보안 장비
Last updated
Last updated
데이터 센터에서는 보안 장비를 디자인할 때 DDoS - 방화벽 - IPS - WAF 형태와 같이 여러 단계로 공격을 막도록 인라인 상에 여러 장비를 배치한다.
DoS 공격이란 Denial of Service, 즉 다양한 방법으로 공격 목표에 서비스 부하를 가해 정상적인 서비스를 방해하는 기법이다. 공격 출발지로부터 공격을 하므로 탐지가 쉽고, 탐지를 하기만 한다면 IP 주소 기반으로 방어가 가능하다.
DDoS 공격이란 탐지를 회피하고 더 짧은 시간 안에 공격 성과를 내기 위해 다수의 봇(bot)을 이용해 분산 공격을 수행하는 기법이다.
초기 DDoS 공격은 시스템이나 네트워크 장비의 취약점을 타겟으로 했지만, 점차 인프라 기반 서비스 제공 영역까지 확대되었다. 이후에도 다양한 DDoS 공격 형태가 생겨났다.
DDoS 방어 장비는 Volumetric, Protocol 공격을 방어하는 것이 목표이다.
회선 사용량 이상의 쓸모없는 트래픽을 과하게 발생시켜 정상적인 트래픽이 회선 사용하는 것을 방해한다.
보통 미리 악성 코드로 감염시켜둔 좀비 PC를 많이 확보해 특정 시간에 특정 타깃을 공격하는 형태가 주로 발생한다.
증폭 공격이란 좀비 PC를 충분히 확보하지 못하거나 강력한 DDoS 공격을 위해 수백 Gbps ~ 1Tbps 이상의 높은 대역폭 공격을 하기 위해 수행된다. 공격자가 중간 리플렉터에 패킷을 보내면 타겟 네트워크로 수십~수백 배의 공격 트래픽이 발생하게 된다.
증폭 공격의 경우 DDoS 장비 하나로 방어가 불가능하므로 ISP나 Cloud DDoS 솔루션을 이용해 서비스 네트워크로 트래픽이 도달하지 못하도록 조치해야 한다.
클라우드 기반 서비스 사용 시 실제 서비스 네트워크가 가려지므로 별도 보안 장비 없이도 DDoS 공격을 방어할 수 있다.
ex) NTP 증폭, DNS 증폭, UDP Flood, TCP Flood
3, 4계층 프로토콜 스택의 취약점을 악용해 공격 대상 장비의 CPU, 메모리 자원을 고갈시켜 정상적인 서비스가 불가능하도록 한다.
ex) Syn Flood, Ping of Death
7계층 프로토콜 스택의 약점, 즉 애플리케이션 취약점을 공격한다.
가장 정교한 공격이며 식별 및 완화에 까다롭다.
타겟과 연결을 설정한 후 프로세스와 트랜잭션을 독점해 서버 자원을 소모시킨다.
ex) HTTP Flood, DNS 서비스 공격, Slowloris
Volumetric 공격을 막기 위해, 트래픽 프로파일링 기법을 주로 이용하며 데이터 센터 네트워크 내부와 외부의 경계에서 공격을 방어한다.
회선을 공급해주는 ISP나 네트워크 ISP와 연결되는 데이터 센터 네트워크의 가장 바깥쪽에 배치된다.
탐지와 방어를 한 장비에서 수행하는 인라인 방식과 서로 다른 장비에서 수행하는 아웃 오브 패스 방식이 존재한다.
프로파일링 기법은 평소 데이터 흐름을 습득해 일반적인 대역폭, 세션량, 초기 접속량, 프로토콜별 사용량 등을 저장해두고, 데이터와 일치하지 않는 과도한 트래픽이 인입되면 알림을 발생시키고 차단한다.
IP 평판 데이터베이스 기반으로 DDoS 공격으로 사용된 IP는 차단하는 등의 방법을 사용할 수도 있다.
