Section 46 45강. Section 29. VPN_(5) 보안연계
- 보안 연계(SA, Security Association)
> AH프로토콜과 ESP 프로토콜을 이용하여 다양한 보안 서비스를 제공하기 위하여 보안프로토콜 각각에 대한 보안 매개변수집합(알고리즘 식별자, 모드, 키 등)을 정의하는 역할
> SA는 한 장비와 다른 장비 사이에 맺은 특정한 종류의 보안 연결에 대한 보안 정보
> 둘 사이 안전한 통신을 하기 위해 사용하는 보안 방법을 명시
> 보안 연계 데이터베이스(SAD)에 포함
> 보안 연계 서비스를 수행하기 위한 DB는 SPD및 SAD가 있음
● SPD(Security Policy Database) : IPSec 환경 하에서 보안 정책을 수행하기 위한 정책 DB로서 외부에서 유입되거나 외부로 유출되는 모든 IP 데이터그램에 대하여 패킷 제거, 통과, IPSec 처리로 분류
● SAD(Security Association Database) : 각각의 보안 연계(AH SA, ESP SA, ISAKMP SA)와 관련 된 매개 변수값을 저장하는 데이터베이스
- IKE(Internet Key Exchange)
> IPSec에서의 키 관리 프로토콜은 보안 정책을 협상하고 ESP, AH에서 사용하게 될 키를 관리하기 위한 프로토콜
> IKE는 내부적 및 외부적 보안 연계(SA)를 생성하기 위해 설계 된 프로토콜
> IKE는 Oakley, SKEME 및 ISAKMP 프로토콜에 기반을 둔 프로토콜
● Oakley, SKEME는 운동장(ISAKMP)에 있는 선수를 연상
● ISAKMP는 Framwork를 제공하며 운동장을 연상
- IKE 키관리
> 최초의 키를 안전하게 나누어 갖는 방법은 Preshared Key 방식과 Public Key 기반 방식이 존재
● Preshared Key : 통신 양쪽 단이 동일한 키가 관리자에 의해 입력되는 방식으로 규모가 큰 망에서는 확장성이 떨어짐
→ 관리자가 각각 입력해야되므로 확장성이 떨어지는 단점 존재
● Public Key : 신뢰할 수 있는 제 3자에게 키를 나누어주고 관리하는 방식으로 PKI 시스템 구축 필요
- 역추적 시스템
> 역추적(traceback)이란 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기술
> 호스트 기반 연결 역추적 기술과 네트워크 기반 연결 역추적 기술로 분류됨
- ESM(Enterprise Security Management)
> 보안시스템을 관제, 운영, 관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템
> 통합보안관제를 위해 구축 된 다양한 보안솔루션/장비(F/W, WFW, IDS, IPS, VPN 등)에서 발생하는 로그, 보안 이벤트를 취합하고 이들 간에 상호 연관 분석을 하여 실시간 보안 위협을 파악 및 대응하는 역할 수행
- ESM의 구성 요소
| 분류 | 구성요소 |
| ESM 클라이언트 | 에이전트 |
| ESM 서버 | ESM 매니저 ESM 콘솔 |
| ESM 데이터 매니지먼트 | ESM Event Log Repository ESM Policy Repository |
- ESM의 주요기능
| 분류 | 내용 |
| 통합 로그 관리 | 솔루션별 로그 수집 및 통합관리 |
| 이벤트 필터링 | 보안 정책 기반의 이벤트 수집 기준 제공 및 이에 따른 지능적 이벤트 처리 |
| 실시간 통합 모니터링, 경보, 상황 전파 | ESM 콘솔을 통한 관리자의 다양한 검색 기능 지원 솔루션별/통합 모니터링 지원 |
| 로그 분석 및 의사결정 지원 | 정책 기반의 로그 분석 후 위험도 결정 위험 발생 내역의 추적 분석 제공 |
| 긴급대응 | 위험도와 이벤트별 대응 기준에 따른 ESM 매니저의 자동화된 차단 에이전트를 통해 개별 솔루션에 전달 |
| 리포팅 | 서비스, 일자, 로그별로 위험 발생 및 조치현황 |
- UTM (Unified Threat Management)
> 다양한 보안 기능을 하나의 장비로 통합하여 제공하는 보안 솔루션
> 장점 : 단일 장비로 다양한 보안 기능을 수행하여 경제성과 보안 관리 및 운영을 편리하게 수행
> 단점 : 장애 발생 시 모든 보안기능에 영향을 미침
- NAC(NEtwork Access Control)
> 주요기능
| 분류 | 주요기능 |
| 접근 제어/인증 | 내부 직원 역할 기반의 접근 제어 네트워크의 모든 IP 기반 장치 접근 제어 |
| PC 및 네트워크 장치 통제 (무결성 체크) |
백신, 패치 및 자산 관리 |
| 해킹, 웜, 유해 트래픽 탐지 및 차단 | 유해 트래픽 탐지 및 차단 해킹 행위 차단 |
> IP주소에 대응하는 MAC주소를 기반으로 수행
- SIEM (Security Information Event Management)
> IT 시스템 및 보안 시스템에서 발생하는 로그를 분석하여 이상 징후 파악
- 패치관리시스템(PMS, Patch Management System)