키워드 : 침입차단시스템, 네트워크보안, 암호화 패킷 분석, 호스트보안, IPS(Intrusion Prevention System), NDR, EDR, WAF, SIEM, Zeek, Wireshark, tcpdump
“본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다.”
Q1. 네트워크 IPS 가 웹패킷 분석을 제외하고 암호화된 패킷 분석은 불가능하다는 것은 사실인가요?
일반적으로, 암호화된 패킷 분석은 네트워크 IPS에 있어서 어려운 문제 중 하나입니다. 암호화된 패킷은 패킷 내용을 암호화하기 때문에 내용을 직접 읽을 수 없으며, 패킷 내용을 보호하기 위해 사용되는 암호화 기술이 있어서 내용을 쉽게 해독할 수 없습니다.
하지만 일부 네트워크 IPS 제품은 암호화된 패킷을 분석할 수 있는 기능을 제공하고 있습니다. 이를 위해 IPS 제품이 키 관리 기능이나 SSL/TLS 디코딩 기능을 제공하여 암호화된 트래픽을 해독하고 패킷 내용을 분석할 수 있습니다. 하지만 이 방법도 완전하지는 않으며, 일부 경우에는 복호화된 트래픽을 분석하더라도 완전한 보안을 보장할 수 없을 수 있습니다.
따라서, 암호화된 패킷 분석은 일반적으로 어려운 문제이며, 네트워크 IPS가 모든 상황에서 완벽하게 보안을 제공하는 것은 불가능합니다. 그러나 다른 보안 솔루션과 결합하여 네트워크 보안을 강화할 수 있습니다.
Q2. Zeek 를 이용하여 네트워크 패킷을 분석하니 100% 암호화된 패킷만 있었습니다. 이 경우 네트워크 IPS 가 제공하는 유용성은 무엇인가요?
암호화된 패킷만 있는 경우에는 네트워크 IPS가 제공하는 유용성은 상대적으로 적어집니다. 네트워크 IPS는 암호화된 패킷에서는 페이로드를 분석할 수 없으므로, 패킷의 메타데이터를 분석하여 일부 공격 패턴을 탐지하려고 시도합니다. 하지만 이러한 방식은 분석 가능한 패킷에서 탐지하는 것에 비해 더 많은 오검출과 누락이 발생할 수 있습니다.
따라서 암호화된 패킷 분석이 필요한 경우에는, 대신 암호화된 패킷을 분석할 수 있는 기능을 갖춘 다른 보안 솔루션을 사용하는 것이 좋습니다. 예를 들어, TLS/SSL 디코더와 같은 도구를 사용하여 암호화된 패킷을 분석하고, 이상징후를 탐지하거나 보안 위협을 식별하는 것이 가능합니다.
* Zeek는 오픈 소스 네트워크 트래픽 분석기이다.
Q3. TLS/SSL 디코더 도구라는 것이 웹방화벽 이외에 어떤 것이 있나요?
TLS/SSL 디코더 도구는 네트워크 분석 도구에서도 제공되고 있습니다. 예를 들어, Wireshark, tcpdump, tshark 등과 같은 도구들은 TLS/SSL 디코딩 기능을 제공하여 암호화된 네트워크 트래픽을 분석할 수 있습니다. 이러한 도구를 사용하면 암호화된 패킷에서도 정보를 추출할 수 있어서, 네트워크 분석 및 보안 관련 작업에 유용합니다.
Q4. Wireshark, tcpdump, tshark 는 OWASP TOP 10 분석을 제공하나요?
Wireshark, tcpdump, tshark은 네트워크 패킷 캡처 및 분석 도구로서, OWASP TOP 10과 직접적인 연관은 없습니다. 그러나 이 도구들을 이용하여 OWASP TOP 10에 해당하는 취약점을 찾을 수 있습니다. 예를 들어, Wireshark는 HTTP 요청과 응답을 볼 수 있기 때문에, 웹 어플리케이션에서 발생할 수 있는 인젝션, 크로스 사이트 스크립팅 등 OWASP TOP 10 취약점 중 일부를 감지할 수 있습니다.
