UTM이란

Unified Threat Management 의 줄임말로, 통합 위협 관리를 말합니다.

UTM 방화벽은 다양한 보안 기능을 하나의 장비에서 통합하여 제공합니다. 이로 인해 여러 개별 보안 장비를 구매하고 관리할 필요가 없어지며, 통합된 기능으로 보안을 관리할 수 있습니다.

UTM 방화벽의 기능

기본적으로 방화벽의 기능인 네트워크 트래픽을 모니터링하고, 혀용되지 않은 접근을 차단하여 외부에서 내부로의 불법적인 접근을 막습니다.

• 바이러스 방지 : UTM은 네트워크를 모니터링할 수 있는 바이러스 백신 소프트웨어를 제공하며, 바이러스가 시스템 또는 장치를 손상시키는 것을 탐지하여 차단할 수 있습니다. 
• 애플리케이션 필터링 : 네트워크에서 사용되는 애플리케이션을 모니터링하고, 정책을 적용하여 특정 애플리케이션의 사용을 제한하거나 차단할 수 있습니다.
• 가상 사설망 (VPN) : 안전한 원격 접근을 위해 VPN 을 제공하며, 데이터 암호화를 통해 데이터 보안을 강화합니다.
• 웹 필터링 : 웹 트래픽을 모니터링하고, 웹 사이트 차단, 콘텐츠 필터링, 악성 웹사이트 차단 등을 통해 웹 보안을 강화합니다.
• 데이터 손실 방지 : 데이터 유출이나 유출 시도를 감지해서 차단하여 데이터를 보호합니다.

UTM 방화벽의 이점

• 유연성 및 적응성 : UTM 네트워크는 최신 인프라에서 사용할 수 있는 복잡한 네트워킹 구성을 처리할 수 있습니다. 두 개 이상의 보안 기술을 원하는 대로 자유롭게 배치할 수 있습니다. 또한 시스템이 최신 위협에 대응할 수 있도록 자동 업데이트를 제공합니다.
• 편의성 : UTM 방화벽은 사용자 친화적인 인터페이스와 설정 도구로 사용자가 쉽게 구성하고 관리할 수 있도록 지원합니다.
• 비용 효율성 : 중앙 집중식 설정으로 인해 네트워크 보호에 필요한 장치의 수를 줄입니다. 따라서 비용 절감 효과를 얻을 수 있고, 시스템을 모니터링하는 데 필요한 인력이 적기 때문에 인력 비용도 절감할 수 있습니다.

UTM 방화벽의 단점

• 성능 이슈 : UTM 방화벽은 여러 보안 기능을 하나의 장비에서 처리하기 때문에 성능 문제가 발생할 수 있습니다. 특히 네트워크 트래픽이 많거나 복잡한 보안 정책이 필요한 경우 성능 저하가 발생할 수 있습니다.
• 커스터마이징 한계 : UTM 방화벽은 다양한 통합 기능을 제공하지만, 특정 보안 기능에 대한 고도의 커스터마이징이 어려울 수 있습니다. 즉, 특정 기능의 세부 설정이나 조정이 더 복잡할 수 있습니다.

ACL

2023.07.29 - [네트워크/라우터] - ACL

상태 저장 검사

ACL은 출발지, 목적지 주소와 포트에만 의존하고, 트래픽을 검사하는 현재 상태만을 보고 필터링하는 비 상태 저장 검사입니다.

상태 저장 검사는 독립적인 패킷 구조가 아닌 하나의 세션을 저장하고 추적하여 일반적으로 더 안전합니다.

CBAC

기존의 Reflexible ACL은 단순히 3계층과 4계층의 헤더 정보를 기반으로 단일 채널 어플리케이션만 제어할 수 있습니다.

그래서 FTP 처럼 두개 이상의 포트를 사용하는 동적 포트 서비스들은 정상적으로 처리할 수 없습니다.

이를 해결하기 위해 등장한 SPI는 세션 정보와 특정 프로토콜의 동작을 인식할 수 있어 위의 문제점을 해결할 수 있고, 응용 계층의 정보도 어느 정도 제어가 가능합니다.

CBAC는 CISCO에서 지원하는 상태 저장 검사 방화벽 기법입니다.

SPI를 지원하고 3계층과 4계층의 트래픽을 처리하며 응용 계층의 트래픽도 제어할 수 있습니다.

동작원리

CBAC는 모든 TCP 및 UDP 패킷을 검사하고 패킷의 ‘상태’또는 ‘연결상태’를 모니터합니다.

