NAC(△) + Probe
- TCP/IP 스택의 Network Access와 IP 수준에서 동작 -> MAC주소와 IP주소를 확인
- 어플리케이션 수준에서 관리
- Probe는 Out of path 방식
- L2 Port Down, HTTP Redirect, DHCP 통제, ARP Spoofing(허가받지 않은 PC가 ARP를 수행할 때, 라우터 대신 Reply를 보내서 네트워크를 방어, 혼선을 야기하기 때문에 네트워크 장애의 주 원인) 등을 수행
NAC(○)
- 어플리케이션 수준에서 인증서버와 기간계가 상호인증하는 구조 ex) RADIUS
- Network Access 수준에서 동작 -> MAC주소 확인
- 이와 유사하지만 무선은 WIPS
Hybrid F/W
Firewall
- Packet filter
- L3 수준에서 동작 -> Packet
Web Application Firewall(WAF)
- 어플리케이션 수준에서 동작하는 Firewall
- 구조적으로 Proxy(어플리케이션 수준) 형태
VPN
- Tunneling 기술 + 암호화 프로토콜
- 외부망에 있는 호스트를 마치 내부망에 있는 것처럼 사용 가능
- inner ip header에 vpn client로부터 부여받은 내부망 ip가 src가 되고, 내부망 내의 목적지가 dst가 됨
- outer ip header에서는 실제 ip가 src가 되고, 내부망의 게이트웨이가 dst가 됨
- outer ip header 뒤에는 inner ip header와 payload가 암호화된 형태
- outer ip로 외부망에서 데이터가 전송되고 터널링이 지정된 라우터가 inner ip header src가 된 것처럼 통신을 수행
IPSec VPN
- L3 수준에서 동작
- 암호화 프로토콜이 IPSec
- Gateway to Gateway, Gateway to Endpoint
SSL VPN
UTM
- VPN, F/W, WAF, IPS가 통합된 장치
- 하나의 역할을 수행하는 것보다는 성능이 떨어짐
망분리 & 망연계
- 내부망 보호를 위해 내부망과 외부망을 분리
- 물리적 : 컴퓨터를 2대 사용
- 논리적 : 가상화(cloud 혹은 vm, vdi)
- 어떠한 이유로 외부망에 접속해야 할 때 망연계를 사용
NIDS
- Out of path 구조
- 침입 탐지
- IP 계층에서 응용 계층 수준에서 동작
IPS
- Inline 구조
- 침입 탐지 및 방어
- IP 계층에서 응용 계층 수준에서 동작
- 페이로드에서 감지된 악성 의심 코드를 cloud의 평판 시스템과 연계해 판별
Sandbox
MPS
ESM(Enterprise Security Management system)
- 솔루션을 통해 발생하는 방대한 양의 log를 통합 관리
SIEM
