정보보안기사 필기 - 30(최신 네트워크 보안기술)

- 역추적 시스템

역추적이란 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기술을 말합니다. 역추적 기술은 일반적으로 크게 2가지 분야로 분류합니다.

• 해커의 실제 위치를 추적하는 기술 : TCP연결 역추적, 연결 역추적
• IP 주소가 변경된 패킷의 실제 송신지를 추적하는 기술 : IP 역추적, 패킷 역추적

 

<패킷 역추적>

패킷 역추적 기술은 IP주소가 변경된 패킷의 실제 송신지를 추적하기위한 기술로 해커가 전송하는 패킷에 해당 패킷을 전달한 라우터를 표시함으로써 추적할 수 있게해주는 패킷 표시 기법을 이용한 기술입니다.

 

- ESM

ESM(enterprise security management)이란 기업과 기관의 보안정책을 반영하고 다양한 보안 시스템을 관제, 운영, 관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템입니다. 통합보안관제를 위해 구축된 다양한 보안 솔류션/장비에서 발생하는 로그, 보안 이벤트를 취합하고 이들 간에 상호 연관 분석을 함으로써 실시간 보안 위협을 파악하고 대응하는 역할을 수행합니다.

 

< ESM의 구성요소>

• ESM 클라이언트 : ESM 서버의 매니저로부터 통제를 받아 이벤트 처리와 개별 보안 장비의 통제를 수행합니다.
• ESM 서버 매니저 : 통합 보안 정책의 생성, 적용을 관리합니다.
• ESM 서버 콘솔 : 개별 에이전트에서 이벤트로그 모니터링과 해킹 분석 및 결과를 확인합니다.
• ESM 데이터 매니지먼트 Event Log Repository : 이벤트로그를 수집하여 저장하는 로그 DB입니다.
• ESM 데이터 매니지먼트 policy respository : 통합 보안 정책을 저장하는 데이터베이스입니다.

 

<ESM의 주요기능>

• 통합 로그 관리 : 개별 솔루션별 로그의 수집 및 관리합니다.
• 이벤트 필터링 : 보안 정책 기반의 이벤트 수집 기준에따라 처리합니다.
• 실시간 통합 모니터링, 경보, 상황 전파 : 통합 모니터링을 실시합니다.
• 로그 분석 및 의사결정 지원 : 정책 기반의 로그 분석후 위험도를 결정합니다.
• 긴급 대응 : 위험도와 이벤트별 대응기준에 따른 ESM 매니저가 자동화된 차단을 합니다.
• 리포팅 : 서비스별 위험 발생 및 조치현황을 리포팅합니다.

- NAC

NAC(networl access control)은 네트워크에 접속하는 접속 단말의 보안성을 검증하여 보안성을 강제화하고 접속을 통제할 수 있는 보안 인프라입니다. 사용 단말이 내부 네트워크에 접근하기전에 보안 정책을 준수했는지 여부를 검사해 네트워크 접속을 통제하는 보안 솔루션입니다.

 

<NAC의 주요기능>

• 접근 제어/인증 : 네트워크의 모든 IP 기반 장치를 접근 제어합니다.
• PC 및 네트워크 장치 통제 : 백신, 패치, 자산을 관리합니다.
• 해킹, 웜, 유해 트래픽 탐지 및 차단 : 유해 트래픽을 탐지하고 차단합니다.

<NAC의 원리>

NAC는 IP주소에 대응하는 MAC주소를 기반으로 수행합니다. 따라서 먼저 네트워크에 접속하려는 사용자는 네트워크 접속에 사용할 시스템의 MAC주소를 IP관리 시스템의 관리자에게 알려줘야합니다. 관리자가 해당 MAC주소를 NAC에 등록하면 사용자는 비로소 해당 네트워크를 사용할 수 있는 권한을 가집니다. 또한, 라우터로 구분된 서브넷마다 에이전트 시스템이 설치되어있어야합니다.

 

- SIEM

SIEM(security information event management)는 수많은 IT 시스템 및 보안 시스템에서 발생하는 로그를 분석하여 이상 징후를 파악하고 그 결과를 경영진에게 보고할 수 있도록 해주는 시스템입니다.

 

<SIEM 기능>

로그데이터를 실시간으로 수집 및 분석할 수 있고 침해 공격 로그에대한 포렌식과 컴플라이언스 또는 법적 조사를 위해 해당 데이터의 신속한 검색 및 리포팅 기능도 제공하고 있습니다. 대부분의 SIEM은 데이터를 정규화 과정을통해 데이터를 표준화하여 분석을 수행합니다.

 

- PMS

PMS(patch management system)은 운영체제의 패치를 유도하는 기업용 솔류션으로 보안 패치와 소프트웨어 업데이트는최상의 보안을 위한 필수 사항이기때문에 개인에게 맡겨두는 대신 패치관리시스템을 이용하여 중앙에서 강제로 설치합니다.

 

<PMS 구성>

PMS 서버 : 강제적으로 정책에 맞는 수준의 보안을 적용하는 역할을 수행합니다.

PMS 에이전트 : 서버로부터 패치를 적용합니다.