9.1 The Need for Firewalls

정보 시스템의 진화

기업, 정부 기관 등의 정보 시스템은 다음과 같은 단계를 거쳐 진화해 왔다.

  • 중앙집중식 데이터 처리 시스템: 중앙 메인프레임이 여러 직접 연결된 터미널을 지원.
  • 로컬 네트워크 (LAN): PC와 터미널이 서로 및 메인프레임과 상호 연결.
  • 프레미스 네트워크: 여러 LAN이 PC, 서버, 메인프레임을 상호 연결.
  • 기업 전체 네트워크: 지리적으로 분산된 여러 프레미스 네트워크가 사설 WAN으로 상호 연결.
  • 인터넷 연결: 다양한 프레미스 네트워크가 인터넷에 연결되고, 사설 WAN으로도 연결될 수 있음.

인터넷 연결의 중요성

인터넷 연결은 이제 조직에 필수적이다. 정보와 서비스 이용이 필요하며, 사용자들도 인터넷 접속을 원한다. LAN을 통해 제공되지 않는다면, 사용자들은 PC를 통해 무선 브로드밴드로 ISP에 연결할 수 있다. 그러나 인터넷 접근은 외부 세계가 내부 네트워크 자산과 상호 작용할 수 있게 하여 조직에 위협을 초래한다.

방화벽의 필요성

각 워크스테이션과 서버에 강력한 보안 기능을 장착하는 것은 가능하지만, 이는 대규모 네트워크에서는 비용 효율적이지 않다. 수백 또는 수천 개의 시스템을 포함하는 네트워크에서는 보안 결함이 발견될 때마다 각 시스템을 업데이트해야 한다. 이를 효율적으로 관리하려면 대규모 구성 관리와 적극적인 패치가 필요하다. 이러한 호스트 기반 보안만으로는 충분하지 않을 수 있으므로, 대안 또는 보완책으로 방화벽을 사용한다.

방화벽은 프레미스 네트워크와 인터넷 사이에 설치되어 통제된 링크를 형성하고 외부 보안 경계를 구축한다. 이 경계는 인터넷 기반 공격으로부터 프레미스 네트워크를 보호하고, 보안 및 감사를 적용할 수 있는 단일 초크 포인트를 제공한다. 방화벽은 단일 컴퓨터 시스템일 수도 있고, 방화벽 기능을 수행하기 위해 협력하는 두 개 이상의 시스템 세트일 수도 있다.

방화벽은 외부 네트워크로부터 내부 시스템을 절연하여 추가 방어 계층을 제공한다. 이는 군사 원칙인 “심층 방어”를 따르며, IT 보안에도 동일하게 적용된다.

9.2 Firewall Characteristics and Access Policy

방화벽 설계 목표 (BELL94)

  1. 모든 트래픽 통과: 내부에서 외부로, 그리고 그 반대로 모든 트래픽이 방화벽을 통과해야 한다. 이는 방화벽을 통해서만 로컬 네트워크에 접근할 수 있도록 물리적으로 차단함으로써 달성된다.
  2. 허가된 트래픽만 통과: 로컬 보안 정책에 정의된 허가된 트래픽만 통과할 수 있다.
  3. 방화벽 자체의 보안: 방화벽은 침투에 면역이 되어야 하며, 보안된 운영 체제를 사용하는 강화된 시스템을 의미한다.

접근 정책의 중요성

방화벽 계획 및 구현의 중요한 구성 요소는 적절한 접근 정책을 지정하는 것이다. 이 정책은 주소 범위, 프로토콜, 애플리케이션 및 콘텐츠 유형을 포함하여 방화벽을 통해 통과할 수 있는 트래픽 유형을 나열한다. 조직의 정보 보안 위험 평가 및 정책에서 개발되어야 하며, 구체적인 필터 요소로 세분화하여 적절한 방화벽 토폴로지 내에서 구현될 수 있다.

