보안 용어 이해하기 - 방화벽 (F/W , IDS , IPS , UTM, VPN )

1.  Firewall 이란?

방화벽은 인터넷과 특정 조직의 개별 네트워크 사이의 정보 흐름을 관리하는 하드웨어/소프트웨어 체제이다.방화벽은 인증되지 않은 인터넷 사용자가 인터넷, 특히 인트라넷에 연결된 사설 네트워크에 접근하는 것을 방지할 수 있으며, 인터넷으로부터 유입되는 바이러스의 공격도 차단할 수 있다.방화벽은 또한 부서 간의 데이터 교환을 제어하기 위해 지역 네트워크의 두 개 이상의 부분을 분리하기 위해 사용될 수도 있다. 방화벽의 구성 요소는 필터와 스크린이 있는데 이들은 각기 특정 범위의 트래픽 전송을 제어한다.방화벽은 사설 정보 보호를 위한 첫 방어선을 제공하지만, 포괄적인 보안 시스템은 암호화와 내용 필터링, 침입 탐지 등과 같은 다른 보완 서비스와 방화벽을 조합한다.방화벽은 인터넷과 같은 외부 통신 체제로부터 기업의 네트워크를 보호해주는 매카니즘이다.방화벽은 대개 PC와 두 개의 네트워크 인터페이스 카드(NIC)가 있으며, 특수한 방화벽 프로그램을 수행하는 Unix 컴퓨터로 구성된다. 한 개의 네트워크 카드는 회사의 사설 LAN에 연결되며, 다른 하나는 인터넷에 연결된다. 이 컴퓨터는 두 네트워크 사이를 통과하는 모든 정보가 거쳐야만 하는 방어벽과 같은 역할을 한다.방화벽 소프트웨어는 두 네트워크 사이를 통과하는 각각의 정보 패킷을 분석하여 미리 구성된 규칙에 맞지 않는 패킷이 있으면 이를 거부한다.

2.  IDS 란?

자체적으로 내장된 각종 해킹수법을 기반으로 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 보안솔루션. 네트워크 기반(NIDS)과 호스트기반(HIDS)
으로 구분되나, 국내에서는 일반적으로 NIDS를 IDS라 칭함.

- 수동적 IDS(Passvie IDS)  :  침입자가 있다는 것을 메신저나 메일을 통해 알리는 방식
  능동적 IDS( Active IDS) : 침입자가 세션을 강제로 종료하고 이후 접속하지 못하도록 차단 하는 방식으로 방화벽과 함께 동작.

3. IPS 란?

자체적으로 내장된 각종 해킹수법을 기반으로 비정상적인 트래픽에 대해 능동적으로 해당 트래픽을 차단, 격리 등 방어조치를 취하는 보안 솔루션.
능동형 보안솔루션이라고도 불리는 IPS는 인터넷 웜, 악성코드 및 해킹등에 기인한 유해트래픽을 차단하는 네트워크 보안 기술 중 예방적 차원의 시스템에 해당한다.
악의적인 공격에 대한 공격탐지를 하고 설정해 놓은 규칙에 기반한 즉각적인 대응이 가능한 시스템이라고 할 수 있다.
전송된 특정 패킷을 점검하여 부적절한 패킷이라 판단되면 해당 포트 및 IP에 대한 연결을 봉쇄하고 적절한 패킷에 대해서는 지연없이 바로 전달한다.
탐지 기법으로는 주소 대조, HTTP 스트링과 서브스트링 대조, 일반 패턴 대조, TCP 접속 분석, 변칙적인 패킷 탐지, 비정상적인 트래픽 탐지 및 TCP/UDP 포트 대조 등이 있다.

HIPS ( Host-based Intrusion Prevention System/ 호스트 기반 IPS)
개별 단말(PC, 서버 등)상에 존재하는 침입 탐지 애플리케이션으로 전통적인 시그니처 기반의 백신에 휴리스틱 기반의 탐지기능이 들어가 있다. 주기적인 엔진 업데이트 없이도 신규 악성코드에 대처하는 것을 목표로 한다. 단점으로는 어떤 의심행위가 수행되려고 할 때 마다 알림창이 나타나기 때문에 조금 번거로울 수 있다.

