본문 바로가기
보안/네트워크

DiD (Defense in Depth)

모아이모아이 2015. 3. 4. 00:41

DiD (Defense in Depth)


군대용어이고 직역하면 중심방어, 다계층, 다단계 방어를 의미한다.



아래와 같이 다계층 방식의 방어 방법을 사용한다.



간단히 성을 보호하는 예제를 통해 쉽게 이해할 수 있다.




위키피디아 설명


castle approach라고도 알려진 Defense in Depth는 정보 보증 개념이다. 이때 보안 컨트롤(방어)의 다수의 계층은 정보 기술(IT) 시스템 전반에 배치되어있다.


Defense in Depth는 몇가지의 독립적인 방법을 사용하여 특정 시스템의 공격에 대한 방어를 목적으로 한다. 이것은 전자, 정보 보안을 위한 포괄적인 접근으로서 National Security Agency (NSA)으로 부터 고안되었다. 이 방어기법은 본래 시간을 벌기 위해 공간을 제공함으로써 예방하기 보단 지연을 목적으로한 군사 전략이다. 


정책, 절차, 보호 메카니즘의 배치는 IT 시스템의 신뢰성을 증가시키기 위함이고 다수의 방어 계층은 중요한 시스템에 대한 직접적인 공격과 스파이를 예방한다. 컴퓨터 네트워크 방어 측면에서 Defense in Depth는 공격에 응답하고 방어하여 조직에게 시간을 벌어다 주어 보안 침투를 예방할 뿐만 아니라 경감시키는 결과를 제공한다.




애플리케이션에 버퍼오버플로우의 취약점이 있다면?


관리적(Managerial) , 물리적(Physical) , 기술적(Technical) 인 부분을 고려해야 한다.


1. 관리적

- 시큐어 코딩


2. 물리적

- ???


3. 기술적

- Deploy H-IPS (H-IPS를 배치한다)

- Wait for official patch and install the pathch (공식적인 패치를 기다린 뒤 설치한다)

- Network based access control (네트워크 기반의 접근 제어를 한다)





HK모델 (HK Model)



HK 모델을 통해 DID를 구상할 수 있다.


 

 C

 I

 A

 Data Layer

 암호화

 데이터 무결성 체크

 데이터 백업

 DB/Application Layer

 암호화

 DB 무결성 체크

 DB백업, 미러링(비쌈)

 OS/Platform Layer

 

 tripwire

 

 Network Layer (비쌈)

 SSL 또는 VPN

 

 Bandwidth 확장

 안티디도스 설치

 Physical Layer

 

 






내가 만약 보안컨설턴트라면?


 비용

 5

 1

 1

 1

 1

 환경

 WIndows PC

 Windows

 Server

 시스코 N/W

 오라클 DB

 아파치

 보안문제

 Windows XP
 취약점

 

 디도스

 

 버퍼오버플로우


위와 같다고 가정할 경우 네트워크 레이어 층에서는 다음과 같은 DiD를 구상할 수 있다.


1. 기밀성(C)

- Protection : 방화벽, ACL

- Detection : IDS(Network-Based)

- Reaction : manaual IP 차단


2. 가용성(A)

- Protection : 백업, QoS

- Detection : MMS, 안티디도스

- Reaction : 안티디도스


3. 무결성

- 무결성은 아직 취약하다.





네트워크 구성


1. 네트워크 구성 1


'



2. 네트워크 구성 2



- 내부망과 외부망, DMZ를 서로 다른 네트워크로 구성한다.

- 장비의 설정을 변경할 필요가 있다.



3. 네트워크 구성 3



- 여기서는 VPN의 위치가 중요하다.

- 방화벽은 모든 패킷을 볼 수 없다.

- VPN이 IPS보다 앞에 있어야 공격을 먼저 막을 수 있다.

- 그렇지 않을 경우...

- 만약 공격자가 암호화 하면 IPS는 탐지 못하기 때문에 그냥 IPS를 통과해버리고 검사해도 무용지물이다.

- 괜히 트래픽만 늘어날 수 있다.



4. 네트워크 구성 4


고려대학교(KU)를 방어하는 네트워크를 구성해 본다.



다음과 같이 구성할 경우 공격자는 내부 도메인을 알 수 없다.







차세대 방화벽 vs WAF + Firewall


- 현대의 경우 차세대 방화벽은 웹 기반의 공격을 막을 수 있다.

- 하지만 비싸고 너무 부하가 크다.

- 따라서 보통은 방화벽 + 웹기반 방화벽(WAF) 방식을 쓴다.

- 하지만 한명의 관리자가 사용하려면 차세대 방화벽이 더 나을 수 도 있다.







허니팟 (honey pot)


1. Low interaction Honey Pot


- 서버가 아닌 진짜 에뮬레이터이다.

-해커가 침범하면 가짜 파일리스트를 보내준다.

- 하지만 유능한 해커는 이것이 진짜가 아니라는 것을 안다.



2. High interaction Honey Pot


- 버추얼 머신으로 동작하다가 시그니처를 생성한다.

- 그리고 IDS에게 전달하고 재부팅한다.



'보안 > 네트워크' 카테고리의 다른 글

Slow Read  (0) 2015.03.05
Fire Walking  (0) 2015.03.05
IDS (Intrusion Detection System) 와 IPS (Intrusion Prevention System)  (1) 2015.03.03
방화벽 (FireWall)  (0) 2015.03.02
TCP 플러딩 공격  (0) 2014.12.10

'보안/네트워크' Related Articles

티스토리툴바