네트워크 보안 조치는 저장되거나 전송되는 데이터, 음성 및 비디오를 보호하기 위해 네트워크에 추가되는 방화벽 및 IPS(침입 방지 시스템)와 같은 도구 및 기술입니다.
네트워크 보안 조치는 기밀성, 무결성 및 가용성을 보호하기 위해 네트워크에 추가하는 보안 제어입니다. 이러한 제어 기술은 계속 발전하고 있으며 쉽게 사용할 수 있는 기본 지식이 많이 있습니다. 공격자를 네트워크에서 차단하려면 노력이 필요합니다. 방화벽, 프록시 및 게이트웨이는 이를 위한 수단입니다.
이러한 솔루션이 공격자를 네트워크에서 절대적으로 차단할 것이라고 가정하는 것은 위험합니다. 해커는 결국 방법을 찾습니다. 잘 알려진 해커인 Kevin Mitnick은 네트워크 보안 테스트를 위해 여러 회사에서 자신을 고용했는데 참여한 침투 테스트에서 100% 성공했다고 주장합니다.
하지만 방법은 있습니다. 보안을 위해서는 해커보다 앞서 나가는 지속적인 노력이 필요합니다. 해커가 침입했을 때를 대비한 사고 대응 계획과 팀을 구성하는 것도 중요합니다.
방화벽은 트래픽 통과를 차단하거나 허용합니다. 방화벽을 통과할 수 있는 트래픽은 비즈니스에 필요한 트래픽 유형에 따라 해당 구성에서 지정됩니다. 방화벽의 가장 중요한 보안 모범 사례는 기본적으로 모든 트래픽을 차단하는 것입니다. 그런 다음 알려진 서비스에 대한 특정 트래픽만 허용하도록 구성해야 합니다. 방화벽 구성은 매우 중요하므로 관리자의 지식이 매우 중요합니다.
방화벽은 ISO OSI(국제 표준 기구 오픈 시스템 인터커넥트) 모델 내에서 서로 다른 계층에서 작동합니다. 일반적으로 방화벽이라고 하는 것은 2~5계층에 존재합니다. 방화벽이 7계층에 있는 경우 이를 프록시 또는 게이트웨이라고도 합니다. 단, WAF(웹 애플리케이션 방화벽)는 방화벽이라는 단어를 사용하며 7계층에 있습니다. 방화벽은 OSI 모델의 계층에서 발견된 정보를 분석합니다.
다음은 방화벽이 서로 다른 계층에서 작동하는 몇 가지 예입니다.
방화벽은 때로 정책이라는 규칙 목록으로 구성됩니다. 방화벽은 트래픽이 방화벽에 도착하면 이 규칙 목록을 사용하여 트래픽을 어떻게 할지 결정합니다. 규칙은 Top-down 방식입니다.
방화벽은 방금 수신한 프레임 또는 패킷을 목록의 첫 번째 규칙과 비교합니다. 이 규칙이 해당 규칙의 트래픽 유형과 일치하면 해당 규칙에 대한 지침을 따릅니다. 규칙에 따라 트래픽이 통과할 수 있기도 하고 트래픽이 차단되어 삭제될 수도 있습니다.
프레임 또는 패킷이 첫 번째 규칙과 일치하지 않으면 방화벽은 이를 두 번째 규칙과 비교합니다. 트래픽이 명시적으로 정의된 규칙 중 하나와 일치하지 않으면 방화벽은 트래픽을 삭제해야 하는 최종 규칙을 따릅니다.
프록시 방화벽은 OSI 모델의 7계층에 있습니다. 프록시는 트래픽을 수신할 때 계층을 통해 프레임 또는 패킷을 처리합니다. 예를 들어, 프레임이 2계층에서 벗겨지는 경우 패킷 헤더는 3계층에서 제거되며 7계층에 데이터가 존재할 때까지 제거됩니다.
전송 계층 보안(TLS) 연결은 4계층에서 종료되고 데이터는 해당 시점부터 프록시 내의 일반 텍스트로 유지됩니다. 그런 다음 프록시는 전송되는 데이터를 분석합니다. 이러한 데이터는 암호화로 인해 하위 수준에서는 불가능했을 것입니다. 이를 통해 장치는 표준 방화벽보다 훨씬 더 많은 데이터를 분석할 수 있습니다. 일반적으로 방화벽보다 처리 시간이 더 걸리지만 사용자 트래픽을 더 효과적으로 제어할 수 있습니다.