검사를 통과하는 패킷은 방화벽을 통과하고 통과된 패킷에 대한 상태테이블(State Table)을 생성하여 세션 상태 정보를 유지합니다.

CBAC은 상태테이블의 정보를 바탕으로 ACL 항목들을 동적으로 생성하고 삭제합니다.

즉, 허용된 정책의 내용만 세션을 저장하고 임시 ACL을 생성하여 통신합니다.

일정 시간이 지나거나 통신이 종료되면 생성했던 임시 ACL을 폐기합니다.

설정 방법

Router(config)#

ip inspect name [ rule name ] [protocol]
int [ 인터페이스 ]
ip inspect [name] [in/out]
show ip inspect session detail

데이터베이스

데이터베이스 개념

특정 조직의 여러 사용자가 공유해 사용할 수 있도록 통합해서 저장한 운영 데이터의 집합

정보 시스템이란 조직 운영에 필요한 데이터를 수집해 저장했다가 의사 결정이 필요할 때 처리해 유용한 정보를 만들어주는 수단이다.

데이터베이스는 정보시스템 안에서 데이터를 저장하고 있다가 처리가 필요할 때 데이터를 제공하는 핵심 역할을 한다.

데이터베이스 정의

• 공유 데이터 : 특정 조직의 여러 사용자가 함께 소유하고 이용할 수 있는 데이터
• 통합 데이터 : 데이터의 중복을 최소화하고 통제가 가능한 중복만 허용하는 데이터
• 저장 데이터 : 컴퓨터가 접근할 수 있는 매체에 저장된 데이터
• 운영 데이터 : 조직을 운영하고 조직의 주요 기능을 수행하기 위해 지속적으로 유지해야 하는 데이터

데이터베이스 특징

• 실시간 접근 가능 : 사용자의 데이터 요청에 실시간으로 응답
• 계속 변화 : 데이터의 계속적인 삽입, 삭제, 수정을 통해 현재의 정확한 데이터 유지
• 내용 기반 참조 : 데이터가 저장된 주소나 위치가 아닌 내용으로 참조
• 동시 공유 : 서로 다른 데이터의 동시 사용과 같은 데이터의 동시 사용 지원

형태에 따른 데이터 분류

• 정형 데이터 : 미리 정해진 구조가 있는 데이터      ex) 스프레드시트
• 반정형 데이터 : 내용 안에 구조에 대한 설명이 있는 데이터      ex) HTML, JSON 문서
• 비정형 데이터 : 정해진 구조가 없는 데이터      ex) 영상, 이미지, 음성

특성에 따른 데이터 분류

• 범주형 데이터 : 종류를 나타내는 값
  •  명목형 데이터 : 서열이 없다.     ex) 성별, 거주지, 학과명
  •  순서형 데이터 : 서열이 있다.     ex) 학년, 학점, 회원 등급
• 수치형 데이터 : 크기 비교와 연산이 가능한 값
  •  이산형 데이터 : 개수를 세어야 한다.     ex) 고객수, 판매량
  •  연속형 데이터 : 측정을 해야 한다.        ex) 키, 몸무게, 온도

데이터베이스 관리 시스템

파일 시스템 문제점

• 같은 내용의 데이터가 여러 파일에 중복 저장된다.
• 응용 프로그램이 데이터 파일에 종속적이다.
• 데이터 파일에 대한 동시 공유, 보안 회복 기능이 부족하다.
• 응용 프로그램을 개발하기 어렵다.

데이터베이스 관리 시스템

DataBase Management System을 줄여서 DBMS라고 한다.

데이터베이스에 접근하여 정의, 조작, 제어 등의 관리를 지원하는 소프트웨어이다.

데이터베이스에 적재된 데이터 작업을 수행하고, 데이터베이스를 보호하며, 보안을 제공한다.

기능

• 구성(정의) : 데이터베이스에 저장될 자료의 구조와 응용프로그램이 이 구조를 이용하는 방식을 정의
• 조작 : 사용자의 요구에 따라 데이터베이스에 접근해 저장된 자료를 검색, 갱신, 삽입, 삭제할 수 있도록 한다. 데이터 언어로 조작
• 제어 : 사용자가 조작하려는 작업이 데이터 무결성을 파괴하지 않도록 요청을 제어. 사용자의 권한을 검사하여 보안을 유지하고, 동시 접근하여 처리 시 처리 결과가 항상 정확성을 유지하도록 한다.