방화벽 접근 정책의 필터링 특성 (SCAR09b)

  • IP 주소 및 프로토콜 값: 소스 또는 목적지 주소, 포트 번호, 트래픽 흐름 방향 등 네트워크 및 전송 계층 특성에 기반하여 접근을 제어한다.
  • 애플리케이션 프로토콜: 허가된 애플리케이션 프로토콜 데이터에 기반하여 접근을 제어한다.
  • 사용자 신원: 보안 인증 기술을 사용하여 내부 사용자 신원을 기반으로 접근을 제어한다.
  • 네트워크 활동: 요청 시간, 요청 빈도 등 활동 패턴을 기반으로 접근을 제어한다.

방화벽의 기능

  1. 단일 초크 포인트 정의: 불법 사용자를 차단하고 IP 스푸핑 및 라우팅 공격으로부터 보호한다.
  2. 보안 이벤트 모니터링: 감사 및 경보 기능을 제공한다.
  3. 비보안 관련 인터넷 기능: 네트워크 주소 변환 및 인터넷 사용 로그를 포함한 여러 기능을 수행한다.
  4. IPSec 플랫폼 제공: VPN 구현에 사용될 수 있다.

방화벽의 한계

  1. 우회 공격 보호 불가: 내부 시스템이 외부 ISP에 직접 연결될 수 있다.
  2. 내부 위협 보호 한계: 불만을 품은 직원이나 외부 공격자와 협력하는 직원으로부터 보호하지 못할 수 있다.
  3. 무선 LAN 보안: 잘못된 보안 설정의 무선 LAN은 외부에서 접근될 수 있다.
  4. 외부에서 감염된 장치: 외부에서 감염된 노트북, PDA, 포터블 저장 장치가 내부 네트워크에 연결될 수 있다.

9.3 Types of Firewalls

패킷 필터링 방화벽 (Packet Filtering Firewall)

  • 동작 방식: 각 들어오고 나가는 IP 패킷에 규칙을 적용하여 패킷을 전달하거나 버린다.
  • 필터링 규칙: 소스 IP 주소, 목적지 IP 주소, 소스 및 목적지 포트 번호, IP 프로토콜 필드, 인터페이스 등을 기반으로 설정된다.
  • 규칙 목록: IP 또는 TCP 헤더의 필드를 기반으로 매칭 규칙을 설정하여 패킷이 전달 또는 차단된다. 매칭되지 않는 패킷에 대해서는 기본 정책(허용 또는 차단)을 적용한다.
  • 장점: 구조가 간단하고, 사용자에게 투명하며, 처리 속도가 매우 빠르다.
  • 단점: 애플리케이션 계층의 데이터 검사가 불가능하며, 로그 기능이 제한적이고, 고급 사용자 인증을 지원하지 않는다. TCP/IP 프로토콜 스택의 문제를 악용한 공격에 취약하다.

상태 검사 방화벽 (Stateful Inspection Firewall)

  • 동작 방식: 개별 패킷뿐만 아니라 전체 연결의 상태를 추적하여 보안 결정을 내린다.
  • TCP 연결 추적: 각 활성화된 TCP 연결에 대한 정보를 저장하고, 들어오는 패킷이 이 정보와 일치하는지 확인하여 허용 또는 차단한다.
  • 기능: TCP 시퀀스 번호를 추적하여 세션 하이재킹 공격을 방지하고, 특정 애플리케이션 데이터(예: FTP)를 검사할 수 있다.
  • 장점: 단순한 패킷 필터링보다 보안이 강화되어 허용된 연결만을 추적하고 관리할 수 있다.
  • 단점: 추가적인 상태 정보를 유지하고 관리해야 하므로 성능 오버헤드가 발생할 수 있다.

애플리케이션 게이트웨이 (Application-Level Gateway)

  • 동작 방식: 애플리케이션 수준에서 트래픽을 중계하고 검사한다.
  • 사용자 인증: 사용자가 게이트웨이에 접속할 때, 게이트웨이가 원격 호스트의 애플리케이션에 접속한다. 각 애플리케이션에 대해 별도의 프록시를 운영하여 세부적인 제어가 가능하다.
  • 특징: SMTP 이메일 스팸 검사, HTTP 웹 요청 검사 등 특정 애플리케이션 프로토콜의 교환을 중계하고 모니터링한다.
  • 장점: TCP/IP 수준의 다양한 조합을 처리할 필요가 없으며, 모든 애플리케이션 트래픽을 쉽게 로깅하고 감사할 수 있다.
  • 단점: 각 연결에 대한 추가적인 처리 오버헤드가 발생하며, 새로운 애플리케이션을 지원하려면 별도의 프록시 코드를 구현해야 한다.

