Firewall, DDoS, IDS, IPS

오늘은 Firewall, DDoS/DoS, IDS, IPS에 대해 알아보고 조사하여 발표를 진행했다.

 

 

 

[8주차] 방화벽_DDoS_IPS_IDS.pdf

0.49MB

 

 

 

[3 줄 요약]

 

1. Firewal은 IP, Port 기반으로 차단 혹은 허용을 설정하는 단순한 보안 장치이다. 그렇기 때문에 우회 등에 취약하다. 따라서 방화벽만 사용하는 것이 아니라 다른 보안 장치 예를 들면 IPS와 함께 사용한다.

 

2. DDoS는 일반적인 과도한 트래픽 상황과 동일한 원리인데, DDoS는 그러한 점을 악용한 분산서비스거부 공격이다.

DoS vs DDoS

DoS : DoS는 직접 공격대상 서버를 공격하는 것으로, 한 대의 PC만으로 요청을 여러 번 날려서 리소스를 소진 시키도록 만드는 것이다.

DDoS : DDoS는 해커가 감염시킨 여러 좀비 PC들을 활용해서 원격으로 공격 시키는 방법이다. 감염된 PC들은 자신도 모르는 사이에 악성코드들에 감염되고 해커의 공격에 악용되는 셈이다.

*회사 내에서는 선택적으로 방어를 위한 구축을 하고 있다. (자체적 구축 또는 솔루션 도입)

 

3. IDS/IPS는 들어오는 패킷을 파악해서 차단 또는 탐지를 하는 장치이다.

IDS : 침입에 대한 탐지만 하는 장치이고, 일반적으로 로그들을 조사하여 파일을 분석하는 시스템으로 활용이 된다. 그래서 패킷이 많은 회사 또는 보안을 강화하고자 하는 큰 기업에서 주로 사용한다. (미러 방식으로 진행)

IPS : 침입에 대해 탐지 뿐만이 아니라 차단까지 하는 장치이다. (인라인 방식으로 진행)

 

공통적으로 시그니처 기반 탐지와 임계치 기반 탐지 방식을 적용하요 탐지 및 차단을 한다.

 

시그니처 기반 탐지 : 알려진 공격 패턴(시그니처)을 데이터베이스에 저장하고, 네트워크 트래픽이나 시스템 활동을 이러한 시그니처와 비교하여 보안 위협을 탐지한다.

 

임계치 기반 탐지 방식 : 네트워크 트래픽이나 시스템 활동이 특정 임계치를 초과할 때 비정상적인 활동으로 간주하고 탐지한다.

 

---

 

이번 시간도 되게 알찬 시간이었다.

 

예전에는 그냥 넘어가던 보안 장치나 개념, 방식들을 조사하고 공부하면 할 수록 네트워크에 대한 이해도가 많이 높아지는 것 같다.

 

꾸준히 더욱 파이팅 해보자 ㅎㅎ