웹방화벽과 IPS 중 하나만 쓰면 안되나요? :: 2cpu, 지름이 시작되는 곳!

해외구매 more

쓰기

웹방화벽과 IPS 중 하나만 쓰면 안되나요?

마르왕자

2014-06

2014-06-03 13:54:03

조회 14025 추천 0

안녕하세요.
보안 초짜입니다.

최근에 이래저래 법에 대한 얘기도 많고 해서 웹방화벽과 IPS 도입을 고려하고 있습니다만!

전문적인 관제까지 가능한 웹방화벽과 IPS는 월비용이 어마어마 하더군요.

예산은 아무리 해봐야 한쪽 밖에 되지 않는데 최근 해킹이 웹으로 거의 이루어지므로 IPS 없이 웹방화벽 하나만 있어도 되지 않나요?

해킹의 95%가 웹을 통해서라는데 요즘 IPS 등 네트워크 방화벽이 꾸준히 쓰이는 이유는 뭘까요?

짧은글 일수록 신중하게.



악땅 2014-06 두 장비가 모니터링 하는 범위가 상당히 다릅니다. 웹방화벽은 80포트와 특정 웹프로토콜을 이용하는 웹페이지 설계의 잘못된점을 파고드는 공격과 취약점에 대해서만 보호해준다고 생각하시면 되구요 IPS는 L3~L7레이어 모두의 취약점 및 공격패턴화된 모든 공격에 대해 대비해줍니다. 둘중에 하나만 도입하는것이라면 IPS가 먼접니다. 웹방화벽은 IPS의 HTTP 공격 방어에 미비한점을 보완해주는 역할로 보시면 됩니다. 두 장비가 모니터링 하는 범위가 상당히 다릅니다. 웹방화벽은 80포트와 특정 웹프로토콜을 이용하는 웹페이지 설계의 잘못된점을 파고드는 공격과 취약점에 대해서만 보호해준다고 생각하시면 되구요 IPS는 L3~L7레이어 모두의 취약점 및 공격패턴화된 모든 공격에 대해 대비해줍니다. 둘중에 하나만 도입하는것이라면 IPS가 먼접니다. 웹방화벽은 IPS의 HTTP 공격 방어에 미비한점을 보완해주는 역할로 보시면 됩니다.



회원K 2014-06 기본적으로 firewall을 해야 합니다. 외부로부터 들어오는 포트 공격을 차단하는 목적입니다. 열려진 포트로 들어오는 공격에 대해서는, IPS로 탐지를 하고, 탐지 결과에 따라서 차단을 해야 합니다. 웹방화벽을 도입하지 않고, IPS 기능만 도입하는 것이 더 바람직 합니다. 어느정도 용량인지 모르겠지만 UTM 월비용이 과도하게 비싸거나 하지 않습니다. 세콤에서 공급하는 시큐아이 UTM + 관제의 경우 웹호스팅비용+알파 수준이라서 이거 한대면 어지간한 규모는 커버링이 됩니다. http://2cpu.co.kr/bbs/board.php?bo_table=ad_board&wr_id=984 기본적으로 firewall을 해야 합니다. 외부로부터 들어오는 포트 공격을 차단하는 목적입니다. 열려진 포트로 들어오는 공격에 대해서는, IPS로 탐지를 하고, 탐지 결과에 따라서 차단을 해야 합니다. 웹방화벽을 도입하지 않고, IPS 기능만 도입하는 것이 더 바람직 합니다. 어느정도 용량인지 모르겠지만 UTM 월비용이 과도하게 비싸거나 하지 않습니다. 세콤에서 공급하는 시큐아이 UTM + 관제의 경우 웹호스팅비용+알파 수준이라서 이거 한대면 어지간한 규모는 커버링이 됩니다. http://2cpu.co.kr/bbs/board.php?bo_table=ad_board&wr_id=984



회원K 2014-06 보안은 장비를 도입해서 내가 지키는 것은 아무런 의미가 없습니다. 그 이유는 모든 책임이 남아 있게 되기 때문입니다. 반드시 공신력이 있는 회사의 외부관제를 받으셔야 합니다. 보안은 장비를 도입해서 내가 지키는 것은 아무런 의미가 없습니다. 그 이유는 모든 책임이 남아 있게 되기 때문입니다. 반드시 공신력이 있는 회사의 외부관제를 받으셔야 합니다.



마르왕자 2014-06 여러분의 답글 감사합니다. 저도 좀더 알아본 결과, 최근 웹에 대한 해킹이 많아 웹방화벽을 심각히 검토중인데, 웹방화벽이 반드시 들어가야 하는 것이면 차라리 저렴한 UTM으로 기본 네트워크 방화벽 기능에 충실하고 보완 수단으로 웹방화벽을 놓으라 하더군요. 여러분들의 의견은 어떠신지. 추신. 항상 이넘의 돈이 문제군요. ㅋ 여러분의 답글 감사합니다. 저도 좀더 알아본 결과, 최근 웹에 대한 해킹이 많아 웹방화벽을 심각히 검토중인데, 웹방화벽이 반드시 들어가야 하는 것이면 차라리 저렴한 UTM으로 기본 네트워크 방화벽 기능에 충실하고 보완 수단으로 웹방화벽을 놓으라 하더군요. 여러분들의 의견은 어떠신지. 추신. 항상 이넘의 돈이 문제군요. ㅋ