일반적으로 3, 4계층에서 동작하는 패킷 필터링 장비이다.
DDoS 방어 장비 바로 뒤에 배치한다.
네트워크 중간에 위치해 해당 장비를 통과하는 트래픽을 사전에 정의된 정책에 부합하는지 확인하여 허용/차단한다.
ASIC이나 FPGA와 같은 전용 칩을 이용해 가속하므로 대용량을 요구하는 데이터 센터에서도 문제없이 사용할 수 있다.
초기에 사용되던 패킷 필터링 방화벽에는 상태 기반 엔진이 없어 패킷의 인과 관계를 확인하지 못하고 단순히 패킷을 필터링하여 인터넷과 같이 불특정 다수와 통신할 때에는 정책 관리가 복잡해지고 보안이 약화되는 문제가 있었다.
예를 들어 3 way handshake를 거친 후 통신을 해야 하는 상황일 때
목적지가 불특정 다수 웹이 될 수 있으므로 외부로 나가는 목적지에 대해 모든 패킷을 허용해야 한다.
외부에서 내부로 들어오는 응답에 대한 정책도 추가해야 하는데, 외부 웹사이트는 특정할 수 없으므로 출발지가 모든 IP이고 목적지 서비스 포트는 모든 포트가 되어야 한다.
이런 정책 설정은 방화벽이 있으나 마나 할 정도의 설정이다.
또한 방화벽은 세션을 알 수 없어 ACK이 왔을 때 이미 SYN-ACK을 보낸 상태에서 ACK을 받은 건지 알 수 없어 취약하다.
SPI 엔진은 패킷의 인과 관계와 방향성을 인지해 정책을 적용할 수 있어 내부 네트워크에서 인터넷으로 통신할 때 유용하게 사용된다.
내부에서 외부 인터넷으로 통신을 시도해 받은 응답과 내부로 직접 들어오려는 외부 패킷을 구분할 수 있다.
패킷의 3, 4계층 헤더 중 Source IP, Destination IP, Protocol No, Source Port, Destination Port 를 의미한다.
SPI 엔진을 가진 방화벽은 아래 방식대로 동작한다.
세션 테이블을 확인한다. 조건에 맞는 세션 정보가 테이블에 있으면 포워딩 테이블을 확인하러 간다. 세션 정보가 테이블에 없다면 방화벽 정책을 확인하러 간다.
방화벽 정책을 확인하여 패킷 차단 여부가 결정된다. 만약 허용 규칙이 있다면 내용을 세션 테이블에 저장하고, 없다면 암시적인 거부 규칙을 참고해 차단된다.
포워딩 테이블에서 라우팅, ARP 정보를 확인하여 조건에 맞는 정보가 포워딩 테이블에 있으면 적합한 인터페이스로 패킷을 포워딩하고, 없으면 패킷을 폐기한다.
OSI 3, 4계층의 세부적인 필드도 함께 확인하여 TCP 컨트롤 플래그에 따라 동작 방식이 변하거나 시퀀스와 ACK 번호가 갑자기 변경되는 것을 인지해 세션 탈취 공격을 일부 방어한다. (TCP Anti-Replay)
대부분의 방화벽은 통신 전체 세션을 로그로 저장할 수 있어 어떤 통신에 문제가 생겼는지 확인 가능하다.
서버 방화벽에 의해 네트워크 통신이 막히면 다음 현상이 발생한다.
서버를 구축하여 ping으로 통신이 되는지 확인하지만 응답을 받지 못하는 경우가 발생한다.
이 때 동일 네트워크의 다른 서버나 다른 네트워크와도 통신되지 않을 수 있다.
외부에서 들어오는 구간의 보안 장비에 의해 차단된 것인지 확인하기 위해 보안 장비의 로그를 봐도 보안 장비에서는 서비스 요청이 정상적으로 통과된 것으로 보인다.
