네트워크 계층의 보안과 방화벽

🔒 기밀성, 메시지 무결성, 사용자 인증을 다양한 계층에서 이용

• PGP (전자우편 암호화 소프트웨어)
  CA에서 공개키 인증을 받지 않고, 신뢰의 그물에서 받는다.

 

• 전송 계층 TCP를 보안 시켜주는 TLS : 전자 상거래에 많이 쓰임
  핸드셰이크, 키유도, 데이터 전송 단계가 있다.

🔒 네트워크 계층의 보안

• VPN
  비싼 사설망 대신, 공공 인터넷을 이용하지만 암호화를 해 사용하는 가상 시설망
• IPsec : VPN에서 사용하는 데이터 그램 형식
• ESP 프로토콜 : IPsec의 주요 프로토콜로 출발지 인증, 데이터 무결성, 기밀성 모두 제공
• SA : 네트워크 계층에서 통신하는 두 개체를 연결하는 논리적 용어
  • 연결된 SA개수 : 2 + 2n
• SAD : SA 상태정보 저장하는 데이터베이스
• SPD : 어떤 데이터 그램이 IPsec으로 처리되어야 하는지 알려줌, SA 지시함
• IKE 프로토콜 : SA 생성 자동화 해줌

🔒방화벽

기관의 내부 네트워크를 전체 인터넷으로부터 분리시킨 하드웨어와 소프트웨어의 조합

• 종류
  • 패킷 필터링 : 게이트웨이 라우터에서 필터하는 것
  • 상황 고려 패킷 필터 : 패킷을 따로 검사하지 않고 연결을 추적하여 검사한다.
• 응용 게이트 웨이 : 인증된 사용자만 받을 수 있음 ex. HTTP, FTP, 전자우편을 위한 게이트 웨이

 

 

∎ 침입 탐지 시스템 (IDS, intrusion detection system)

패킷을 세세하게 관찰하고 트랙픽 발생시 경고를 발생

• 시그니처 기반 시스템 : 시그니처의 데이터베이스를 활용하여 탐지
• 이상 기반 시스템 : 트래픽의 빈도 등에서 비정상을 캐치

 

∎ 침입 방지 시스템 (IPS, intrusion prevention system)

이러한 트래픽을 걸러내는 장치