 형태로 구분합니다.

특히 Network to Network 통신은 본사-지사 같은 특정 네트워크를 가진 두 종단을 연결하는 경우를 말하며, IPSEC 프로토콜 스택이 가장 많이 사용된다는 것을 새롭게 알 수 있었습니다.

어려웠거나 이해하지 못한, 혹은 궁금한 점

가장 어려웠던 부분은 IPS, IDS 부분이었습니다.

IPS의 패턴 매칭 방식으로 공격 데이터베이스(시그니처)가 사용되는데, 유저, 공격자, 서버 간 구조를 완벽히 이해하긴 어려웠습니다.

또한 프로파일 어노말리와 프로토콜 어노말리도 이론적으로는 대강 알 것 같긴 한데, 잘 와닿진 않았습니다.

추가 내용

 

5. 문다현

새롭게 알게 된 점

3대 보안 정의:

기밀성 : ex) 암호화 작업

무결성: 완전한 정보 유지

가용성: 접근을 허락하는 작업

BOTTOM-UP 형식으로 네트워크 보안이 발전하고 있다

외부로부터 보호받아야 할 네트워크 → Trust Network

신뢰할 수 없는 외부 네트워크 → Untrust Network

내부네트워크 but 외부 사용자에게 개방해야하는 네트워크 → DMZ(DeMilitarized Zone) Network ex) 인터넷에 공개되는 서비스

Internet Secure Gateway (정보의 필터링)

• 트러스트(DMZ) 네트워크 →(통신을 통제)→ 언트러스 네트워크

Data Center Secure Gateway (고성능, 공격 관련 정보)

• 언트러스 네트워크 → (통신을 통제) → 트러스트 (DMZ) 네트워크

WAF vs IPS

더 세밀히 방어 범용성 넓음

IPS 회피 공격 방어 x

패킷을 데이터 형대로 조합하여 처리

공격 방어 + 공격자에게 통보 & 민감한 데이터 유출시, 그 정보만 제거해 보냄. 공격 차단후 통보는 x &전체 공격 내용에 대한 차단만 가

어려웠거나 이해하지 못한, 혹은 궁금한 점

기존에는 공격인 것만 골라 방어하는 블랙리스트 기반의 방어 방식만 제공했지만,

프로파일링 기반의 방어 기법이 IPS 장비에 적용되고 애플리케이션을 골라 방어할 수 있는

애플리케이션 컨트롤 기능이 추가되면서 화이트리스트 기반의 방어 기법도 IPS 장비에 적용할 수 있게 되었다

추가 내용

 

스터디 내용

1. 질문

1. IPS, IDS의 동작 방식에서 어노말리 공격 방어 방식에 대한 이해를 더 해보고 싶습니다.

• 우다현 : 어노말리 공격 방어 방식에는 프로파일 어노말리 방식과 프로토콜 어노말리 방식이 있습니다. 이에 대해 더 정리해보고 싶어요.
• 김민석 : 프로파일은 새로운 것이 미리 정해놓거나 지금까지 해왔던 것과 다르면 공격으로 판단하고, 프로토콜은 잘 알려진 포트와 다른 프로토콜을 사용할 때 공격으로 판단 / anomaly 영어 뜻 그대로 두 가지 방식 모두 기존과 다른 이상한 현상이 일어났을 때를 공격으로 탐지하는 거 같습니다

 

2. 9.1.3.2 그림 9-5 공격과 탐지 도표에서, false positive, false negative?

• 문다현:
  • false positive: 공격이라고 탐지했는데 공격이 아닌 경우
  • false negative : 공격이 아니라고 탐지했는데 공격인 경우
  • 저같은 경우에는 질병도 똑같이, 질병이 아닌데 질병이 맞다고 판단하는 경우 아닌경우들을 진양성, 위음성, 위양성, 진음성 이라고 판단하는데 그 논리가 똑같아서 적용해서 생각했던 것 같아요
• 김민석 : False positive(오탐지)는 공격이라고 생각했는데 공격이 아닌 경우라고 합니다.
  • positive는 공격의 가능성을 의미하고 False는 실제 그 공격이 아닌 것을 의미하는 거 같아요
  • 즉, positive랑 negative는 사용자 혹은 장비가 무엇일거다라고 예상하는 거고, True랑 False는 실제 일어난 결과인 것 같습니다.
  • 미탐지도 아닐거라 생각했는데(negative) 실제로는 있는 거(True)를 의미합니다.

 

3. 세션의 방향성?

• 김수민: 이 책에서 말하는 세션의 방향이란 3-way handshake의 ‘way’, 즉 SYN, SYN-ACK, ACK을 의미하는 것 같아요.