서킷 레벨 게이트웨이 (Circuit-Level Gateway)

  • 동작 방식: 두 개의 TCP 연결을 설정하여 내부 호스트와 외부 호스트 간의 TCP 세그먼트를 중계한다.
  • 역할: 애플리케이션 데이터의 내용을 검사하지 않고, 연결 자체만을 관리하여 어느 연결이 허용될 것인지를 결정한다.
  • 사용 예시: SOCKS 패키지. SOCKS 서버는 TCP 연결을 설정하여 인증을 수행하고, 이후 UDP 및 TCP 트래픽을 프록시한다.
  • 장점: 특정 애플리케이션 프로토콜에 의존하지 않고, 상대적으로 낮은 오버헤드로 트래픽을 관리할 수 있다.
  • 단점: 애플리케이션 계층에서 발생하는 세부적인 공격을 감지하지 못할 수 있다.

방화벽 구성

  • 단일 방어선: 단일 방화벽을 내부 및 외부 라우터 사이에 배치하여 네트워크를 보호.
  • DMZ 네트워크: 내부 및 외부 방화벽 사이에 추가 네트워크 세그먼트를 배치하여 외부에서 접근 가능한 시스템을 보호.
  • 이중 방어선: 내부 네트워크의 보호를 강화하기 위해 여러 방화벽을 사용.

방화벽의 역할과 한계

  • 역할: 불법 사용자를 차단하고, 보안 이벤트를 모니터링하며, 네트워크 주소 변환 및 VPN 기능을 제공.
  • 한계: 방화벽을 우회하는 공격, 내부 위협, 보안 설정이 잘못된 무선 LAN, 외부에서 감염된 장치 보호 불가.

주요 기능

  1. 단일 초크 포인트 정의: 불법 사용자를 차단하고, IP 스푸핑 및 라우팅 공격으로부터 보호한다.
  2. 보안 이벤트 모니터링: 감사 및 경보 기능을 제공한다.
  3. 비보안 관련 인터넷 기능: 네트워크 주소 변환 및 인터넷 사용 로그를 포함한 여러 기능을 수행한다.
  4. IPSec 플랫폼 제공: VPN 구현에 사용될 수 있다.

방화벽의 한계

  1. 우회 공격 보호 불가: 내부 시스템이 외부 ISP에 직접 연결될 수 있다.
  2. 내부 위협 보호 한계: 불만을 품은 직원이나 외부 공격자와 협력하는 직원으로부터 보호하지 못할 수 있다.
  3. 무선 LAN 보안: 잘못된 보안 설정의 무선 LAN은 외부에서 접근될 수 있다.
  4. 외부에서 감염된 장치: 외부에서 감염된 노트북, PDA, 포터블 저장 장치가 내부 네트워크에 연결될 수 있다.

9.4 Firewall Basing

배스천 호스트 (Bastion Host)

배스천 호스트는 네트워크 보안의 중요한 강점으로 식별된 시스템이다. 주로 애플리케이션 게이트웨이 또는 서킷 레벨 게이트웨이 플랫폼으로 사용된다.

  • 보안 운영체제: 강화된 보안 운영체제를 실행한다.
  • 필수 서비스만 설치: DNS, FTP, HTTP, SMTP 프록시 애플리케이션만 설치.
  • 추가 인증 요구: 사용자에게 프록시 서비스 접근 전에 추가 인증을 요구할 수 있음.
  • 명령 세트 제한: 각 프록시는 표준 애플리케이션의 제한된 명령 세트만 지원.
  • 특정 호스트 접근: 특정 호스트 시스템에만 접근을 허용.
  • 감사 정보 유지: 모든 트래픽과 연결을 기록하여 감사를 지원.
  • 소규모 소프트웨어 패키지: 보안이 강화된 작은 소프트웨어 패키지로 구성됨.
  • 프록시 독립성: 각 프록시는 다른 프록시와 독립적이며, 문제가 발생하면 영향을 미치지 않고 제거 가능.
  • 디스크 접근 최소화: 초기 설정 파일을 읽는 것을 제외하고는 디스크 접근을 하지 않음.
  • 비특권 사용자로 실행: 비특권 사용자로 실행되어 보안을 강화.

