네트워크 FW, VPN, PKI, IDS 의 특징

 

FW(firewall)

 방화벽은 ‘외부 네트웍의 침입으로부터 내부 네트웍을 보호하기 위한 시스템으로 외부의 침입을 차단하기 때문에 침입 차단 시스템이라고 부르기도 한다.

물리적으로는 패킷 필터링, 프록시 소프트웨어가 실행중인 H/W.

​또다른 말로 초크 포인트(choke point)라 불린다.

Request가 오면 방화벽은 룰셋에 등록된 Request만 처리하고 아닌 경우에는 차단(drop)한다.

 

1) Packet Filtering Firewall

2) Application Gateway Firewall

3) Circuit Gateway Firewall

4) Stateful Inspection : 동적 패킷 필터링

5) Hybrid Firewall

6) Bridge Mode Firewall

7) Router Mode Firewall

8) NAT Mode Firewall

 

 

VPN

 가상 사설망(영어: Virtual private network, VPN)은 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망이다. 가상 사설망에서 메시지는 인터넷과 같은 공공망 위에서 표준 프로토콜을 써서 전달되거나, 가상 사설망 서비스 제공자와 고객이 서비스 수준 계약을 맺은 후 서비스 제공자의 사설망을 통해 전달된다.

가상 사설망의 등장배경은 인터넷을 기반으로 한 기업 업무환경의 변화에 기인한다. 즉, 소규모 지역에서 문서만을 전달하던 업무처리 기반에서 하나의 건물 내의 네트워크를 이용한 업무로, 다시 본사와 다수의 지사 관계, 또한 지사는 국내 지사와 국외 지사로 확장되었다. 이들이 하나의 네트워크 구축을 위해 기존 전용선을 사용하는 방법에는 비용을 포함한 여러가지 한계를 가지며, 전용선을 이용해서 네트워크가 구성되었다고 하더라도 네트워크 운영을 자체적으로 하는 것과 새로운 기술들을 도입하는 것 역시 기업의 입장에서는 상당한 부담이 될 수 있다. 또한 기존의 공중 네트워크는 보안과 관련해서는 서비스를 제공하지 않기 때문에 중요한 문서나 데이터를 전달하기에는 부족한 점이 있었다. 이러한 복합적인 이유가 가상 사설망이 등장한 계기가 

 

PKI

PKI는 기본적으로 인터넷과 같이 안전이 보장되지 않은 공중망 사용자들이, 신뢰할 수 있는 기관에서 부여된 한 쌍의 공개키와 개인키를 사용함으로써, 안전하고 은밀하게 데이터나 자금을 교환할 수 있게 해준다. PKI는 한 개인이나 기관을 식별할 수 있는 디지털 인증서와, 인증서를 저장했다가 필요할 때 불러다 쓸 수 있는 디렉토리 서비스를 제공한다. 비록 PKI의 구성 요소들이 일반적으로 알려져 있지만, 공급자 별로 많은 수의 서로 다른 접근방식이나 서비스들이 생겨나고 있으며, 그동안에도 PKI를 위한 인터넷 표준은 계속하여 작업이 진행되었다.

 

PKI는 인터넷 상에서 메시지 송신자를 인증하거나 메시지를 암호화하는데 있어 가장 보편적인 방법인 공개키 암호문을 사용한다. 전통적인 암호문은 대개 메시지의 암호화하고 해독하는데 사용되는 비밀키를 만들고, 또 공유하는 일들이 관여된다. 이러한 비밀키나 개인키 시스템은, 만약 그 키를 다른 사람들이 알게 되거나 도중에 가로채어질 경우, 메시지가 쉽게 해독될 수 있다는 치명적인 약점을 가지고 있다. 이러한 이유 때문에, 인터넷 상에서는 공개키 암호화와 PKI 방식이 선호되고 있는 것이다 (개인키 시스템은 때로 대칭 암호작성법, 그리고 공개키 시스템은 비대칭 암호작성법이라고도 불린다).

 

PKI는 다음과 같은 것들로 구성된다.

 

디지털 인증서를 발급하고 검증하는 인증기관

공개키 또는 공개키에 관한 정보를 포함하고 있는 인증서

디지털 인증서가 신청자에게 발급되기 전에 인증기관의 입증을 대행하는 등록기관

공개키를 가진 인증서들이 보관되고 있는 하나 이상의 디렉토리

인증서 관리 시스템

 

IDS

 침입 탐지 시스템 (IDS)이란 시스템과 네트워크 작업을 분석하여 권한이 없는 사용자가 로그인하거나 악의성 작업이 있는지 찾아내는 활성 프로세스 또는 장치를 말합니다. IDS가 예외적인 작업을 찾아내는 방법은 다양합니다; 그러나 모든 IDS의 궁극적인 목적은 침입자가 시스템 자원에 심각한 손상을 끼치기 전에 범인을 찾아내는 것입니다.

 

 IDS는 시스템 공격, 오용이나 침입을 방지합니다. 또한 네트워크 활동을 감시하고 네트워크와 시스템 설정에 취약점이 있는지 확인하며 데이터 무결성을 분석하는 등의 다양한 작업을 수행할 수 있습니다. 여러분이 사용하시는 탐지 방법에 따라서 IDS를 사용함으로서 여러가지 직접적인 혜택과 간접적인 혜택을 받으실 수 있습니다.

출처 : http://m.blog.naver.com/internetpr/220500545614, http://www.terms.co.kr/PKI.htm , http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-ko-4/ch-detection.html