게이트웨이라는 용어는 대화하는 사람에 따라 다른 의미를 가집니다. 게이트웨이는 전통적으로 두 네트워크 사이에 있는 하드웨어의 일부였습니다. 오늘날에는 평균적으로 게이트웨이에 방화벽 요소가 포함되어 있습니다. 예를 들어 마이크로소프트 Azure의 게이트웨이에는 WAF가 내장되어 있습니다. 이제 게이트웨이가 방화벽의 한 종류라는 것은 의심의 여지가 없습니다.
다음 문제는 침입 탐지 시스템(IDS)을 사용하여 네트워크 침입을 탐지하는 것입니다. 이 장치들은 수동적입니다. 네트워크 트래픽이 지나가는 것을 지켜보고 의심스러운 트래픽을 기록합니다. IDS는 네트워크 또는 최종 장치에 있을 수 있습니다. 위치에 따라 NIDS(네트워크 기반 IDS) 또는 HIDS(호스트 기반 IDS)라고 합니다.
NIDS는 일반적으로 스위치의 탭 또는 스팬 포트에 연결됩니다. 즉, 트래픽이 전달되고 복사본이 분석을 위해 NIDS의 스팬 포트로 전달됩니다. HIDS인 경우 노트북, 태블릿, 서버 등에 상주합니다. 대부분의 HIDS는 활성 트래픽을 분석하지 않고 대신 사후 트래픽 로그를 분석합니다.
어느 시점에 제조사들은 이 장치들을 한 단계 업그레이드 하였습니다. 공격을 탐지할 수 있다면 장치에 의심스러운 프레임이나 패킷을 단순히 보고 끝나는 게 아니라 폐기하는 것이 좋을 것입니다. 이것이 IPS(Intrusion Prevention Systems)가 개발된 이유입니다. IPS는 NIPS(네트워크 기반)일 수도 있고 HIPS(호스트 기반)일 수도 있습니다.
이것은 획기적인 아이디어이지만 부정적인 면도 존재합니다. IPS는 무엇이 양호한 트래픽인지 알아야 합니다. 이는 서명 파일을 토대로 알아내거나 학습을 통해 알 수 있습니다.
다음으로 해결해야 할 문제는 전송되는 데이터, 음성 또는 비디오를 보호하는 방법입니다. 여기에는 기업 또는 홈 내부 네트워크와 외부 네트워크(예: 인터넷 또는 서비스 공급자의 네트워크)도 포함됩니다.
암호화는 키 없이는 데이터를 읽을 수 없게 함으로써 이러한 문제를 해결합니다. 전송 중인 데이터의 경우 몇 가지 암호화 옵션이 있습니다. 예를 들면 다음과 같습니다.
SSL/TLS는 브라우저 기반 연결을 보호하기 위해 1995년부터 사용되고 있습니다. Netscape가 SSL을 발명했습니다. 2.0 및 3.0 버전은 IETF(Internet Engineering Task Force)가 이를 채택하고 이름을 변경하기 전까지 사용되었습니다. America Online(AOL)이 Netscape를 인수한 1999년에 이름이 변경되었습니다. 이제 TLS 1.3(RFC 8446)이 최신 버전입니다. TLS는 브라우저 기반 연결에만 사용되는 것은 아닙니다. 사용자 VPN 연결이 사무실에 연결하는 데에도 사용됩니다.
SSL/TLS는 브라우저 연결에 적용될 때 TCP 포트 443을 사용하는 전송 계층 프로토콜입니다.
SSH는 원격 로그인 기능에 가장 일반적으로 사용되는 암호화 방법입니다. 네트워크 관리자는 SSH를 사용하여 라우터 및 스위치와 같은 네트워크 장치를 원격으로 로그인하고 관리합니다. VPN 연결에도 사용할 수 있지만 일반적으로 암호화되지 않은 7계층 원격 로그인 프로토콜인 Telnet을 대체하는 것으로 생각됩니다. SSH는 IETF RFC 4253에 지정되어 있습니다. TCP 포트 22를 사용합니다.
