컴퓨터보안 - Firewalls

수업 일자 : 2022/05/02 (월)

Firewalls

= 네트워크 컴퓨터 시스템에 대한 무단 전자 액세스를 방지하도록 설계된 보안 조치의 통합 모음

네트워크 방화벽은 두 경우 모두 하나의 "네트워크" 또는 "구획"을 다른 "구획"으로부터 분리하기 위한 것이기 때문에 건물 건설에서 방화벽과 유사하다.

 

Firewall Policies

• 방화벽을 통과하는 패킷은 다음 세 가지 결과 중 하나를 가질 수 있다.

- Accepted: 방화벽을 통해 허용됨
- Dropped: 오류 표시 없이 통과가 허용되지 않음 (수신자 입장에서는 네트워크의 상황을 알 수 없음)
- Rejected: 통과가 허용되지 않으며, 패킷이 거부되었음을 소스에 알리려는 시도가 수반된다. (Rejected과 다르게 알려줌)

 

• 방화벽에서 패킷을 처리하는 데 사용되는 정책은 사용되는 프로토콜을 포함하여 검사되는 패킷의 몇 가지 속성을 기반으로 합니다.
– TCP 또는 UDP
– Source와 Destination IP 주소
– Source와 Destination 포트
– 응용 프로그램 수준 페이로드(예: 바이러스가 포함되어 있는지 여부)

 

Blacklists and White Lists

• 블랙리스트 접근 방식
– 블랙리스트에 특별히 정의된 규칙에 맞는 패킷을 제외한 모든 패킷이 허용됩니다.
– 이러한 유형의 구성은 방화벽으로 인해 내부 네트워크에 대한 서비스가 중단되지 않도록 보다 유연하지만 네트워크 관리자가 악의적인 트래픽의 모든 속성을 열거할 수 있다고 가정한다는 점에서 보안 측면에서 순진합니다.
• 화이트리스트 접근 방식
– 방화벽 규칙 집합을 정의하는 더 나은 접근 방식은 기본 거부 정책이며, 방화벽에서 특별히 허용하지 않는 한 패킷이 삭제되거나 거부됩니다.

 

Firewall Types

• Packet filters (stateless)
– 패킷이 패킷 필터의 규칙 집합과 일치하면 패킷 필터는 패킷을 삭제하거나 수락합니다.
• "statefull" filters
– 패킷이 새 연결의 시작인지, 기존 연결의 일부인지, 잘못된 패킷인지 확인할 수 있다.
• application layer
– 특정 애플리케이션과 프로토콜을 "이해"할 수 있는 프록시처럼 작동합니다.
– 트래픽 콘텐츠를 검사하여 부적절한 콘텐츠(예: 웹 사이트, 바이러스, 취약성 등)로 간주되는 콘텐츠를 차단할 수 있습니다.

 

Stateless Firewalls

 

Tunnels

 

Secure Shell (SSH)

 

IPSEC

 

Virtual Private Networking (VPN)

 

 

수업 일자 : 2022/05/09

Intrusion Detection System (침입 탐지 시스템)

• 침입
  • 대상의 보안(기밀성, 무결성, 컴퓨팅/네트워킹 리소스의 가용성)을 손상시키는 것을 목표로 하는 작업
• 침입 탐지
• 침입 예방

IDS Components 

IDS 관리자는 IDS 센서의 데이터를 컴파일 하여 침입이 발생했는지 여부를 확인한다.

-> 해당 결정은 가능한 침입을 정의하는 규칙 및 조건인 사이트 정책을 기반

IDS 관리자가 침입을 탐지하면 알람이 울린다.

 

Intrusions (침입)

IDS는 다음과 같은 위협을 탐지하도록 설계되었다.

1. masquerader(위장) : 합법적인 신원 및 자격 증명을 거짓으로 사용하는 공격자
2. Misfeasor(불법 행위자) : 권한이 없는 작업을 수행하는 합법적인 사용자 ex). 학생의 성적 수정
3. Clandestine user(비밀 사용자) : 감사 파일 또는 시스템 로그를 삭제하여 작업을 차단하거나 은폐하려는 사용자

또한, IDS는 다음 공격을 탐지하도록 설계되었다.

1. Port scans : 호스트에서 TCP 연결을 위해 열려 있는 포트를 확인하기 위한 정보 수집
2. Denial-of-service attacks (서비스 거부 공격) : 호스트를 overwhelm하고 합법적인 액세스를 차단한다.
3. Malware attacks (멀웨어 공격) : 트로이 목마, 웜, 바이러스 등과 같은 악성 소프트웨어 공격을 복제한다.
4. ARP 스푸핑 : 로컬 영역 네트워크에서 IP 트래픽을 리디렉션하려는 시도
5. DNS 캐시 중동 : 위조된 Domain-name/IP-address 연결을 생성하기 위해 호스트의 DNS 캐시를 변경하는 공격

Possible Alarm Outcomes (가능한 알람 결과)

• 알람은 소리(Positive) 또는 소리(Negative)로 울릴 수 있다.

The Base-Rate Fallacy (기준 비율 오류)

• 높은 True-positive(참-양성률)과 낮은 false-negative(거짓-음성률)을 모두 가지는 침입 감지 시스템을 만드는 것은 어렵다.
• 분석 대상 데이터의 양 > 실제 침입 횟수 , 침입 탐지 시스템의 효과를 떨어뜨리게 된다.
• 특히, 일부 IDS의 뛰어난 효과가 기준 속도 오류라고 알려진 통계 오류로 인해 잘못 해석될 수 있다.
• 이러한 유형의 오류는 "기준 비율"을 고려하지 않고 평가될 때 발생한다.

...