호스트 기반 방화벽 (Host-Based Firewalls)

호스트 기반 방화벽은 개별 호스트를 보호하기 위한 소프트웨어 모듈이다. 서버나 워크스테이션에 설치되어 패킷 흐름을 필터링하고 제한한다.

  • 환경 맞춤 필터링: 서버의 특정 보안 정책을 구현하고, 각 서버에 대해 다른 필터를 설정 가능.
  • 토폴로지 독립적 보호: 내부 및 외부 공격 모두 방화벽을 통과해야 함.
  • 추가 보호 계층 제공: 독립적인 방화벽 기능을 제공하여 네트워크 전체 방화벽 설정을 변경할 필요 없이 새로운 서버 추가 가능.

개인 방화벽 (Personal Firewall)

개인 방화벽은 개인 컴퓨터 또는 워크스테이션과 인터넷 또는 엔터프라이즈 네트워크 간의 트래픽을 제어한다. 일반적으로 개인 컴퓨터에 소프트웨어 모듈로 설치된다.

  • 가정 및 기업 인트라넷 사용: 가정 환경이나 기업 인트라넷에서 사용 가능.
  • 주요 역할: 무단 원격 접근을 차단하고, 외부로 나가는 활동을 모니터링하여 웜 및 기타 악성 소프트웨어를 차단.
  • 설정: 기본적으로 모든 인바운드 연결을 차단하고, 사용자가 명시적으로 허용한 것만 허용. 아웃바운드 연결은 보통 허용된다.
  • 고급 기능: 스텔스 모드, UDP 패킷 차단, 로깅 기능 등 제공. 선택된 애플리케이션이나 인증된 애플리케이션만 네트워크 접근을 허용할 수 있음.

9.5 Firewall Location and Configurations

방화벽은 외부(잠재적으로 신뢰할 수 없는) 소스의 트래픽과 내부 네트워크 간에 보호 장벽을 제공하는 위치에 배치된다. 보안 관리자는 방화벽의 위치와 필요한 방화벽 수를 결정해야 한다.

DMZ 네트워크 (Demilitarized Zone)

  • 구성: 외부 방화벽과 내부 방화벽 사이에 추가 네트워크 세그먼트를 배치하여 외부에서 접근 가능한 시스템을 보호.
  • 외부 방화벽: DMZ 시스템에 대한 외부 연결성을 제공하면서, 기본적인 보호 기능도 수행.
  • 내부 방화벽: 기업 서버와 워크스테이션을 외부 공격으로부터 보호하고, DMZ 시스템에서 발생할 수 있는 내부 네트워크 공격으로부터도 보호.
  • 다중 내부 방화벽: 내부 네트워크의 여러 부분을 보호하는 데 사용. 예를 들어, 내부 서버와 워크스테이션 간에 추가 보호 계층을 제공할 수 있음.

가상 사설 네트워크 (VPN)

  • 기능: 암호화 및 특수 프로토콜을 사용하여 보안을 제공. 공용 네트워크를 통해 원격 사이트를 연결하여 비용 절감과 관리 편의를 제공.
  • 보안: 공용 네트워크 사용으로 인한 도청 및 무단 접근 문제를 해결. IPSec 프로토콜을 사용하여 암호화 및 인증 제공.
  • 구현: 방화벽에 IPSec이 구현되어 VPN 트래픽을 보호. 내부 네트워크에 도달하기 전에 트래픽을 암호화하고, 들어오는 트래픽을 해독.

분산 방화벽 (Distributed Firewalls)

  • 구성: 독립형 방화벽 장치와 호스트 기반 방화벽이 중앙 관리 하에 함께 작동.
  • 기능: 관리자 도구를 통해 네트워크 전체의 정책 설정 및 보안 모니터링. 내부 공격을 방지하고 특정 머신과 애플리케이션을 보호.
  • 내부 및 외부 DMZ: 분산 방화벽 구성에서 외부 방화벽 외부에 위치한 웹 서버 같은 시스템을 위한 외부 DMZ와 내부 네트워크를 보호하는 내부 DMZ를 설정할 수 있음.
  • 보안 모니터링: 로그 수집 및 분석, 방화벽 통계, 개별 호스트에 대한 세밀한 원격 모니터링 포함.