장단점

발전 과정

~ 1960년 : 파일 시스템

1960년~1세대 : 네트워크 dbms(노드와 간선으로 그래프 형태를 구성해 데이터베이스를 만들어낸다.), 계층 dbms(네트워크형보다 간단하게 트리 형태로만 표현)

1~2세대 : 관계 dbms(테이블 형태)

2~3세대 : 객체 dbms(객체 지향 프로그래밍에서 객체라는 개념을 데이터 베이스에 사용한 형태), 객체관계 dbms(관계형 데이터 모델에 객체 지향 개념을 도입)

3~4세대 : NoSQL dbms(데이터베이스가 주는 안정성과 일관성 유지의 장점을 포기하고, 비정형 데이터 처리에 초점), NewSQL dbms(NoSQL 이 관계형을 완전히 대체하지 못해 등장)

데이터베이스 시스템

데이터베이스 스키마, database schema

데이터베이스에서 데이터 구조와 표현법, 자료 간의 관계를 형식 언어로 정의한 것이다.

데이터베이스의 논리적인 구조를 표현하는 것으로, 데이터가 어떤 구조로 저장되는지 나타낸다.

• 외부 스키마 : 사용자 관점의 스키마. 사용자 또는 프로그램 입장에서의 논리적 구조로 여러 개가 존재
• 개념 스키마 : 사용자와 관리자 관점의 스키마. 실제로 어떤 데이터가 저장되었으며, 데이터 간의 관계는 어떻게 되는지를 정의하는 스키마로, 전체 관점으로 하나만 존재. 접근권한, 보안 및 무결성 등에 관한 정의를 포함
• 내부 스키마 : 저장 장치와 데이터베이스 설계자 및 개발자 관점의 스키마. 개념 스키마를 물리적 장치에 구현하는 방법을 정의, 물리적 구조나 내부 레코드의 물리적 순서 등을 표현

• 논리적 독립성 : 외부 스키마와 개념 스키마 사이의 독립성. 응용프로그램에 영향을 주지 않고 논리적 구조를 변경
• 물리적 독립성 : 개념 스키마와 내부 스키마 사이의 독립성. 논리적 구조에 영향을 주지 않고 물리적 구조를 변경하고 관리

데이터베이스 사용자

• 데이터베이스 관리자 : 데이터 언어인 DDL, DCL을 이용해 데이터베이스를 정의, 제어
  데이터베이스를 설계, 관리, 운용 및 통제하며 효율성과 경제적인 효용성을 높이기 위해 시스템 감시 및 성능 분석
• 최종 사용자(일반 사용자) : 질의어(쿼리 언어)를 통해 데이터베이스 관리 시스템에 접근
  데이터 삽입, 삭제, 갱신, 검색 등의 목적으로 데이터베이스 관리 시스템 이용
• 응용 프로그래머 : C, Visual Basic 같은 호스트 프로그래밍 언어에 DML을 삽입하여 데이터베이스에 접근

• 데이터 정의어(DDL) : 데이터베이스 구조, 데이터 형식, 접근 방식 등 데이터베이스를 구축하거나 수정할 목적으로 사용
  논리적 데이터 구조와 물리적 데이터 구조의 사상을 정의하고 데이터베이스 관리자나 설계자가 사용
  CREATE, DROP, ALTER 명령어
• 데이터 조작어(DML) : 사용자가 데이터를 처리할 수 있게 해주는 도구로써 응용 프로그램과 dbms 간의 인터페이스 제공
  SELECT, INSERT, DELETE, UPDATE 명령어
• 데이터 제어어(DCL) : 데이터 무결성, 보안 및 권한 제어, 회복 등을 하기 위한 언어
  데이터를 보호하고 관리하는 목적으로 사용
  COMMIT, ROLLBACK, GRANT, REVOKE 명령어

데이터 모델링

데이터 모델링

주어진 개념으로부터 논리적인 데이터 모델을 구성하는 작업으로, 일반적으로 이를 물리적인 데이터베이스 모델로 환원하여 사용자의 요구에 따라 특정 정보 시스템의 데이터베이스에 반영하는 작업을 포함한다.

