수험서의 '최신 네트워크 보안기술' 파트를 정리합니다! 사실상 최신은 아닙니다..
보안 최신 동향은 저는 보안뉴스를 주로 봅니다! 아래 링크 참조
보안뉴스
국내 최대 보안 언론/커뮤니티-보안뉴스
m.boannews.com
역추적(traceback)
역추적이란 해킹을 시도하는 해커의 실제 위치를 실시간을 추적하는 기술을 말한다.
TCP 연결 역추적은 TCP 연결을 기반으로 우회 공격을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기법으로 호스트 기반 연결 역추적 기술과 네트워크 기반 연결 역추적 기술로 분류한다.
IP 패킷 역추적 기술은 IP 주소가 변경된 패킷의 실제 송신지를 추적하기 위한 기술이다.
ESM(Enterprise Security Management)
ESM은 기업과 기관의 보안 정책을 반영하고 다양한 보안 시스템을 관제·운영·관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템이다.
각종 네트워크 보안제품의 인터페이스를 표준화하여 중앙 통합 관리, 침입 종합대응 통합 모니터링이 가능한 지능형 보안 관리 시스템이다.
통합보안관제를 위해 구축된 다양한 보안 솔루션/장비(방화벽, 웹방화벽, 침입탐지/방지시스템, VPN 등)에서 발생하는 로그, 보안 이벤트를 취합하고 이들 간에 상호 연관 분석을 함으로써 실시간 보안위협을 파악하고 대응하는 역할을 수행한다.
- 구성요소
| 분류 | 구성요소 | 설명 |
| ESM 클라이언트 |
에이전트 | 방화벽, IDS 등의 개별 보안 장비에 탑재되어 운영 ESM 서버의 매니저로부터 통제를 받아 이벤트 처리와 개별 보안 장비의 통제를 수행 이벤트 발생 시 이벤트 정보와 로그 정보를 수집하여 ESM 매니저에게 전달 ESM 매니저로부터 각종 보안 정책 적용 및 개별 보안 솔루션의 기능 수행을 명령 받음 |
| ESM 서버 | ESM 매니저 | 통합 보안 정책의 생성, 적용 관리 에이전트로부터 수집된 이벤트 정보와 로그 정보를 저장·분석하고 관리자에게 보고 ESM 콘솔을 통한 관리자의 개별 보안장비 통제명령을 각 에이전트로 전달하여 통합 보안 통제를 지원 |
| ESM 콘솔 | 개별 에이전트에서 이벤트 로그 모니터링 ESM 매니저에서 분석한 위험 및 해킹 분석 결과 확인 ESM 개별 에이전트에 해킹 차단 등의 보안 운영 통제 명령 전달 보안 정책 관리 및 배포 |
|
| ESM 데이터 매니지먼트 |
ESM Event Log Repository |
개별 에이전트가 수집한 각종 이벤트 정보 및 이벤트 로그를 수집하여 저장하는 로그 DB |
| ESM Policy Repository |
조직의 보안 정책을 통합 관리하기 위한 통합 보안 정책 데이터베이스 패킷 필터링 시그너처, 차단 IP/포트, 인증정책 등 다양한 보안관리 정책을 통합관리 및 배포 |
+ 통합보안시스템(UTM, Unified Threat Management)
통합보안시스템은 방화벽, 침입탐지/방지시스템(IDS/IPS), 가상사설망(VPN), 안티바이러스, 웹/이메일 필터링 등 다양한 보안 기능을 하나의 장비로 통합하여 제공하는 보안 솔루션이다.
단일 장비로 다양한 보안 기능을 수행하므로 경제성과 보안 관리 및 운영을 편리하게 할 수 있는 장점이 있지만 장애 발생 시 모든 보안기능에 영향을 미치는 단점이 있다.
NAC(Network Access Control)
네트워크에 접근하는 접속 단말의 보안성을 검증하여 보안성을 강제화하고 접속을 통제할 수 있는 보안 인프라이다.
사용 단말이 내부 네트워크에 접근하기 전에 보안 정책을 준수했는지 여부를 검사해 네트워크 접속을 통제하는 보안 솔루션이다.
- 주요 기능
| 분류 | 주요 기능 |
| 접근 제어/인증 | 내부 직원 역할 기반의 접근 제어 네트워크의 모든 IP 기반 장치 접근 제어 |
| PC 및 네트워크 장치 통제 (무결성 체크) |
백신 관리 패치 관리 자산 관리(비인가 시스템 자동 검출) |
| 해킹, 웜, 유해 트래픽 탐지 및 차단 |
유해 트래픽 탐지 및 차단 해킹 행위 차단 완벽한 증거 수집 능력 |
- NAC의 구성
NAC의 접근 제어 및 인증 기능은 일반적으로 IP 주소에 대응하는 MAC 주소를 기반으로 수행된다.
먼저 네트워크에 접속하려는 사용자는 네트워크 접속에 사용할 시스템의 MAC 주소를 IP 관리 시스템의 관리자에게 알려줘야 한다.
관리자가 해당 MAC 주소를 NAC에 등록하면 사용자는 비로소 해당 네트워크를 사용할 수 있는 권한을 가진다.
NAC은 등록된 MAC 주소만 네트워크에 접속할 수 있게 허용해주므로 라우터로 구분된 서브 네트워크마다 에이전트 시스템이 설치되어 있어야 한다.
SIEM(Security Information Event Management)
SIEM은 수많은 IT 시스템 및 보안 시스템에서 발생하는 로그를 분석하여 이상 징후를 파악하고, 그 결과를 경영진에게 보고할 수 있게 해주는 시스템이다.
- 기능
SIEM 솔루션은 실시간 위험 탐지 및 대응을 위해 이벤트 로그 데이터를 실시간으로 수집하고 분석하는 기능을 가지고 있으며, 침해 공격 로그에 대한 포렌식과 컴플라이언스 또는 법적 조사를 위해 해당 데이터의 신속한 검색 및 리포팅 기능도 제공하고 있다.
대부분의 솔루션은 과도한 데이터 분석으로 인한 성능 저하 문제를 해결하기 위해 원본 이벤트 정보를 분석하기보다는 데이터 정규화 과정을 통해 데이터를 표준화하여 분석을 수행한다.
패치관리시스템(PMS)
패치관리시스템은 시스템이 관리하는 PC에 소프트웨어 업데이트 설치와 운영체제 패치 등을 유도하는 기업용 솔루션이다. 보안 패치와 소프트웨어 업데이트는 최상의 보안을 위한 필수사항이기 때문에 개인에게만 맡겨두는 대신 PMS를 통해 중앙에서 강제로 설치하는 것이다.
- PMS 구조
일반적으로 PMS는 PMS 서버, PMS 에이전트, 관리용 콘솔로 구성된다.
PMS 서버 : 패치를 배포하고 기업 보안 정책에 따라 이를 위반한 사용자 PC를 인식하고 이들에게 강제적으로 정책에 맞는 보안을 적용하는 역할을 수행한다.
PMS 에이전트 : 서버로부터의 패치를 적용하고 사용자 PC의 상태를 점검해서 보안 정책 위반 여부 정보를 서버에 제공하는 역할을 수행한다.
