보안 장비 종류

현 추세는 UTM->ESM->SIEMs->TMS로 가는 추세이고, PC단과 서버단을 분리하여 운영하고 있는 추세이다.

TMS(Threat Management System)

위협관리시스템으로 원격 IDS로 생각하면 편하다. 패턴과 시그니처에 대해 Manager->Agent로 일괄 배포도 가능하다. 원격관제를 할때 주로 사용 된다.

ESM(Enterprise Security Managemnt)

통합보안관리 시스템이다. 웹방화벽, IDS, 웹서버, DDoS 전용장비들의 이벤트들을 모아 위협정보에 대한 판단을 실시한다. 여러가지 이벤트들을 모아서 만들다 보니 부하가 많을경우 퍼포먼스나 속도에 대해 문제가 심각하다. 그래서 부하가 많은 경우 실시간으로 탐지를 못하고 미러링하여 차후 분석을 진행하기도 한다.

UTM(Unified Threat Management)

말도 많고 탈도 많은 녀석이다. 보통 보안관제는 사람이 하면서 장비는 서버단과 PC단을 나누어서 진행하는데 이 장비는 그런것들을 통합 한것이다.단순히 3.20 7.7처럼 대형 DDoS의좀비PC가 설치 되었을때 해당 장비에서 해당 PC를 찾아서 네트워크를 차단해 버리고, C&C ip와 악성코드 배포 ip를 격리시켜 버린다. 하지만 오탐도 많고, 장비들의 한계점을 서로 상호보안하며 운영을 하여야 되는데 좀 몰빵된 느낌이 강하다.

SIEMs(security information and event management solutions)

심스는 UTM+ESM 조금 더 발전시킨 케이스로 원격관제가 가능한 방법이다.이식성인 장비들을 SI로 묶은 감이 있어서 호환성에 조금 문제가 있다. 

VPN(virtual private network)

IP물리적으로 분리된 대상과 암호하된 통신을 위한 장비 인증, 캡슬화 (암호화 전송) 전용선에 비해 가격이 싼게 장점

방화벽 FireWall

IP(L3)/ PORT(L4)단의 룰셋 설정가능 리눅스의 iptables과 윈도우의 ipsec기능과 동일 하나의 장비로 존재하여 운용 공격자 IP나 불필요한 포트 차단

IPS/IDS

침입차단 시스템IPS  IDS+F/W= IPS
침입탐지 시스템IDS  snort룰 기반으로 패턴을 대입하여 시스템 공격에 대한 탐지 및 차단을 주로 병행(ftp, ssh 등)

 

웹방화벽(Web Application Firewall)

웹 공격에 대해서 IPS에 패턴이 있더라도 장비의 한계치 때문에 웹방화벽에서 Application 단은 정밀 분석 https 트래픽 분석하기 위해 인증서 설치 가능 패턴 업데이트 시 Appscan 업데이트 패턴을 보고 주로 반영 Appscan에서 진단하는 모든 패턴을 거의 탐지
(웹쉘, sql injection, xss, apache struct2 등 탐지)

DDoS 전용 장비

DDOS 공격에 대한 패킷 필터링 장비 임계치 설정 가능

 

L4 스위치

IP와 PORT 기준의 로드벨런스 예) client IP가 홀수인 경우 A장비로 짝수인 경우 B장비 설정

L7스위치

Application(L7)별로 로드 벨런스
웹서버나 WAS서버의 세션 임계치를 두어 세션이 적은곳에 뿌려줌
URL별로 파싱하여 서비스 가능
Https 와일드 카드(*)인증서 설치 가능

라우터

백본 흔히 라우터라고 불리는것은 좀 큰 개념인데 망내에서는 그 망의 게이트웨이나 IP를 총괄 하는 백본과 동일한 의미로 사용