방화벽 배치 및 토폴로지 요약

  • 호스트 거주 방화벽: 개인 방화벽 소프트웨어 및 서버 기반 방화벽. 단독으로 또는 심층 방어 배치의 일부로 사용 가능.
  • 스크리닝 라우터: 상태 비저장 또는 전체 패킷 필터링을 사용하여 내부 및 외부 네트워크 사이의 단일 라우터. 소규모 사무실/홈 오피스(SOHO) 애플리케이션에 적합.
  • 단일 배스천 인라인: 내부 및 외부 라우터 사이에 단일 방화벽 장치 배치. 소규모에서 중규모 조직에 적합.
  • 단일 배스천 T: 단일 배스천 인라인과 유사하지만, DMZ를 위한 세 번째 네트워크 인터페이스가 있음. 중대형 조직에 적합.
  • 이중 배스천 인라인: DMZ가 배스천 방화벽 사이에 있는 구성. 대기업 및 정부 조직에 일반적.
  • 이중 배스천 T: DMZ가 배스천 방화벽의 별도 네트워크 인터페이스에 위치한 구성. 대기업 및 정부 조직에 일반적.
  • 분산 방화벽 구성: 대기업 및 정부 조직에서 사용되는 구성. 네트워크 전체의 일관된 보안 정책 관리.

9.6 Intrusion Prevention Systems

침입 방지 시스템(IPS)은 침입 탐지 시스템(IDS)의 확장으로, 악의적인 활동을 탐지하고 이를 차단하거나 방지하는 기능을 포함한다. IPS는 호스트 기반, 네트워크 기반, 분산/하이브리드 형태로 구성될 수 있으며, 이상 탐지와 시그니처/휴리스틱 탐지를 통해 악성 활동을 식별한다.

Host-Based IPS, HIPS

호스트 기반 침입 방지 시스템(HIPS)은 시그니처/휴리스틱 또는 이상 탐지 기법을 사용하여 공격을 식별한다. HIPS는 애플리케이션 네트워크 트래픽의 특정 내용이나 시스템 호출 시퀀스를 분석하거나, 비정상적인 행동 패턴을 탐지하여 악성 활동을 식별한다.

악성 행동의 예

  1. 시스템 리소스 수정: 루트킷, 트로이 목마, 백도어가 라이브러리, 디렉터리, 레지스트리 설정, 사용자 계정 등 시스템 리소스를 변경.
  2. 권한 상승 공격: 일반 사용자에게 루트 권한을 부여하려는 공격.
  3. 버퍼 오버플로우 공격: 버퍼 오버플로우를 통해 시스템을 손상시키는 공격.
  4. 이메일 주소록 접근: 많은 웜이 로컬 시스템의 이메일 주소록에 복사본을 보내면서 확산.
  5. 디렉터리 트래버설: 웹 서버의 디렉터리 트래버설 취약점을 이용해 서버 애플리케이션 사용자가 일반적으로 접근할 수 없는 파일에 접근.

HIPS의 기능

  • 특정 플랫폼에 맞춘 맞춤형 보호: 데스크탑 또는 서버 시스템을 보호하는 일반 도구 세트 제공. 특정 서버(예: 웹 서버, 데이터베이스 서버)를 보호하는 HIPS 패키지.
  • 샌드박스 접근: Java 애플릿, 스크립팅 언어와 같은 모바일 코드를 격리된 시스템 영역에 격리하고 실행하여 행동을 모니터링. 사전 정의된 정책을 위반하거나 악성 행동 시그니처와 일치하면 실행을 중단.

보호 영역

  1. 시스템 호출: 커널이 메모리, I/O 장치, 프로세서 등 시스템 리소스에 대한 접근을 제어. HIPS는 각 시스템 호출을 악성 특성에 대해 검사할 수 있다.
  2. 파일 시스템 접근: 파일 접근 시스템 호출이 악성인지 여부를 확인하고 정책을 준수하도록 보장.
  3. 시스템 레지스트리 설정: 레지스트리는 프로그램의 지속적인 구성 정보를 유지하며, 종종 악의적으로 수정되어 익스플로잇의 생명을 연장. HIPS는 레지스트리의 무결성을 유지.
  4. 호스트 입출력: 로컬 또는 네트워크 기반 I/O 통신이 익스플로잇 코드와 악성 소프트웨어를 전파할 수 있음. HIPS는 네트워크와 다른 장치와의 상호 작용을 올바르게 유지하도록 검사하고 강제.