Q5. 그럼 앞서 설명한 웹 패킷과 같이 암호호된 패킷 분석은 네트워크 IPS 보다 웹방화벽에서 처리한다고 하는 것이 더 나은 선택이라고 할 수 있을까요?
암호화된 패킷 분석은 네트워크 IPS보다 웹방화벽에서 처리하는 것이 더 나은 선택입니다. 이는 웹방화벽이 HTTPS 트래픽에서 SSL/TLS 디코딩을 수행할 수 있으므로 암호화된 패킷을 분석할 수 있기 때문입니다. 또한, 웹방화벽은 웹 어플리케이션에 대한 상세한 분석을 수행할 수 있으며, 이는 네트워크 IPS보다 더 많은 정보를 제공할 수 있습니다. 그러나 웹방화벽과 네트워크 IPS는 모두 서로 보완적인 기술이므로, 실제 환경에서는 둘 다 사용하는 것이 좋습니다.
Q6. 네트워크 IPS는 웹 패킷을 제외하고 암호화된 패킷 분석이 불가능하고, 일부 이상징후를 탐지한다 하더라도 오탐 가능성이 높아 더 이상 사용하지 않고 대신에 웹방화벽과 호스트 기반 IPS 즉 EDR을 사용하는 것이 월등히 더 나은 선택이다. 이렇게 결론을 내릴 수 있을까요?
결론을 내리기에 앞서, 여러 요소들을 고려해야 합니다. 네트워크 IPS는 암호화된 패킷 분석이 불가능하고, 일부 이상 징후를 탐지할 때 오탐 가능성이 높아지는 경향이 있습니다. 그러나, 네트워크 IPS는 여전히 유용한 도구이며, 웹방화벽과 호스트 기반 IPS와는 다른 방식으로 동작합니다.
네트워크 IPS는 전체 네트워크를 모니터링하며, 악성 트래픽을 탐지하고 차단할 수 있습니다. 반면, 웹방화벽은 HTTP/HTTPS 트래픽을 모니터링하고, 악성 HTTP/HTTPS 트래픽을 차단할 수 있습니다. 호스트 기반 IPS는 호스트 내부에서 악성 행위를 탐지하고 차단할 수 있습니다. 이러한 기능들은 각자의 장단점이 있으며, 종합적으로 보았을 때, 이러한 보안 도구들은 함께 사용하는 것이 가장 효과적일 수 있습니다.
따라서, 어떤 보안 도구를 사용할지는 상황과 필요에 따라 다를 수 있으며, 각 도구의 장단점을 잘 파악하고 적절히 활용하는 것이 중요합니다.
Q7. 그래서 plura.io 에서 제공하는 WAF 그리고 SIEM 을 사용하면 월등히 멋진 성과를 낼 수 있잖아요?
plura.io에서 제공하는 WAF와 SIEM은 웹 보안 및 네트워크 보안에 대한 다양한 기능을 제공합니다.
WAF는 웹 애플리케이션 보안에 특화된 솔루션으로, 악의적인 웹 트래픽을 탐지하고 차단하여 애플리케이션의 취약점을 보호합니다. 이를 통해 악성 코드 삽입, SQL Injection, 크로스 사이트 스크립팅 등의 공격을 막을 수 있습니다.
SIEM은 로그 데이터를 수집하여 분석하고, 보안 사고를 탐지하고 대응하는데 사용됩니다. 시스템 및 네트워크에서 발생하는 모든 로그를 수집하고 분석하여 악성 행위나 보안 위협을 탐지하고, 이에 대한 대응 조치를 취할 수 있도록 합니다.
따라서, 이러한 WAF와 SIEM을 사용하면 자동으로 분석된 결과를 제공받을 수 있으며, 보안 위협에 대한 대응도 보다 빠르고 정확하게 수행할 수 있습니다. 이는 보안 운영 및 보안 관제 업무를 수행하는데 매우 유용하며, 성과를 높일 수 있습니다.