S-23: 유해 트래픽 탐지/차단 정책 설정
분류: Security Equipment
중요도: 중
개요
점검 내용
유해 트래픽 탐지/차단 정책 적용 여부 점검
점검 목적
유해 트래픽(Flooding 공격, Scan 공격, 해킹 툴 공격 등)을 탐지/차단 정책을 적용하여 네트워크 운영 및 서비스의 장애 발생 가능성을 차단하기 위함
보안 위협
유해 트래픽 탐지/차단 정책이 설정되지 않을 경우, 악성코드가 네트워크를 통해 전파될 우려가 있음
참고
용어 설명
- Flooding 공격: 악의적으로 한꺼번에 많은 양의 데이터를 보내 상대방의 서비스를 운용할 수 없게 만드는 서비스 거부 공격
- Scan 공격: 네트워크, 시스템의 활성화된 포트·서비스·취약점을 식별하기 위한 행위
- 해킹툴 공격: 공격자가 상용 해킹툴이나, 자제 제작한 해킹툴을 이용해 시스템을 침투·장악하거나 권한을 획득하는 행위
점검 대상 및 판단 기준
대상
방화벽, VPN, IDS, IPS, Anti-DDoS, 웹 방화벽 등
판단 기준
✅ 양호: 유해 트래픽 탐지/차단 패턴이 적용된 경우
❌ 취약: 유해 트래픽 탐지/차단 패턴이 적용되지 않은 경우
조치 방법
유해 트래픽 탐지/차단 정책 설정
조치 시 영향
오탐으로 인한 차단 정책 설정 시 서비스 영향 발생
점검 및 조치 사례
Flooding 공격
- TCP/UDP/ICMP Flooding 공격에 대한 탐지 및 차단 패턴 적용 여부를 점검
- 인터넷 진입구간에 위치한 DDoS 차단시스템에 TCP/UDP/ICMP Flooding 공격에 대한 차단정책 등록 여부를 점검
- TCP/UDP/ICMP Flooding 공격에 대한 탐지 및 차단 패턴 적용
- 인터넷 진입구간에 위치한 DDoS 차단시스템에 TCP/UDP/ICMP Flooding 공격에 대한 차단 정책 등록
Scan 공격
- Port Scan에 대한 탐지 및 차단 패턴 적용 여부를 점검
- 인터넷 진입 구간에 위치한 DDoS 차단시스템에 Port Scan에 대한 차단 정책 등록 여부를 점검
- Port Scan에 대한 탐지 및 차단 패턴 적용
- 인터넷 진입 구간에 위치한 DDoS 차단시스템에 Port Scan에 대한 차단 정책 등록 여부를 점검
해킹툴 공격
- 악성코드에 대한 탐지 및 차단 패턴 적용 여부를 점검
- 주요 해킹 툴에 대한 탐지 및 차단정책 등록 [ 차단 정책 예시 ]