NIPS( Network-based IPS / 네트워크 기반 침입방지시스템)
원하지 않는 트래픽을 막기 위해 패킷레벨에서 탐지및 방지 사용, 공격 세션으로 부터 원하지 않는 패킷들만 탈락기능 단점으로는 효과적인 보안업데이트에 의존해야 한다.

4. VPN 란?

VPN은 Virtual Private Network(가상사설망)란 의미 그대로 공중 데이터 통신망을 사용자가 마치 자신이 구축한 개인 통신망과 같이 직접 운용, 관리할 수 있게한 네트워크 아키텍처를 말한다. 이같은 특징으로 사용자들은 공중 통신망을 회사의 전용회선처럼 이용할 수 있게 된다. 이처럼 전용회선 비용보다 훨씬 저렴한 비용으로 원거리 통신망을 가능하게 하기에 점차 이용이 늘고 있다.

그러나 VPN은 개방된 망을 사용하기 때문 보안을 위해 파이어월이나 인증, 암호화 장비 등의 별도의 장치를 설치해야 안전하게 이용할 수 있는 단점이 있다. 그래서 최근 VPN의 보안에 IKE(인터넷 키 교환)과 IPSec(인터넷 프로토콜 보안) 방식이 이용되고 있다.
VPN의 보안에 있어 암호화는 VPN의 한 지점에서 인터넷을 거쳐 다른 지점(다른 네트워크 또는 독립형 PC가 될 수 있음)까지의 프라이버시를 유지하는데 사용된다.

데이터에 허용되는 보호 수준은 다음 사항에 달려 있다.
- 사용되는 암호 알고리즘 - 사용되는 암호 키의 길이 - 암호 키가 변경되는 빈도

단순한 VPN은 두 컴퓨터 사이의 '가상 터널'이다. 이 컴퓨터 사이의 모든 네트워크 트래픽은 이 가상 터널을 통과한다. 네트워크 레이어에서 암호화가 이루어지기 때문에 네트워크 스택에서 VPN을 지원해야 한다.

터널이 처음 만들어지면 두 컴퓨터는 상대 컴퓨터를 상호 인증해야 한다. 인증 후 두 컴퓨터는 어떤 암호화 알고리즘을 사용할 것인지, 암호화 알고리즘과 함께 사용할 기밀 사항이 무엇인지, 어떤 데이터 무결성 알고리즘을 사용할 것인지, 어떤 네트워크 트래픽이 터널을 통과할 것인지 등을 협의한다. 협의가 성공적으로 완료되면 두 컴퓨터 사이의 네트워크 트래픽이 구축된 VPN을 통해 흐른다.

5. UTM 이란?

UTM(Unified Threat Management)는 네트워크의 단일 장치 또는 서비스에서 다양한 보안 기능 및 서비스를 제공하여 간편한 방식으로 보안 위협으로부터 사용자를 보호합니다.
포함기능 은 바이러스 차단, 안티스스페이스, 컨텐츠 필터링, 웹 필터링과 같은 기능이다.
UTM(Unified Threat Management) Deep Packet Inspection을 사용하여 수신 데이터를 검사하여 바이러스, 악성 코드 또는 악성 첨부 파일로부터 네트워크를 보호하고 강화된 웹 필터링을 설치하여 원치 않는 웹사이트에 대한 액세스를 차단한다.

참조- https://www.juniper.net/documentation/kr/ko/software/junos/utm/topics/topic-map/security-utm-overview.html

참조 -보안1번지-https://boan1st.com/UTM/

참조 - https://m.ahnlab.com/kr/site/securityinfo/dictionary/dictionaryList.do? 

AhnLab | 보안 용어사전

이해를 돕기 위해서 외부에서 캡처해 왔다.