침입차단시스템

#침입차단시스템  Intrusion Prevention Systems (IPS)

외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 소프트웨어 또는 하드웨어이다. 

일반적으로 내부 네트워크로 들어오는 모든 패킷이 지나가는 경로에 설치되며, 호스트의 IP주소, TCP/UDP의 포트번호, 사용자 인증에 기반을 두고 외부 침입을 차단하는 역할을 한다. 

#스크리닝 라우터(Screening Router)

- 내/외부 네트워크를 스크리닝 라우터(방화벽을 라우터에 탑재)로 연결

- 스크리닝 라우터로 연결에 대한 요청이 입력되면 IP, TCP/UDP의 패킷 헤더를 분석

- 출발/목적지의 주소, 포트 등을 분석하고, 패킷 필터 규칙에 적용하여 계속 진입시킬 것인지 판별

- 연결 요청이 허가되면 이후 모든 패킷은 연결 단절이 발생할 때까지 모두 허용

장점 : 속도가 빠름, 비용 절감, 네트워크 방어 범위가 넓음

단점 : 패킷 필터링 규칙 구성 어려움, 패킷내의 데이터 공격 차단 어려움, 기록을 관리하기 힘듬

#베스천(요새) 호스트 방식(Bastion Host)

- 방화벽 시스템을 탑재한 호스트로 내/외부 네트워크 연결

- 보호된 네트워크에서 유일하게 외부의 공격에 노출된 시스템 구조, 즉 내/외부 네트워크 사이의 게이트웨이 역할 담당

- 기능 : 인증기법, 접근통제, 로그기록, 모니터링 기능 제공

장점 : 지능적으로 정보분석

단점 : 베스천 호스트 자체 보안 취약성 존재, 관리자에 의한 정기적인 점검, 감시 필요

#듀얼 홈드 게이트웨이(Dual-Homed Gateway)

- 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며,  다른 하나의 네트워크 인터페이스는 내부네트워크에 연결되는 Bastion 호스트

- 내외부용 2개의 네트워크 카드를 내장한 Bastion Host를 이용하여 연결

- 스크리닝 라우팅 방식과는 달리 라우팅 기능은 존재하지 않음

- 외부 네트워크에서 내부 네트워크로 진입하기 위해서는 Dual-Homed 게이트웨이를 통과하며 허용된 패킷만을 통과시킴

장점 : 보안성 강화, 기록 생성 및 관리 쉬움, 설치 및 유지보수 쉬움

단점 : 제공되는 서비스가 증가할 수록 가격 상승, 로그인 정보 누출 시 네트워크 보호 힘듬

#스크린드 호스트 게이트웨이(Screened Host Gateway)

- Dual-Homed 게이트웨이와 스크리닝 라우터를 혼합하여 사용한 방화벽 시스템

- 인터넷과 같은 외부 네트워크로부터 내부 네트워크로 들어오는 패킷 트래픽을 스크리닝 라우터에서  패킷 필터 규칙에 의해 1차로 방어

- 스크리닝 라우터를 통과한 트래픽은 Bastion 호스트에서 2차로 필터링 점검

장점 : 2단계 보안점검 기능, NW 계층과 응용계층에서 방어(공격에 효과적)

단점 : 구축 비용 많음, 해커에 의한 스크리닝 라우터의 라우팅 테이블 변경 가능

#스크린드 서브넷 게이트웨이(Screened Subnet Gateway)

- Screening Router를 Bastion Host 중심으로 연결하는 방화벽 구조

- 스크리닝 라우터들 사이에 응용 게이트웨이가 위치하는 구조를 가짐

- 인터넷과 내부 네트워크 사이에 Screened Subnet이라는 완충 지역 개념의 서브넷을 운용

- Screened Subnet에 설치된 Bastion 호스트는 Proxy 서버(응용 게이트웨이)를 이용하여 명확히 진입이 허용되지 않는 모든 트래픽을 거절하는 기능을 수행

  

장점 : 강력한 보안 기능, 스크린 호스트 게이트웨이 방식의 장점 계승, 다단계 방어로 매우 안전

단점 : 구축 소요 비용이 많음, 서비스 속도가 느림(지연)