Stateful Packet Inspection (SPI)
What is an SPI firewall?
SPI is a basic firewalling feature that is included in standard DSL routers (e.g. SpeedTouch routers).
How does SPI work?
SPI works at the network layer by examining a packets header and footer in addition to ensuring the packet belongs to a valid session.
- When an IP packet arrives at the firewall from the Internet the firewall decides if it should be forwarded to the internal network.
- To do this the firewall inspects the packet to see what connections have been opened from the inside of the network to the Internet.
- If there is a connection open that applies to the packets that has arrived from the Internet then it will be let through – otherwise it will be rejected.
- So instead of permitting any host program to send any kind of traffic on port 80 it ensures it belongs to a current, open session, it looks at the source and destination IP addresses as well as the source and destination ports to make this decision.
How Secure is SPI?
This type of security simply controls incoming traffic, and wouldn’t be able to prevent attacks from innocuous web browsing, spyware, adware, trojans etc.
Deep Packet Inspection (DPI)
What is a DPI firewall?
DPI is an intelligent firewalling feature that forms part of the integrated security suite of a UTM firewall (e.g. FortiGate firewalls).
How does DPI work?
As well as looking at the header, footer, source and destination of incoming packets, DPI also examines the data part of the packet, searching for illegal statements and pre-defined criteria and making a decision on whether or not to let it through based on the content.
- DPI combines signature-matching technology with analysis of the data in order to determine the impact of that communication stream.
- DPI takes the incoming packets apart, examines the data, comparing with set criteria, and then re-assembles the packet.
- The ASIC chip in the FortiGate firewall allows this type of firewalling to be done quickly, efficiently and without degrading the speed of network traffic. Router and software firewalls simply do not have the necessary power to perform this level of deep packet inspection.
How Secure is DPI?
This type of security will guard against attacks from Trojans, Spyware, and Malware etc. which are increasingly common and are obtained through seemingly innocuous web browsing by end-users.
*Firewall(방화벽)에는 Packet filter(패킷필터)방화벽과 Apllication(어플리케이션)방화벽이 존재한다.
*Packet filter(패킷필터)방화벽에는 SPI와DPI가있다.
*SPI에서 예를들어 100m마다 음주단속을 한다고 가정하면, state less방식은 앞에서 음주단속에 걸렸더라도 100m마다 무조건 검사하는방식이고, stateful inspection방식은 음주단속에 걸렸으면 다음 100m에는 통과시키는방식이다. 즉, 무조건 검사하는 state less방화벽 방식보다 효율적인 stateful inspection방식이 대부분이다.
*Packet filter(패킷필터)방화벽은 OSI7레이어계층중 2,3,4가 되고, Application은 7계층이다. 예를들면 싸이월드 같은 http웹서비스의 방화벽은 Application계층이 담당한다.
FireWall
최근에 보안이 많은 Issue가 되고 있지만 주된 관점은 Internet을 사용하는 경우 외부
Network에서 내부 접근에 대한 Access를 제어하며 Network을 보호하는 것이 주된 Issue가
되고 있다.
Inter-Networking환경하에서 보안은 크게 세가지로 분류가 되는데 Network 보안,
시스템보안, 자료보안등으로 구분된다.
초기에 FireWall은 Network보안의 개념으로 도입되었는데 최근에 FireWall의 발전추세는
시스템보안과 자료보안의 기능도 일부를 포함하여 운영되는 추세이다.
우선 Network를 보호하는 대표적인 제품인 FireWall에 대하여 일반적인 개념과
기능들을 알아보겠다.
FireWall은 크게 두가지 Type의 형태로 구분되는데 Packet Filtering방식과
Application Level Gateway방식이 있다.
1. Packet Filtering 방식(패턴매칭방식?)
Packet Filtering방식은 OSI 7 Layer상의 Network Layer와 Transport Layer사이의
Packet의 정보를 검증하는 방식이다. 쉽게 표현하자면 Internet Address와 Protocol
(TCP,UDP)을 제어하는 방식으로 주로 Router수준에서 제공함으로서 저수준의
FireWall기능을 제공한다. 그 장점으로는 Performance가 뛰어나며 Application의 추가 및
변경이 쉽다는 것이다.