IPsec은 암호화 및 무결성 검사 기능을 제공하는 네트워크 계층 프로토콜입니다. IPsec으로 간주되는 항목의 다양한 IETF RFC 문서가 있습니다. RFC 6071은 이러한 문서가 서로 어떻게 관련되어 있는지 보여주는 로드맵을 제공합니다.
IPsec은 인증 헤더(AH)와 캡슐화 보안 페이로드(ESP)의 두 가지 보안 프로토콜을 제공합니다.
지적 재산권(IP) 보호가 계속해서 우려되고 있습니다. IP에는 매뉴얼, 프로세스, 설계 문서, 연구 개발 데이터 등이 포함됩니다. 두 가지 주요 문제가 있을 수 있습니다. 첫 번째는 기밀 정보를 포함된 상태로 유지하는 것이고 두 번째는 정보를 보고 싶은 사람만 볼 수 있도록 하는 것입니다. 데이터 분류 및 액세스 제어는 액세스를 적절하게 제어하는데 사용되는 두 가지방법입니다.
비즈니스에서 부적절하게 유출되는 데이터에 대한 우려는 데이터 유출 방지(DLP) 기술로 제어할 수 있습니다. 이메일이나 파일 전송과 같은 데이터 흐름에서 민감한 정보를 감시합니다.
DLP 소프트웨어는 신용카드 번호와 같은 민감한 정보를 발견하면 전송을 차단하거나 중지합니다. 더 적절한 조치는 암호화일 수 있습니다. 문제는 비즈니스에서 제어하기를 원하는 것과 DLP 소프트웨어가 해당 데이터를 탐지할 때 네트워크가 어떻게 반응하기를 원하는가입니다.
DRM은 기술을 사용하여 IP에 대한 액세스를 제어합니다. Kindle, iTunes, Spotify, Netflix 또는 Amazon Prime Video를 사용한 적이 있다면 DRM 소프트웨어를 사용한 것입니다. 이 소프트웨어를 사용하면 공급업체로부터 구입한 비디오를 보거나, 책을 읽거나, 음악을 들을 수 있습니다. 고객이 강의를 구입하면 Cisco에서 강의 매뉴얼에 대한 액세스를 제어하는 비즈니스 사례가 있습니다.
Jiblin과 LockLizard는 콘텐츠 배포를 제어하는 데 사용할 수 있는 다른 DRM 기술의 예입니다. DRM 기술은 콘텐츠 사용 시간, 인쇄 시간, 공유 시간 등에 대한 액세스 제어를 사용합니다. 매개 변수는 IP 소유자의 요구에 따라 결정됩니다.
기업이 취할 수 있는 가장 중요한 보안 조치로는 보안 문제 감지 및 수정이 있을 수 있습니다. 이를 위한 첫걸음이 바로 로깅입니다. 네트워크에 연결되거나 네트워크에 연결된 거의 모든 시스템은 로그를 생성해야 합니다.
기업은 무엇을 정확히 기록할지 결정해야 합니다. 여기에는 로그인 시도, 트래픽 흐름, 패킷, 수행된 작업 또는 사용자가 수행하는 모든 키 입력이 포함될 수 있습니다. 기록할 내용은 비즈니스의 리스크 요구 사항, 자산의 민감도 및 시스템의 취약점에 따라 결정해야 합니다.
다음과 같은 모든 시스템은 로그를 생성해야 합니다.
네트워크상의 시스템
네트워크에 연결된 시스템
그 결과 엄청난 수의 기록된 이벤트가 발생합니다. 이 모든 데이터를 이해하려면 로그를 syslog 서버와 같은 중앙 위치로 보내야 합니다. 이러한 로그는 감사용 기록(audit trail)이라고도 합니다. 로그가 syslog 서버에 있으면 SIEM(보안 정보 이벤트 관리자)이 이를 분석합니다.
SIEM은 모든 시스템의 로그를 분석하고 이벤트를 연관시키는 도구입니다. 이 도구가 침해 지표(IOC)를 찾습니다. IOC가 항상 실제 사건의 증거로 해석되는 것은 아니므로 사람이 분석해야 합니다. 이 지점이 바로 SOC(보안 운영 센터)와 IRT(사고 대응 팀)에서 취해야 할 다음 조치를 결정해야 하는 지점입니다.