-
DMZ (DeMilitarized Zone, 고립 LAN)
- 내부 네트워크와 외부 네트워크 사이에 위치한 중간 지점
- 웹, 이메일 등 외부로 공개 서비스가 위치함
- 내부 네트워크에 위치한 서버 등과 통신을 통해서 동작
방화벽
- 대표적인 침입 차단 기술
- 외부로부터 내부 네트워크에 접근하고자 하는 요구를 검사하여 허가하거나 거부함
패킷 필터 방화벽
- 네트워크 계층에서 사용되는 정보만을 토대로 필터링(출발 IP주소, 도착 IP 주소, 출발 포트, 도착 포트, TCP 플래그-SYN, ACK 등)
- 리눅스 운영체제나 라우터에서 제공하는 방화벽
- 네트워크 계층까지만 헤더정보를 검사하기 때문에 간단하고 효율적
- 접근 제어 목록을 사용해 구성
상태성 필터
- 패킷 필터는 Dos공격을 필터링할 수 없었다.
- 전송 계층에 추가하여 연결의 상태 정보를 관리
- 패킷 필터 방화벽보다 속도가 느리다
응용 계층 프록시
- 상태성 필터 방식의 방화벽은 특정 응용에 대한 제어를 하지 못한다 (SQL 인젝션, XSS)
- 응용 계층 방화벽의 원리는 기존의 클라이언트와 서버 사이에 프록시를 두는 것
침입 탐지 시스템(IDS)
- 에이전트는 호스트 또는 네트워크를 모니터링 하면서 데이터 획득 후 서버에게 전송
- 서버는 로그로 부터 온 정보를 분석하여 DB에 저장 혹은 에이전트에게 부가 정보 수집 명령
- 관리자는 분석 결과를 받아들여 트래픽 또는 호스트 상의 특정 서비스를 차단
네트워크 기반 침입 탐지 시스템
- 다양한 네트워크 장비 및 소프트웨어를 이용하여 네트워크 트래픽 모니터링
- DOS혹은 대규모 호스트의 트래픽 모니터링
- Snort
호스트 기반 침입 탐지 시스템
- 이벤트 정보를 얻기 위해서 호스트에서 실행 중인 시스템 및 응용 프로그램의 로그를 이용
- 버퍼 오버플로우나 권한 상승과 같은 시스템 공격을 탐지
- OSSEC
시그니처 기반 침입 탐지 시스템
- 이미 알려진 표식이나 패턴을 기반으로 공격을 탐지하는 고전적인 방법
- 시그니처 기반 바이러스 탐지와 유사하다.
비정상 기반 침입 탐지 시스템
- 정상적인 행위에 대한 모델을 만들어 놓고 여기서 벗어나느 것을 비정상으로 판단
- 기존의 알려지지 않은 정상 행위를 잘못 분류할 확률이 있다