ingress filtering
- 라우터 외부에서 라우터 내부로 유입되는 패킷 필터링
- 패킷의 src ip or dst port를 체크
- standard or extended access list 사용
egress filetering
- 라우터 so부에서 라우터 외부로 나가는 패킷 필터링
- 나가는 패킷의 src ip 는 라우터와 같은 대역이여야함
blackhole filtering (null routing)
- 특정 ip 대역에 대해 null값으로 보내도록함
unicast rpf
- 들어오는 인터페이스와 나가는 인터페이스가 동일
- access-list or blackhole 필터링 사용
access-list [acl 번호] [permit / deny] [tcp / udp / ip] [src ip] [dst ip] [포트옵션]
============================================================================
IDS
| 지식기반 침입탐지 | 행위기반 침입탐지 |
| 전문가 시스템 상태전이 모델 패턴매칭 |
통계적 분석 예측가능한 패턴 생성 신경망 모델 |
| 오탐이 낮음 신규 패턴 탐지 불가 속도 느림 |
패턴 자동 업데이트 신규 패턴 탐지가능(제로데이) 오탐 높음 정상/비정상 기준이 애매함 |
| N-IDS | H-IDS |
| 비용이 적게 든다 운영체제에 독립적이다 트래픽을 수집하여 분석하기에 해커가 임의로 지우기 어려움 암호화된 트래픽은 분석이 불가능 고속 네트워크에서는 패킷 손실이 높다 호스트 내부의 비정상 행위는 감지 불가능 |
탐지가 정확하고 패킷 손실이 없다 추가장비가 필요 없다 운영체제에 종속적이다 시스템에 부하가 발생한다 구현의 어려움 |
IDS와 IPS 차이
| IDS | IPS |
|
|
|
|
|
|
============================================================================
인캡슐레이션 : 데이터 -> 세그먼트(data link) -> 패킷(network) -> 프레임(trasport)
디캡슐레이션 : 프레임(trasport) -> 패킷(network) -> 세그먼트(data link) -> 데이터
============================================================================
IPSec VPN
AH(Authentication Header) : 시퀀스 넘버를 이용하여 재전송 공격 방지- > 무결성 보장
ESP(Encapsulation seurity payload) : AH 기능을 포함하고 추가적으로 패킷을 암호화함 -> 기밀성 보장
============================================================================
댓글