데이터 모델

현실 세계의 정보들을 컴퓨터에 표현하기 위해 단순화, 추상화하여 체계적으로 표현한 개념적 모형

데이터, 데이터의 관계, 데이터의 의미 및 일관성, 제약 조건 등을 기술하기 위한 개념적 도구들로 구성

구성 요소 : 개체, 속성, 관계

종류 : 개념적 데이터 모델, 논리적 데이터 모델, 물리적 데이터 모델

• 연산 : 데이터베이스에 저장된 실제 데이터를 처리하는 작업에 대한 명세로서 데이터베이스를 조작하는 기본 도구
• 데이터 구조 : 논리적으로 표현된 개체 타입들 간의 관계로서 데이터 구조 및 정적 성질 표현
• 제약조건 : 데이터베이스에 저장될 수 있는 실제 데이터의 논리적인 제약 조건

관계 데이터 모델

하나의 개체에 관한 데이터를 릴레이션 하나에 담아 데이터베이스에 저장

릴레이션의 열을 속성 또는 애트리뷰트(attribute)라고 부름

릴레이션의 행을 투플(tuple)이라 부름

속성 하나가 가질 수 있는 모든 값의 집합을 해당 속성의 도메인(domain)이라고 함
관계 데이터 모델에서는 속성 값으로 더는 분해할 수 없는 원자 값만 사용

하나의 릴레이션에서 투플의 전체 개수를 릴레이션의 카디널리티(cardinality)라고 함

ACL 이론 정리

2023.07.29 - [네트워크/라우터] - ACL

Standard ACL

이렇게 토폴로지를 만들어 주고 주소 할당을 해줍니다.

이제 표준 acl을 사용하여 ssh 접속을 허용하거나 막아보겠습니다.

//전역 설정 모드
hostname < choeun >
ip domain-name < pce >
crypto key generate rsa
< 1024 >
username < pce > secret < 0000 >
line vty < 0 4 >
//서브 설정 모드
login local
transport input ssh
exit
//전역 설정 모드
enable secret < 1111 >

먼저 라우터에 ssh 설정을 해줍니다.

<> 안의 내용은 자신이 하고싶은 내용으로 입력합니다.

pc와 서버에서 잘 접속이 되는 것을 확인할 수 있습니다.

그럼 다시 라우터로 돌아와 acl 설정을 해주겠습니다.

//전역 설정 모드
access-list < 1 > permit < 192.168.10.0 > < 0.0.0.255 >
int g0/0
//서브 설정 모드
ip access-group < 1 > in
int g0/1
ip access-group < 1 > in

acl 번호 1 - 99는 표준 acl입니다. 192.168.10.0 에서 오는 요청만 허용하도록 설정했습니다.

인터페이스 기준으로 ssh 요청은 들어오는 요청이므로 인바운드로 했습니다.

다시 접속을 시도해보면 네트워크 주소가 192.168.10.0 인 pc에서는 접속이 잘 되지만 주소가 192.168.20.0 인 서버에서는 접속이 안됩니다.

acl에서는 먼저 적용된 규칙 외에는 모두 무시하기 때문입니다.

//전역 설정 모드
no access-list 1
access-list 1 permit 192.168.30.0 0.0.0.255
int g0/0
ip access-group 1 in
int g0/1
ip access-group 1 in

위에서 만들었던 acl을 없애고 192.168.30.0에서 오는 요청만 허용하도록 acl을 새로 만들어 적용했습니다.

그리고 다시 접속해보면 pc와 서버 모두 접속이 차단됩니다.

192.168.30.0 주소를 가진 요청만 허용했기 때문에 192.168.10.0, 192.168.20.0 주소를 가진 요청들이 거부됩니다.

Extended ACL

토폴로지는 standard acl과 똑같이 만들었습니다.

확장 acl은 출발지 주소로만 필터링할 수 있었던 표준 acl과 달리 프로토콜, 목적지 주소, 포트와 같은 옵션도 사용할 수 있습니다.

그래서 핑을 보내는데 사용되는 icmp를 막아보겠습니다.

//전역 설정 모드
access-list < 100 > deny icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list < 101 > permit ip any any
int g0/0
//서브 설정 모드
ip access-group 100 in
ip access-group 101 out
int g0/1
ip access-group 100 out
ip access-group 101 in

라우터에 192.168.10.0 에서 192.168.20.0 으로 보내는 icmp를 막는 acl 100과 모든 프로토콜을 허용하는 acl 101을 만들어서 각각 인터페이스에 적용했습니다.

그리고 핑을 보내면 pc에서 서버로 핑을 보내지 못합니다.

192.168.10.0 에서 오는 요청을 차단했기 때문에 서버에서 request 패킷을 보내도 pc로부터 reply 패킷을 받지 못해 핑이 실패합니다.

시뮬레이션모드로 보면 pc에서 보내는 파란색 패킷은 서버에 도달하기 전에 라우터에서 acl정책에 따라 차단됩니다.

