IDS/IPS & 차세대 방화벽 & 웹 애플리케이션 방화벽(WAF) & 웹서비스 공격 방법 개념

 

 

IDS(Intrusion Detection System) (침입 감지 시스템)  :

통신의 작동으로 침입을 감지한다. 네트워크를 흐르는 이상한 통신을 감지해 로그서버의 로그파일에 로그를 남기거나, 관리자에게 알린다. 감지만 하고 통신을 차단하진 않는다.

의심되는 통신의 작동이나 공격패턴을 '시그니처'라는 형태로 저장한다.

시그니처는 바이러스 대책 소프트웨어에서 패턴파일과 같은것이다. 

 

IPS(Intrusion Prevention Systems) (침입 방지 시스템) :

통신 작동으로부터 공격이나 침입을 방어하는 기능이다. 네트워크를 흐르는 이상한 통신을 감지해서 로그 서버의 로그파일에 로그를 남기거나, 관리자에게 알린다. 그리고 통신을 차단하고 침입을 방지한다.

먼저 IDS로 감지하고, 서버 상태 확인 뒤 IPS로 차단한다.

 

차세대 방화벽

차세대 방화벽은 보안에 관한 다양한 기능을 한데 모은 방화벽이다.

IDS/IPS, 안티바이러스 기능, 애플리케이션 식별 기능, VPN 기능 등을 통합한 것이다.

특히 중요한 기능은 애플리케이션 식별 기능과 보고 기능이다.

애플리케이션 식별 기능은 IP주소나 포트번호 뿐만 아니라, 여러 요소로부터 애플리케이션을 식별하는 기능이다.

보고기능은 애플리케이션 식별기능을 통해 식별한 정보를 클래스나 테이블로 정리해, 관리자가 쉽게 이해할 수 있도록 하는 기능이다.

 

웹 애플리케이션 방화벽(WAF)

웹서비스 방어에 특화된 방화벽이다.

WAF는 포트번호 뿐만 아니라, HTTP로 전달되는 데이터 모두를 애플리케이션 레벨에서 감시해 통신을 제어한다.

 

웹서비스에 대표적인 공격 방법은 

SQL삽입 : 데이터베이스에 연결하는 부분의 취약함을 공격, 데이터베이스를 변조하거나 부정하게 데이터를 삽입한다.

크로스 사이트 스크립팅(XSS) : 웹브라우저의 취약점을 사용해 공격자가 생성한 HTML 타입 또는 자바스트립트를 일반 사용자의 브라우저 위에서 표시 및 실행하는 공격, 브러우저에 가짜 신용카드번호 입력 화면을 표시하거나, 일반 사용자와 서버 사이의 연결을 훔치는 등 다양한 공격을 수행할 수 있다.

크로스 사이트 요청 변조(CSRF) : 어떤 사이트에 로그인 중인 사용자에게 함정을 심은 페이지를 보여주고, 공격자가 제공한 웹사이트에 한 요청을 사용자에게 실행하도록 하는 공격, SNS에 대한 의도하지 않은 게시물작성, 온라인 쇼핑 제품 구매등을 시킬 수 있다.