 

4. FTP 액티브, 패시브 모드

• 우다현 : FTP 모드에 대해 말씀해주셔서 둘의 차이점을 찾아보았습니다. 간단하게 비교하면 액티브 모드에서는 DATA Channel 요청을 서버->클라이언트 방향으로 접속하고, Passive Mode에서는 DATA Channel 요청을 클라이언트->서버 방향으로 접속한다는 것이 명확한 차이점인 것 같습니다.. https://sata.kr/entry/5BFTP5D20FTPEC9D9820Active20ModeEC998020Passive20Mode20ECB0A8EC9DB4ECA090

 

5. IPS의 패턴 매칭 방식으로 공격 데이터베이스(시그니처)가 사용되는데, 유저, 공격자, 서버 간 구조

• 이채민 : IDS/IPS는 문자열 패턴을 검사할 수 있는 Snort의 ‘룰 옵션’구조를 이용하여 패킷의 데이터 영역까지 검사함으로써 방화벽과 차별화를 이룬다.
  • 패턴, 시그니처, 데이터베이스 방식 방어 : 기존 공격이나 취약점을 통해 공격 방식에 대한 데이터베이스를 습득하고 최신 내용을 유지해 공격을 파악하는 기술
  • ⇒ 많은 공격 데이터베이스와 최신 공격 방식을 공격 데이터베이스에 최대한 신속히 반영하는 것이 중요하다.
  • 구조
    1. 불순한 사용자 및 외부침입자가 컴퓨터, 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도가 나타남
    2. 일반적으로 네트워크상의 웜이나 공격에 대해서 특정 패턴을 가지게 됨
    3. 이런 특정 패턴의 특성 파악
    4. 네트워크 공격이 들어오면, 패턴 matching을 통해 공격 탐지
  • 웹 서버 감염 시?
    • 감염된 웹 서버는 다시 다른 서버로 공격을 수행하는 공격자로 바뀌어 공격 패킷을 다수의 다른 서버로 전송한다.
    • 따라서 IPS에서 코드 레드웜 관련 공격이 데이터베이스에 매칭되어 공격을 방어한다.

 

6. 기존에는 공격인 것만 골라 방어하는 블랙리스트 기반의 방어 방식만 제공했지만, 프로파일링 기반의 방어 기법이 IPS 장비에 적용되고 애플리케이션을 골라 방어할 수 있는 애플리케이션 컨트롤 기능이 추가되면서 화이트리스트 기반의 방어 기법도 IPS 장비에 적용할 수 있게 되었다. 여기서 프로파일링 기반의 방어 기법이 뭔지 잘 와닿지가 않는 것 같습니다.

• 김수민 : 9.4.2.2 ‘갑자기 수십 MB 이상의 트래픽이 발생한 경우처럼 평소와 다른 행위에 초점을 맞춘다 …’ 부분을 참고하셔도 좋을 것 같아요.
• 김민석 : 블랙리스트 기반의 방어 기법은 이전 오류들을 저장해놓고 새로 들어온 행위가 저장해놓은 것이랑 비교해서 같으면 공격으로 판단하고, 프로파일링 기반의 방어 기법은 기존 행위들과 확연하게 다른 행위가 일어나면 공격으로 판단하는 거 같아요

 

2. 모두 함께 읽어본 자료

1. 다계층 스위치를 이용한 대규모 인터넷 공격 대응 ② https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?cmd=print&seq=6048&menu_dist=3

 

2. IPS, IDS

https://velog.io/@source39/네트워크-IPSIDS

• 이채민 : 탐지 방법에 대한 분류가 자세하게 나와 있어서 잘 이해가 되었습니다! 또한 허니팟 시스템에 대해서 새롭게 알게 되었습니다. 공격을 모두 로깅하고 해킹 이후 이 공격 기법들을 분석함으로써 공격 데이터베이스로 바꾸는 시스템이 새롭게 다가왔습니다.
  • 허니팟 : 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템, 이를 통해 공격자를 추적하고 정보를 수집하는 역할을 수행한다.
• 김수민: 저도 글을 읽고 Miuse Detection과 Anomaly Detcion의 차이를 쉽게 이해할 수 있었어요!

 

3. VPN

https://ko.wikipedia.org/wiki/%EA%B0%80%EC%83%81%EC%82%AC%EC%84%A4%EB%A7%9D

: 이들이 하나의 네트워크 구축을 위해 기존 전용선을 사용하는 방법에는 비용을 포함한 여러 가지 한계를 가지며, … . 또한 기존의 공중 네트워크는 보안과 관련해서는 서비스를 제공하지 않기 때문에 중요한 문서나 데이터를 전달하기에는 부족한 점이 있었다. 이러한 복합적인 이유가 가상 사설망이 등장한 계기가 되었다.

• 우다현 : VPN 개념이 전용선 → 보안적인 개념으로 변화한다는 관점에서 글을 보니까 재밌네요!