HIPS의 역할

  • 종합적 보호: 데스크탑과 노트북 시스템이 해커와 범죄자의 주요 목표가 되고 있음. HIPS는 바이러스 백신, 안티스파이웨어, 안티스팸, 개인 방화벽 등을 포함하는 통합 제품군으로 위협 예방을 더 포괄적이고 관리하기 쉽게 한다.
  • 심층 방어 전략: HIPS는 네트워크 수준 장치(방화벽 또는 네트워크 기반 IPS)와 함께 심층 방어 전략의 요소로 사용된다. 예를 들어, 샌디에고 슈퍼컴퓨터 센터는 네트워크 장치 없이 엔드포인트 보안만으로 4년 동안 침입이 없었지만, 네트워크 장치와 결합한 HIPS가 더 안전한 접근 방식으로 간주된다.

Network-Based IPS, NIPS

네트워크 기반 침입 방지 시스템(NIPS)은 인라인 네트워크 침입 탐지 시스템(NIDS)으로, 패킷을 수정하거나 폐기하고 TCP 연결을 종료할 수 있는 권한을 가지고 있다. NIPS는 NIDS와 마찬가지로 시그니처/휴리스틱 탐지와 이상 탐지 기법을 사용한다.

Flow Data Protection

NIPS가 방화벽과 다른 점 중 하나는 흐름 데이터 보호 기능이다. 이는 일련의 패킷에서 애플리케이션 페이로드를 재조립해야 한다는 것을 의미한다. IPS 장치는 흐름에 대한 새로운 패킷이 도착할 때마다 전체 흐름의 내용을 필터링한다. 흐름이 악성으로 판명되면 해당 흐름의 최신 패킷과 이후의 모든 패킷이 차단된다.

악성 패킷 식별 방법

NIPS 장치가 악성 패킷을 식별하는 데 사용하는 일반적인 방법은 다음과 같다:

  • 패턴 매칭 (Pattern Matching): 알려진 공격의 데이터베이스에 저장된 특정 바이트 시퀀스를 찾아 들어오는 패킷을 스캔한다.
  • 상태 기반 매칭 (Stateful Matching): 개별 패킷이 아니라 트래픽 스트림의 컨텍스트에서 공격 시그니처를 스캔한다.
  • 프로토콜 이상 탐지 (Protocol Anomaly): RFC 표준에서 벗어난 트래픽을 탐지한다.
  • 트래픽 이상 탐지 (Traffic Anomaly): UDP 패킷의 홍수나 네트워크에 새로 등장한 서비스와 같은 비정상적인 트래픽 활동을 감시한다.
  • 통계적 이상 탐지 (Statistical Anomaly): 정상적인 트래픽 활동과 처리량의 기준선을 설정하고, 이러한 기준선에서 벗어나는 경우 경고를 보낸다.

NIPS는 이러한 다양한 기법을 사용하여 네트워크 트래픽을 실시간으로 모니터링하고, 악성 활동을 감지하여 이를 차단하거나 수정함으로써 네트워크를 보호한다.

Distributed or Hybrid IPS

분산형 또는 하이브리드 IPS는 다수의 호스트 및 네트워크 기반 센서로부터 데이터를 수집하여 중앙 분석 시스템으로 전달하고, 이 시스템이 데이터를 상관 분석하여 악성 활동에 대한 대응을 각 시스템에 전달한다. 이 접근 방식의 대표적인 예는 디지털 면역 시스템(Digital Immune System)이다.

디지털 면역 시스템 (Digital Immune System)

IBM이 개발하고 Symantec이 정제한 디지털 면역 시스템은 악성 소프트웨어로 인한 악성 행동에 대한 포괄적인 방어를 제공한다. 인터넷 기반 악성 소프트웨어의 위협 증가, 인터넷을 통한 빠른 전파 속도, 글로벌 상황 파악의 필요성에 대응하기 위해 개발되었다.