단점으로는 로그관리, 감시기능,인증기능이 지원되지 않으며 Access List가 많아지면
Performance가 현저하게 감소되면 UDP와 같은 Connectionless Traffic에 대한 완벽한
검증이 않되는 것이다.
2. Application Level Gateway방식(분석방식?)
Application Level Gateway방식은 7 Layer의 Application Layer에 해당되는 Data영역의
Data Packet만을 검증하는 방식을 지원한다. 즉 단말기에서 Request(Telnet,Http,Ftp등)가
요구되면 Application Gateway FireWall에서 Application의 검증(Telnet Gateway,
Ftp Gateway, Http Gateway등의 검증을 통함)을 거쳐 목적 호스트로 접속이 되는 방식이다.
Application gateway의 장점으로는 내부와 외부 Network이 완전 분리 되어 High Level의
보안 수준을 제공하며 인증기능,로그관리, 감시기능등을 지원한다.
또한 외부에서 내부로 직접 접속할 수 없다. 단점으로는 Performance가 좋지 않으며
Traffic이 많을 경우 FireWall로서 정상적인 기능을 지원하지 못하는 경우도 있으며
지원할 수 있는 서비스의 수가 제한되어 TCP Base 서비스 Application만을 지원하기
때문에 인터넷 또는 인트라넷에 적용된 FireWall일 경우 User가 개발한 Application지원이
안되는 것이 대부분이다.
최근에는 위에서 설명한 두가지 유형의 FireWall을 혼합한 형태의 FireWall이 주류를
이루어 표현이 다른 FireWall의 분류를 하는 경우도 있지만 설명한 두가지 방식을 대부분
지원하고 있다.
DPI
SPI(가장많이사용)
-state less(상태고려안함)-traffic발생
개별적으로 패킷을 필터링, 그 패킷이 계속되는 커넥션인지 알 수 없다.
Crafted SYN/ACK segment가 적절한 것인지 판단할 수 없다.
port-Switching application 불가
-stateful inspection(상태고려)
현재 상용화되어 있는 대부분의 제품들이다.
Network-layer에서 들어오는 패킷을 가로챈다. 그후 Inspection Engine에서 다음 layer(TCP/UDP) 로부터의 생태 연결 정보를 풀기위해 패킷을 이용한다.
그리고 그것을 dynaimc stat table에 유지하고 이어서 이후 연결되는 시도들을 평가한다.
tcp의 상태 천이도 참조한다.
(syn - syn + ack - ack ==> establish)
또한 udp에 대해서 가상의 세션을 형성하여 인바운드/아웃바운드에 대한 양방향성 통제가 가능하다.
방화벽은 메모리에 해당 세션을 저장한다. 또한 저장된 정보를 검색할 수 있다. 따라서 DOS 공격의 차단이 용이하다. 왜냐고? 세션의 수를 보고 어라 이것은 syn attack 이다..라고 판단할 수 있으니까...
또한 세션이 성립된 이후의 패킷들은 검사없이 통과시키므로 고속의 처리가 가능하다. (역시 이것도 패킷의 헤더를 보고 상태테이블과 맵핑시켜 정당할 경우만 해당)
가령 established 된 상태에서 갑자기 syn 패킷이 날아오면 당연히 drop된다.(해당 세션으로 이럴 경우는 드물지만... 여하튼...)
세션이란 출발지 ip, 목적지 ip, 출발지 port, 목적지 port 등 네가지 요소이며 이를 만족하면 세션으로 본다.
icmp 경우 포트가 없지만 세션으로 처리할 수 있다. 또한 vandor ID가 존재하기 때문에 대부분 이 가늠자를 가지고 판단할 수 있다. (뭘.. 같은 놈인지 아닌지를)
IDS란? Intrusion Detection System, 침입 탐지 시스템
-네트워크 시스템에서 정당한 사용 권한이 없는 사용자의 침입을 감시하고 강제로 접속을 끊는 등 필요한 조치를 취하는 시스템을 의미한다.
침입 탐지 시스템은 보통 방화벽과 함께 운용되는데 방화벽은 외부의 침입을 감지하는 시스템이고, 침입 탐지 시스템은 방화벽 내부에서 침입자의 행동을 감시하는 시스템이다.