운영체제에서 동작하는 서버의 방화벽은 최소한의 IP 주소와 서비스 포트만 열어둔 채 나머지는 차단하는 화이트리스트 기반 정책으로 관리된다.
데이터 센터 서버의 접근 제한 및 이력 관리를 위해 사용하는 서버 접근 통제 솔루션이나 데이터베이스 서버의 접근 및 세부 쿼리(Query)에 대한 제어를 위해 사용하는 데이터베이스 접근 통제 솔루션을 사용하는 경우 방화벽을 반드시 사용해야 한다.
운영 망에서는 서버 앞단에 방화벽이나 IPS, IDS 보안 장비가 운영되어 호스트 방화벽 자체를 내리기도 한다. 하지만 내부 보안 강화를 위해 기본 방화벽 룰을 운영하는 것이 최근 추세이다.
Application Layer Gateway
세션 방화벽은 세션의 방향성이 중요한 요소인데, FTP 프로토콜의 경우 컨트롤 프로토콜의 초기 접속 방향과 반대로 데이터 프로토콜이 동작하여 방화벽을 정상 통과할 수 없다.
이외에도 세션 방화벽 이전에 등장했던 고대 프로토콜은 통신 중간에 방화벽이 있을 때 정상적으로 통신할 수 없는 경우가 있다.
이를 해결하기 위해 방화벽에서 애플리케이션 프로토콜을 확인하고 필요에 따라 세션을 인지해 포트를 자동으로 열어주는 기능을 제공한다.
모든 프로토콜에 맞추어 개발될 수는 없으므로 ALG가 프로토콜이 방화벽을 통과하지 못하는 문제의 완벽한 해결책은 아니다.
대부분 최신 애플리케이션이 방화벽이나 NAT을 고려해 개발되고 있고 STUN, 홀 펀칭 기술들이 발전하여 ALG 기능을 사용하지 않는 추세이다.
New Generation Firewall, Unified Threat Management Firewall
방화벽을 애플리케이션 영역까지 확장한 보안 장비
NGFW는 다양한 보안 장비의 기능이 논리적으로 통합되어 있고, UTM은 물리적인 여러 가지 엔진을 통합해 함께 동작하는 방식이다.
Network Function Virtualization
네트워크 컴포넌트를 가상화해 범용 하드웨어에 적용하는 것을 의미한다.
범용 x86 기반의 하드웨어에 가상화 서버 형태로 라우터, 방화벽, L4 스위치와 같은 장비를 탑재한다.
전용 칩셋으로 성능을 높일 수는 없지만 서비스 체이닝 기술을 이용해 새로운 서비스를 손쉽게 추가, 삭제, 적용할 수 있다.
DPDK, SR-IOV와 같은 I/O 가속 기술들이 적용되면서 대형 사업자를 중심으로 실제 환경에 속속 적용되고 있지만 전용 어플라이언스(Appliance) 장비와 비교해 성능이나 기능 면에서 아직 한계가 있다.
애플리케이션 공격을 방어한다.
IDS와 IPS는 트래픽을 적극적으로 차단하는지 침입 여부만 판별하는지와 적극적으로 회피 공격을 차단하기 위한 세션 이해 여부, Anomaly로 능동적 방어를 하는지 등으로 구분된다.
데이터 센터 영역의 보안을 위해 방화벽과 IPS 장비를 통합한 DCSG 장비 시장이 커지고 있다.
Intrusion Detection System; 침입 탐지 시스템
‘방어’보다 ‘탐지’에 초점을 맞추어 개발되어 공격에 직접 개입하거나 방어하는 것이 아니라 트래픽을 복제해 검토하고 침입 여부를 판별한다.
Intrusion Prevention System; 침입 방지 시스템
탐지에 초점을 맞춘 IDS와 달리 공격이 발견되면 직접 차단한다.