동작 방식

  1. 악성 소프트웨어 감지: 새로운 악성 소프트웨어가 조직에 들어오면, 시스템은 이를 자동으로 포착, 분석, 탐지 및 차단하고, 제거 후 클라이언트 시스템에 정보를 전달하여 다른 곳에서 실행되기 전에 탐지할 수 있도록 한다.
  2. 프로그램 에뮬레이션: 일반적인 프로그램 에뮬레이션 및 악성 소프트웨어 탐지 시스템을 사용하여 신속한 대응을 제공한다.
  3. 계속적인 업데이트: 지속적으로 발견된 악성 소프트웨어를 분석하고 모니터링하여 디지털 면역 소프트웨어를 업데이트하고, 새로운 위협에 대응한다.

하이브리드 아키텍처 예시 (웜 탐지를 위해 설계된 예시)

하이브리드 아키텍처는 다양한 네트워크 및 호스트 위치에 센서를 배치하여 악성 소프트웨어를 감지하고, 중앙 서버로 정보를 전달하여 분석 및 대응한다.

  1. 센서 배치: 네트워크 및 호스트 위치에 배치된 센서가 악성 소프트웨어의 스캐닝, 감염 또는 실행을 감지.
  2. 알림 및 데이터 전송: 센서가 탐지된 악성 소프트웨어의 알림 및 복사본을 중앙 서버로 전송.
  3. 상관 분석: 중앙 서버가 정보를 상관 분석하여 악성 소프트웨어의 가능성과 주요 특성을 결정.
  4. 격리된 환경에서 테스트: 잠재적인 악성 소프트웨어를 샌드박스 환경에서 분석하고 테스트.
  5. 취약성 테스트 및 패치 생성: 대상 애플리케이션의 적절히 도구화된 버전을 사용하여 취약성을 식별하고, 소프트웨어 패치를 생성하여 테스트.
  6. 패치 배포: 패치가 감염에 취약하지 않고 애플리케이션 기능을 손상시키지 않으면, 이를 애플리케이션 호스트에 전송하여 업데이트.

하이브리드 IPS의 역할

  • 포괄적 보안: 악성 활동을 신속히 감지하고 대응하여 전체 시스템의 보안을 강화.
  • 글로벌 위협 대응: 지속적인 모니터링 및 업데이트를 통해 새로운 위협에 대응.
  • 자동화된 대응: 악성 소프트웨어를 자동으로 포착, 분석, 제거하고 패치를 배포.

이러한 방식으로 분산형 또는 하이브리드 IPS는 다양한 센서와 중앙 분석 시스템을 결합하여 네트워크 전체에 걸친 포괄적인 보안을 제공한다.

Snort Inline

Snort Inline은 가벼운 침입 탐지 시스템인 Snort를 확장하여 침입 방지 시스템으로 기능하도록 한 수정 버전이다. Snort Inline은 침입 방지 기능을 제공하는 세 가지 새로운 규칙 유형을 추가한다.

새로운 규칙 유형

  1. Drop: Snort는 규칙에 정의된 옵션에 따라 패킷을 거부하고 결과를 기록한다.
  2. Reject: Snort는 패킷을 거부하고 결과를 기록하며, 오류 메시지를 반환한다. TCP의 경우, TCP 리셋 메시지가 전송되어 TCP 연결을 재설정한다. UDP의 경우, UDP 패킷의 발신자에게 ICMP 포트 접근 불가 메시지를 보낸다.
  3. Sdrop: Snort는 패킷을 거부하지만 해당 패킷을 기록하지 않는다.

패킷 수정 옵션 (Replace Option)

Snort Inline은 패킷을 차단하는 대신 수정할 수 있는 옵션을 포함한다. 이 기능은 허니팟 구현에 유용하다. 탐지된 공격을 차단하는 대신 패킷 내용을 수정하여 공격을 비활성화한다. 공격자는 익스플로잇을 실행하지만, Snort Inline이 공격을 비활성화하여 실패하게 만든다. 공격자는 실패 원인을 파악할 수 없으며, 허니팟은 원격 시스템에 대한 피해를 줄이면서 공격자를 계속 모니터링할 수 있다.