IP 주소(Internet Protocol Address)
: 네트워크상, 기기간의 통신을 위한 주소
주소의 진수변환
↳ 같은 주소를 의미! 접속 시 같은 창!
네이버, 명령 프롬프트에서 얻은 ip 주소가 각각 다르다?!
공인 IP와 사설 IP
►► 모든 도메인은 IP 주소를 가짐
보안 장비 개념 & 기능 & 역할
- 방화벽 (Firewall, 침입차단시스템)
- IDS (Intrusion Detection System, 침입탐지시스템)
- IPS (Intrusion Preventing System, 침입방지시스템)
- UTM (Unified Threat Management, 통합 위협 관리 시스템)
- NAC (Network Access Control, 네트워크 접근 제어)
- EDR (Endpoint Detction & Response)
- VPN
- ESM (Enterprise Security Management, 통합보안관리 솔루션)
- SIEM (Security information and event management, 보안 정보 및 이벤트 관리 솔루션)
1. 방화벽 a.k.a Firewall
►► 침입차단시스템
개념
- 네트워크 트래픽을 모니터링, 제어하는 네트워크 보안 시스템 by 사전 정의된 보안 규칙
- 신뢰가능 내부 네트워크 & 신뢰불가능 외부 네트워크 사이에 구성
기능 및 역할
- 규칙에 따라 패킷 차단/허용하는 하드웨어 or 소프트웨어
차세대NGFW)
– 애플리케이션 인식 : 포트 대신 애플리케이션 트래픽 검사
– 심층패킷 검사 : 악성코드에 대한 파악 및 검사 및 치료 제공
– 암호화 패킷 검사 : https을 통한 악성코드 감염 및 우회통로 검사
– 침입방지 시스템(IPS) : 시그니처를 통한 차단 기능 제공
– IP주소 대신 사용자 식별 : 가시성 제공 및 사용자별 정책 수립
2. IDS (Intrusion Detection System, 침입탐지시스템)
개념
- 비허가 접근, 해킹시도 감시 ⇨ 시스템, 관리자에게 통보 ⇨ 必 대응 취하게끔
기능 및 역할
- 전통적 방화벽이 탐지할 수 없는 악의적 네트워크 트래픽, 컴퓨터 사용 탐지
- True Positive -> 옮음
- False Positive -> 정상 패킷을 비정상이라고 탐지 ⇨ 로그나 경고가 남아 이를 확인하는 번거로움이 발생 // 공격이 아니기에 치명적인 결과 X
- False Negative -> 아무런 로그나 경고를 X ⇨ 호스트가 공격을 당할 위험 ⇑
►► False Negative를 줄이는 것이 가장 중요 !! - True Negative-> 옳음. 이에 대한 대처 가능
3. IPS (Intrusion Preventing System, 침입방지시스템)
개념
- 공격의 탐지 + 탐지된 공격에 대한 능동적 대응
►► 공격을 근복적으로 방지 (탐지 +a)
기능 및 역할
4. VPN (Virtual Private Network, 가상 사설망)
개념
- 인터넷을 통해 디바이스 간에 사설 네트워크 연결을 생성 ⇨ 주로, 내부망 접속 시 사용
기능 및 역할
- 퍼블릭 네트워크 ⇨ 안전하게 데이터 익명 전송
- 사용자 IP 주소 마스킹 & 데이터 암호화 ⇨ 수신 권한X 사람이 읽을 수 없도록
5. ESM (Enterprise Security Management, 통합보안관리 솔루션)
개념
- 여러 보안 시스템 등장 ⇨ 多 모니터링 최소화 위해 통합보안관리 시스템 도입 ⇨ 효율성 실현 in 보안
기능 및 역할
- 기업의 보안제품, 장비 상호 연동 ⇨ 연계 분석 ⇨ 관제 & 운영 효율적 처리
↳ 보안 관제 ⇨ 多 로그 분석 및 처리에 시간 多 (각 보안 및 시스템 운영장비가 각각 로그 생성하기 때문)- 통합 보안관리 체계 확립 (이벤트 수집, 침해 경보 및 대응 등)
- 이벤트 선별 & 로그 통합 및 연계 분석 기능 & 보고서 생성 기능
⇨ 우선 식별 요소 선별가능, 단순 반복성 업무 ⇓
↳ 각 보안 장비 시스템 연계 분석 ⇨ 오탐 방지 ⇨ 최단시간 사후처리
참고사항----------------------------------------
6. UTM (Unified Threat Management, 통합 위협 관리 시스템)
개념
- 방화벽, IDS, IPS 등의 여러 보안시스템들을 통합한 시스템
기능 및 역할
- 단일 시스템으로 多 보안 기능 수행 ⇨ 경제성, 보안관리 및 운영의 편리성
⇨ 복합적인 위협에 대한 효율적 방어- (-) 해당 시스템 장애 시 모든 보안기능에 영향
7. NAC (Network Access Control, 네트워크 접근 제어)
개념
- 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는
기능을 제공하는 보안시스템
기능 및 역할
- 네트워크 제어 및 통제 ⇨ 내부 네트워크(사설망)가 보안 위협에 대해 안전하도록 강제
↳ 미리 정의된 보안정책에 부합한 단말기에만 네트워크 자원이용 승인!
8. EDR (Endpoint Detction & Response)
개념
- 시그니처 기반의 백신 ⇨ 엔드포인트 보안에 대한 한계에 대응
- 엔드포인트 = 네트워크에 연결하고 네트워크를 통해 통신하는 모든 디바이스
기능 및 역할
- 엔드포인트 모니터링 ⇨ 이상행위 감지 및 대응 ⇨ 악성코드 공격/탐지/차단/대응
- 악의적 행위 실행파일 식별/차단
- 엔드포인트 감염파일 멀웨어 공격 차단
- 실시간 단말 가시성 확보
9. EDR SIEM (Security information and event management, 보안 정보 및 이벤트 관리 솔루션)
개념 : SIM(보안 정보 관리) + SEM(보안 이벤트 관리)
- ESM 연계분석 기능 + 사고 탐지 및 우선 순위 지정 + 多 시스템 全 활동 실시간 가시성 확보 ⇨ 조직의 IT 보안 전체적으로 볼 수 있는 보안 관리 방식
기능 및 역할
- 기능 및 비즈니스 요구사항 제공
- 수집 프로세스의 자동화 ⇨ 손쉬운 배치
- 데이터 접근 용이 (로그 장기간 저장 및 보고서 생성, 이력분석 + 실시간 분석)
- 위협 인텔리전스 통합 제공 (정보 유출입에 대한 지표 및 공격 행동)
- 공격자 침입에 대한 통찰력 제공 / 정규 표현식 생성 및 테스트 가능한 도구 제공
c0d3_wh1t3