사전에 공격 데이터베이스(Signature)를 제조사나 위협 인텔리전스(Threat Intelligence) 서비스 업체로부터 받는다.
인입된 패킷이 공격 데이터베이스에 해당하는 공격일 때, 차단하거나 모니터링한 후 관리자에게 알람을 보낸다.
기존에는 블랙리스트 기반의 방어만 제공했지만, 프로파일링 기반 방어 기법이 적용되고 애플리케이션 컨트롤 기능이 추가되어 이제는 화이트리스트 기반의 방어도 가능하다.
일반적으로 네트워크 기반 시스템을 사용한다. (NIPS)
클라우드 내부 네트워크에서 NIPS 배포가 어려운 경우 호스트 기반인 HIPS를 사용하였으나, 장애 발생 시 파악이 어렵고 서비스와 리소스를 공유해야 하는 점으로 인해 NIPS로 전환하는 추세이다.
기존 공격이나 취약점에 대한 방식을 데이터베이스에 습득하고 최신 내용을 유지하다가 공격이 들어오면 파악한다.
IPS는 많은 공격 데이터베이스를 보유하고 적용해야 한다. 최신 공격 방식을 공격 데이터베이스에 빠르게 반영하는 것도 중요하다.
공격 데이터베이스를 얻는 과정은 다음과 같다.
허니팟(HoneyPot)이라는 취약한 시스템을 구축해 해당 장비에 들어오는 공격을 로깅한다.
공격 패턴을 분석해 공격 데이터베이스로 정보를 저장한다.
코드 레드 웜이라는 공격을 받으면 공격 스트링을 가진 요청이 웹 서버에 도달하기만 해도 IIS의 취약점에 의해 웹 서버가 감염된다. 감염된 웹 서버는 다른 서버로 공격하기 시작한다. IPS에는 레드 웜의 공격 패턴 데이터가 존재하여 특정 문자열을 포함하는 패킷이 들어오면 차단하여 공격을 방어한다.
공격 방식에 미세한 변화가 생기는 등 변종이 발생하면 적절한 타이밍에 대응하기 어렵다.
공격이 인터넷 전체에 퍼지는 속도보다 데이터베이스 업데이트 속도가 느리기 때문이다.
데이터베이스를 통해 분명하게 공격이라고 판단하지 않더라도, 특정 기준 이상의 행위를 이상하다고 판단하여 방어하는 것을 Anomaly 기법이라고 한다.
평소 관리자가 정해놓은 기준이나 IPS 장비가 모니터링해 정해진 기준과 다른 행위가 일어나면 공격으로 판단한다.
웜이 감염되면 다른 타겟에 대량의 트래픽을 발생시켜 감염시키는 행위를 반복하는 형태의 공격을 방어할 수 있다.
이 기능은 동적 프로파일 기능이 강화되며 DDoS 방어 장비로 진화하였다.
서비스 포트에 맞지 않는 프로토콜을 사용하면 이를 차단한다.
SPI 방화벽과 NAT 기능이 대중화되어 일반 사용자의 PC를 직접 공격하기 어려워졌다. 이에, 내부 사용자의 PC에 사용자가 직접 악성 코드를 내려받아 실행하도록 유도하여 공격을 시도한다.
감염된 내부 PC가 외부와 공격을 위한 통신을 할 때 실제 해당 서비스 포트에서 동작하는 프로토콜이 아닌 다른 프로토콜을 사용하는 경우가 많아 이를 파악해 적절히 제어해야 한다.
IPS 장비는 네트워크 상에서 빠른 속도로 애플리케이션 레벨까지 확인하기 위해 사용하는 flow 엔진은 패킷을 모아 데이터로 변환 후 검사하지 않고 패킷이 흘러가는 상황을 모니터링해 공격을 탐지한다. 따라서 IPS 장비를 비교적 쉽게 우회할 수 있다.
