정보 스크랩

스크랩하기 버튼을 누르신 후 원하는 블로그에 붙여넣기(Ctrl+V) 하십시오. 본 기사는 저작권법의 보호를 받으며 기사의 원형을 변형하거나 훼손하는 것을 금지합니다.

Chapter 7. 네트워크 보안 Good Case Study

  • 안철수연구소
  • 2010-05-14

- 주요 사례 별 네트워크 보안 강화 구성 예시

 

금번 장에서는 이전에 게시되었던 네트워크 보안관련 각 솔루션을 활용하여 각 주요 사례별로 좋은 구성 사례를 예를 들어 설명하도록 하겠습니다. 네트워크 구성은 크게 분류해보면, 하기와 같이 분류할 수 있습니다.

    I. 내부사용자/DMZ/서버망을 같이 보유하고 있는 대다수의 사이트 구성
    II. ISP 및 데이터센터 등에서 외부 사용자를 위한 서비스만을 제공하기 위한 서비스망 구성
    III. 본사와 지사 간 VPN위주 구성(UTM도입을 통한 TOC 절감 사례)

 

I. 내부사용자/DMZ/서버망을 같이 보유하고 있는 대다수의 사이트 구성의 네트워크 보안 구성

 

① 방화벽(인터넷망/서버망)
    A. 인터넷망 방화벽 구축하여 외부/DMZ/내부망 보안도메인으로 분리 및 접근제어
    B. 인터넷망 방화벽의 NAT 기능을 사용하여 내부망을 사설IP로 구성하여 보안강화
    C. 방화벽 장애 시 서비스 가용성을 보장하기 위해 Fail-Over(High Availability/이중화) 구성
    D. 가장 중요한 정보를 보유하고 있는 서버 망에 별도로 방화벽을 구축하여 외부는 물론 내부 사용자로부터의

        불법적 접근 차단
    E. 서버 망 방화벽은 장애 시 서비스 가용성을 보장하기 위해 Fail-Open(Bypass) 구성

② IPS(침입방지시스템)
    A. DMZ망에 설치된 IPS는 인터넷망 방화벽에서 허용되는 웹 및 메일 등의 트래픽에 대해 데이터까지 심층적으로

        분석하여 악성코드/해킹 차단
    B. 내부망에 설치된 IPS는 내부사용자가 외부 악성코드 유포사이트를 통해 다운받는 악성코드 차단 및

        내부 사용자 PC에서 외부로 정보를 유출시키는 스파이웨어 트래픽 차단
    C. 장비 자체의 장애가 발생할 경우에도 서비스 가용성 보장을 위해 Fail-Open(Bypass) 구성

③ 웹 방화벽(Web Application Firewall)
    A. 근래에 발생하고 있는 서버 대상은 공격은 대부분 웹 서비스 공격임
    B. 웹 서비스가 중요한 사이트의 경우 웹 서비스에 특화된 보안솔루션인 웹 방화벽을 구축하여 웹 서비스 해킹공격 방어
    C. 웹 방화벽은 IPS와 같이 알려진 공격에 대한 시그니쳐기반 방어 및 구축되어 있는 웹 서버의 주요정보에 대한

        무결성을 검증하여 알려지지 않은 공격에 의해 내부 정보가 변조되는 것을 방어하는 기능을 동시 제공
    D. 장비 자체의 장애가 발생할 경우에도 서비스 가용성 보장을 위해 Fail-Open(Bypass) 구성

④ Anti-DDoS(DDoS 대응장비)
    A. 근래에 무분별하게 발생하고 있는 DDoS공격에 대해 효과적으로 방어를 위한 전문 DDoS 대응장비 구축
    B. 외부에서 사이트로 접근하기 위한 최전방에 설치하여 DDoS 공격 방어 및 정상적인 트래픽에 대해서는 내부 접근 허용
    C. 정상적인 내부 서비스(웹 등) 트래픽이 차단되지 않도록 오탐을 줄이는 것이 매우 중요함
    D. 장비 자체의 장애가 발생할 경우에도 서비스 가용성 보장을 위해 Fail-Open(Bypass) 구성

 

II. ISP 및 데이터센터 등에서 외부 사용자를 위한 서비스만을 제공하기 위한 서비스망 구성

 