침입 탐지 시스템은 방화벽으로 막을 수 없는 CGI를 이용한 공격이나 버퍼오버플로우(Buffer Over Flow)도 탐지할 수 있을 뿐만 아니라 LAN 내부의 구성원이 저지를 수 있는 부정한 행위까지 감시할 수 있다.
침입 탐지 시스템(IDS)은 침입 탐지를 위한 기준 데이터에 따라 네트워크+기반+IDS(Network Based IDS), 호스트 기반 IDS(Host Based IDS), 하이브리드 기반 IDS(Hybrid Based IDS)로 분류한다. 또한 IDS는 탐지 방식에 따라 비정상행위 탐지 방식 IDS(Anomaly IDS)과 오용 탐지 방식 IDS(Misuse IDS)으로 구분하고, 대응 방식에 따라 액티브 IDS(Active IDS)와 패시브 IDS(Passive IDS)로 구분한다.
네트워크 기반 IDS는 네트워크 패킷을 감시하는 방식으로 하나의 IDS를 이용하여 내부와 외부를 모두 감시할 수 있지만 ID를 도용한 사용자를 탐지할 수 없다는 단점이 있다.
호스트 기반 IDS는 로그 파일과 감사(Audit) 자료를 이용하여 침입을 탐지하는 방식으로 ID를 도용한 사용자까지도 탐지할 수 있지만 시스템 자원을 많이 사용한다
그래서 보통 침입 탐지 시스템은 호스트 기반과 네트워크 기반 IDS를 복합한 하이브리드 기반의 IDS를 사용한다.
오용 탐지 방식 IDS(Misuse IDS)는 사용자마다 미리 정의된 데이터 사용 규칙을 만들어 놓고, 이 범위를 벗어나는 경우 침입한 것으로 판단하는 것이다. 오용 탐지 방식 IDS는 오판율이 낮은 대신 새로운 공격 유형에 대해서는 대응하지 못하는 단점이 있다.
비정상행위 탐지 방식 IDS(Anomaly IDS)는 로그 파일과 사용자의 활동, 시스템 호출 등을 감시하여 침입을 탐지하는 방식으로 새로운 공격 유형을 탐지할 수 있지만 오판율이 높다는 것이 단점이다. 실제로 미공군에 대한 20,000건의 침입 탐지 사건 중 실제 침입은 2건에 불과했다는 보고가 있다.
액티브 IDS(Active IDS)는 침입자의 세션을 강제로 종료하고 이후 접속하지 못하도록 차단하는 방식으로 방화벽과 함께 동작한다.
패시브 IDS(Passive IDS)는 침입자가 있다는 것을 메신저나 메일을 통해 알려주는 방식이다.
IPS란? -침입방지시스템 : IPS, Intrusion Prevention System
침입방지시스템은 침입자의 공격 시그니처를 찾아내 네트워크에 연결된 기기에서 수상한 침입 활동이 이루어지는지를 감시하며, 침입방지를 위하여 자동으로 조치를 취함으로써 그것을 중단시키는 보안 솔루션이다.
침입방지시스템은 수동적인 방어 개념의 방화벽이나 IDS와 달리 침입유도시스템이 지닌 지능적 기능과 적극적으로
자동 대처하는 능동적인 기능이 합쳐진 개념으로 코드레드 웜 발생시 무용지물이 된 기존 솔루션의 대안으로 떠올랐다.
◎ 침입방지시스템과 방화벽 & IDS와의 차별성
침입방지시스템은 바이러스 웜이나 불법침입/분산서비스 거부공격 (DDOS:Distributed Denial of Service) 등의
비정상적인 이상신호를 발견 즉시 인공지능적으로 스스로 적절한 조치를 취한다는 점에서 침입 방지 시스템은 방화벽이나 IDS와 차별성을 갖는다.
즉 기존 IDS는 이미 알려져 있는 공격 시그니처를 감시하면서 수상한 네트워크 활동을 찾아내기 위한
목적으로 이상 네트워크 활동을 찾아냈을 경우 해당 운영 직원에게 경고 메시지를 보내고 침입의 진전상황을
기록하고 보고하는 것으로 끝나 문제를 즉각적으로 처리하지 못하는 데 반해 침입방지시스템은 침입 경고 이전에 공격을 중단시키는데 초점이 맞춰져 있다.
출처 : http://cafe.naver.com/linuxjjangclub
댓글