IPS에서 오탐이 많이 발생하므로 튜닝 작업이 필요하고 별도 인력이 장비를 모니터링하고 최적화 작업을 지속적으로 수행해야 한다.
NGIPS(Next Generation IPS) 장비는 이러한 문제를 해결하여 다음 장점을 가진다.
애플리케이션을 인지하거나 다양한 시스템과 연동 가능하다.
APT 공격 방지를 위한 기능이 탑재되어있다.
Web Application Firewall
웹 서버를 보호하는 전용 장비로, 웹 프로토콜에 대해 세밀히 방어 가능하다.
다양한 형태의 장비/소프트웨어로 제공된다.
전용 네트워크 장비
웹 서버의 플러그인
DC 플러그인
프록시 장비 플러그인
IPS에서 방어 불가능한 IPS 회피 공격을 방어할 수 있다.
회피 공격
공격자가 시도한 공격이 보안 장비에서는 공격으로 판단되지 않고 정상적인 통신으로 확인되지만, 공격 타깃인 피해자(Victim)에게 도착하였을 때 공격으로 동작하는 모든 공격
피해자가 패킷과 데이터를 처리하는 방법과 보안 장비의 다른 부분을 집중 공격한다.
예를 들어 IPS는 ATTACK이라는 단어가 들어간 공격을 방어하기 위해 해당 단어를 탐지하거나 차단하게 되어있지만, 공격자는 IPS를 우회하기 위해 단어를 여러 패킷에 쪼개 보낸다.
패킷을 데이터 형태로 조합 후 확인하기 때문에 회피 공격을 막을 수 있고 데이터의 일부를 수정, 추가하는 기능을 수행할 수 있다.
악성 코드를 관리자 PC에 우회적으로 심고 이 악성 코드를 이용해 관리자 PC를 컨트롤하는 공격이 늘었다. 이런 공격을 받을 경우, 기존 방화벽에서는 내부 사용자가 외부 서버로 통신을 정상적으로 시도한 것으로 보이므로 이 공격을 검출하거나 방어할 수 없다.
APT(Advanced Persistent Threat; 지능형 지속 공격)와 ATA(Advanced Target Attack; 지능형 표적 공격)가 기본적으로 이러한 방식이다.
샌드박스는 API 공격을 방어하는 대표적인 장비이다.
악성 코드로 의심되는 실행 파일을 가상 운영체제라는 샌드박스 안에서 실행시키고 행동을 모니터링해 악성 코드 여부를 판별한다.
Network Access Control
네트워크에 접속할 때 인가된 사용자만 내부망에 접속할 수 있고 인가받기 전이나 승인에 실패한 사용자는 접속할 수 없도록 제어한다.
고정적으로 할당된 IP를 관리하고, 정확히 의도된 IP 할당이 아니면 네트워크를 정상적으로 사용하지 못하게 한다.
서버나 데이터베이스에 대한 직접적인 접근을 막고 작업 추적 및 감사를 할 수 있는 접근 통제 솔루션
에이전트 기반, 에이전트리스 등의 구현 방식이 있지만 대부분 Bastion Host 기반으로 구현된다.
Bastion Host
서버 접근을 위한 모든 통신은 Bastion Host를 통해서만 가능하다.
서버 호스트의 방화벽에 배스천 호스트에서 출발한 통신만 허용하고 다른 통신은 모두 방어하도록 설정하고 배스천 호스트의 보안, 감사를 높이면 보안을 강화할 수 있다.
접근 통제 솔루션들은 단순한 접근 제어뿐만 아니라 감사, 보안 이슈 대응 등을 위해 사용자가 작업한 모든 이력을 저장한다.
VPN 장비는 사용자 기반의 VPN 서비스를 제공한다.
방화벽이나 라우터 장비에 대부분 VPN 기능이 포함되어 있다.
IPSEC, SSLVPN을 가장 많이 사용한다.
리눅스 서버에서 방화벽 확인 및 관리 하려면 를 참고한다.