그리고 서버에서 보내는 보라색 패킷은 pc까지 갔다가 돌아오는 길에 출발지 주소가 192.168.10.0, 목적지 주소가 192.168.20.0으로 되기 때문에 라우터에서 acl 정책에 따라 막힙니다.

그리고 아까 icmp 프로토콜은 막았지만 모든 프로토콜을 허용하는 acl 101을 만들었기 때문에 ssh는 접속이 잘 되는 것을 볼 수 있습니다.

확장 acl에서 ssh가 아니라 웹 접속이나 ftp로 테스트하려고 했는데 왜인지 브라우저 접속이 잘 안되는 바람에..

ssh로 계속 우려먹게 돼서 기분이 별로다 ㅜㅜ

ACL 이란

Access Control List는 접근 제어 목록 또는 액세스 제어 목록이라고 합니다.

라우터에서 트래픽을 필터링합니다. 허가되지 않은 이용자의 접근을 차단합니다.

패킷을 필터링하는 기준은 출발지 주소, 목적지 주소, 포트 번호, 프로토콜입니다.

ACl은 방화벽 구축의 가장 중요한 요소입니다.

AAA ?

ACL에서는 사용자 인증을 위해 AAA를 사용합니다.

Authentication(인증) : 사용자가 접근할 때 신뢰할 수 있는지 신원을 확인하고, 인증에 실패하면 접근이 거부됩니다.

Authorization(인가) : 인증이 성공하면 허용된 사용자가 특정 서비스나 기증 등에 접근할 수 있는 권한을 부여합니다. 허용된 사용자여도 허용되지 않은 서비스에 접근하는 것을 막을 수 있습니다.

Accounting(관리) : 사용량 정보를 수집, 검색 보관합니다. 메트릭 및 정보를 기반으로 사용자 경험과 시스템 리소스를 관리합니다.

역할 기반 접근제어

ACL에서 사용되는 접근제어 방식은 강제적 접근제어, 임의적 접근제어, 역할 기반 접근제어가 있습니다.

강제적 접근제어(MAC) : 엄격한 규칙을 적용하여 보안 등급이 높은 자원에 보안 등급이 낮은 사용자가 접근할 수 없도록 합니다.

임의적 접근제어(DAC) : 특정 자원에 대해 소유자가 직접 권한을 부여합니다.

역할 기반 접근제어(RBAC) : 사용자의 역할에 따라서 권한을 제공합니다. 

역할 기반 접근제어를 사용하면 필요한 최소한의 권한만 부여하기 때문에 보안 강화에 도움이 됩니다.

또한 사용자의 권한을 일일이 설정하거나 수정하지 않아 관리가 용이합니다.

중앙 집중적으로 권한 부여를 처리해 오류 발생 가능성이 줄어듭니다.

역할에 따라 권한을 부여하다 보니 각 상황에 따른 세부적인 권한 설정의 어려움이 있습니다.

ACL 3대 규칙

1. 정책은 위에서부터 아래로 적용됩니다.
2. 먼저 적용된 정책 외에는 모두 무시합니다.
3. 명시된 정책 외에는 모두 거부합니다.

인바운드 아웃바운드

네트워크 인터페이스의 관점에서 들어오는 것은 인바운드, 나가는 것은 아웃바운드라고 합니다.

데이터의 흐름 방향에 따라 인바운드와 아웃바운드가 바뀔 수도 있습니다.

인바운드(Inbound) :  ACl 정책 검사 후 라우팅을 실행하기 때문에 cpu 자원을 절약할 수 있습니다.

연결된 네트워크 또는 들어오는 트래픽이 유일한 패킷 소스일 때 필터링에 적합합니다.

아웃바운드(Outbound) : 라우팅 후에 ACL 정책을 적용합니다.

여러 인바운드 트래픽을 한 번에 처리할 때 적합합니다.

ACL 타입

Standard : 표준 acl이고, 출발지 ip 주소만을 필터링할 수 있습니다.

기능이 간단하고 구성이 쉽습니다.

라우터를 통한 nat에서 사용하기 적합합니다.

Extended : 확장 acl이고, 출발지와 목적지 주소, 사용하는 프로토콜과 포트번호에 따라 필터링할 수 있습니다.

더 많은 유형의 패킷을 제어하고 복잡한 트래픽 정책을 구성할 수 있습니다.

기술적으로 복잡하며 구성이 어렵습니다.

다음 글에서 acl을 실습해 보겠습니다.