① 방화벽
    A. 일반적으로 서비스를 위한 망은 외부로부터의 서비스 요청 트래픽이 많으므로, 별도로 로드밸런싱 기능이 있는

        L4 스위치로 구성하는 경우가 많음
    B. L4스위치와의 연동을 통한 FLB(Firewall Load Balancing) 구성하게 되면, 트래픽에 대한 로드밸런싱을 통해 

        특정 방화벽의 과부하를 제거할 수 있으며, 한쪽 방화벽 장애 시의 Fail-Over기능을 통해 서비스 가용성을 보장할 수

        있음   

    C. 서비스를 위한 포트만을 허용하고 나머지 모든 트래픽에 대해 차단 보안정책 적용
    D. 혹시 발생할 수 있는 해킹사고에 대해 역추적할 수 있는 Audit(감사) 로그 저장

② IPS(침입방지시스템)
    A. 방화벽에서 허용되는 서비스 트래픽에 대해 데이터까지 심층적으로 분석하여 악성코드/해킹 차단
    B. Fail-Open(Bypass)기능을 제공 시에는 IPS 장애 발생 시 보안적으로 위험할 수 있으므로, L4를 통한

        이중화 구성 시에는 Fail-Open기능을 권장하지 않음

③ 웹 방화벽(Web Application Firewall)
    A. 제공되는 서비스가 주로 웹 서비스일 경우에는 웹 서비스에 특화된 보안솔루션인 웹 방화벽을 구축하여

        웹 서비스 해킹공격 방어
    B. 웹 방화벽은 IPS와 같이 알려진 공격에 대한 시그니쳐기반 방어 및 구축되어 있는 웹 서버의 주요정보에 대한

        무결성을 검증하여 알려지지 않은 공격에 의해 내부 정보가 변조되는 것을 방어하는 기능을 동시 제공
    C. Fail-Open(Bypass)기능을 제공 시에는 웹 방화벽 장애 발생 시 보안적으로 위험할 수 있으므로, L4를 통한 

        이중화 구성 시에는 Fail-Open기능을 권장하지 않음

④ Anti-DDoS(DDoS 대응장비)
    A. 특히 외부서비스를 제공하고 있는 ISP 및 데이터센터에는 DDoS공격이 계속 발생하고 있으므로, DDoS공격에 대해 

        효과적으로 방어하기 위한 전문 DDoS 대응장비 구축 필요
    B. 외부에서 내부로 접근하기 위한 최전방에 설치하여 DDoS 공격 방어 및 정상적인 트래픽에 대해서는 내부 접근 허용
    C. 정상적인 내부 서비스(웹 등) 트래픽이 차단되지 않도록 오탐을 줄이는 것이 매우 중요
    D. 네트워크 구성을 통해 Fail-Over(이중화)가 가능한 구성일 경우에는 Fail-Open(Bypass)기능을 권장하지 않음

        (장비 장애로 인한 Bypass상태 시 DDoS공격에 노출될 수 있음)

 

III. 본사와 지사 간 VPN위주 구성(UTM을 통한 TOC 절감 사례)

 

여러 가지 단독 보안솔루션을 도입할 경우, 높은 TOC 및 운영인력/비용 이슈가 발생하게 되므로 보안성/운영편의성/비용절감 효과가 높은 UTM을 도입하여 구축된 사례


① 본사와 지사군 간에 UTM의 IPSec VPN 기능을 통해 확보된 사설망(전용선)을 사용하여 지사 사용자가 내부 주요 서비스

    이용
② IPSec 장비를 통해 본사와 VPN 통신이 어려운 재택근무자/모바일 유저는 보안성이 유지되면서 편의성이 탁월한

    UTM의 SSL VPN 기능을 통해 내부 주요 서비스 이용
③ 지사 사용자가 악성사이트로부터 악성코드를 다운로드 받거나, 외부 해커로부터의 직접적인 공격을 방어하기 위해

    UTM의 방화벽/IPS 기능 제공 
④ 회사에서 정의하는 비 업무/유해 사이트의 접속을 UTM의 URL Filtering기능을 통해 차단함으로써 업무 효과성 향상@

조육왕 프로필 사진

조육왕 안철수연구소 로고 네트워크 보안전문가

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

확인