회원K 2014-06 실전에서는 웹방화벽이 별 의미가 없습니다. IPS를 걸어주고, 그것에 따라서 발생하는 차단 rule set이나 웹 취약점 점검 데이터를 가지고 사이트의 소스를 수정하는 것이, 웹방화벽 이상 입니다. SQL Injection 같은 것을 사이트에서 막아야지, 그걸 웹방화벽으로 막으려고 하시면 안됩니다. 웹 취약점을 그냥두고 웹방화벽으로 차단 할 수 있다는 것은... 좀... firewall + ips의 구성이면 대부분 충분하고, IPS의 경우에는 in/out 모두 다 체크해야 합니다. 요즘은 내부에서 바깥으로 치고 나가는 나쁜 데이터들도 많기 때문입니다. 예산을 생각한다면, 1. 방화벽 - 미크로틱 정도면 충분 합니다. 아니면 L2 managed 스위치로도 가능합니다. 2. 방화벽 + IPS = UTM 3. UTM + 웹방화벽 = 2대는 별도의 장비로 운용해야 하며, 웹방화벽은 apache 등의 mod_security를 써도 되지만 별로... 그렇습니다. 5년이상 hosting으로 서비스를 받아보고 지금은 단독형 관제를 쓰고 있지만, 웹방화벽은 잘 판단하셔야 합니다. 그렇게 추천 안합니다. 실전에서는 웹방화벽이 별 의미가 없습니다. IPS를 걸어주고, 그것에 따라서 발생하는 차단 rule set이나 웹 취약점 점검 데이터를 가지고 사이트의 소스를 수정하는 것이, 웹방화벽 이상 입니다. SQL Injection 같은 것을 사이트에서 막아야지, 그걸 웹방화벽으로 막으려고 하시면 안됩니다. 웹 취약점을 그냥두고 웹방화벽으로 차단 할 수 있다는 것은... 좀... firewall + ips의 구성이면 대부분 충분하고, IPS의 경우에는 in/out 모두 다 체크해야 합니다. 요즘은 내부에서 바깥으로 치고 나가는 나쁜 데이터들도 많기 때문입니다. 예산을 생각한다면, 1. 방화벽 - 미크로틱 정도면 충분 합니다. 아니면 L2 managed 스위치로도 가능합니다. 2. 방화벽 + IPS = UTM 3. UTM + 웹방화벽 = 2대는 별도의 장비로 운용해야 하며, 웹방화벽은 apache 등의 mod_security를 써도 되지만 별로... 그렇습니다. 5년이상 hosting으로 서비스를 받아보고 지금은 단독형 관제를 쓰고 있지만, 웹방화벽은 잘 판단하셔야 합니다. 그렇게 추천 안합니다.



마르왕자 2014-06 중요한 것은 개인정보를 취급하는 업체 입장에서 관련 행위 요건들이 필요하다는 것이지요. 웹스캔으로 취약점 수정하고, DB 암호화 하고, 없던 방화벽 달고..nac는 필요 없고. 웹방화벽이 능사는 아니겠지만 여러모로 고려되는 부분이죠 뭐..ㅠㅠ 중요한 것은(다른 분의 의견으로는) 방화벽 아무리 가져다 놔 봐야 관제 제대로 안하면 의미 없다 하시더군요. 저도 그 의견엔 찬성하는 편이구요. 그래서 전문 관제 센터에서 서비스 받고 할 예정입니다. 그래도 웹방화벽이 의미성이 적다는 의견에는 확실히 새로운 측면으로 다가와 신선하네요. ^^ 중요한 것은 개인정보를 취급하는 업체 입장에서 관련 행위 요건들이 필요하다는 것이지요. 웹스캔으로 취약점 수정하고, DB 암호화 하고, 없던 방화벽 달고..nac는 필요 없고. 웹방화벽이 능사는 아니겠지만 여러모로 고려되는 부분이죠 뭐..ㅠㅠ 중요한 것은(다른 분의 의견으로는) 방화벽 아무리 가져다 놔 봐야 관제 제대로 안하면 의미 없다 하시더군요. 저도 그 의견엔 찬성하는 편이구요. 그래서 전문 관제 센터에서 서비스 받고 할 예정입니다. 그래도 웹방화벽이 의미성이 적다는 의견에는 확실히 새로운 측면으로 다가와 신선하네요. ^^



회원K 2014-06 웹방화벽을 실제로 돌려보면 CSRF나 XSS, SQL Injection으로 해킹하는 경우는 거의 없고 들어오는 수준이 초초초보 해커수준들 입니다. 그걸로 요즘은 대부분 안뚫어지기 때문에 해킹 안해요. 그거보다 쉬운 해킹 방법이 백만 스물두가지나 있는데, 누가 그걸로 해요. 요즘은 관제업체에서 UTM 장비를 대여해주면서 관제를 같이하고 있기 때문에 장비따로 관제 따로가 아니라, 관제를 해주는 곳에서 장비를 렌탈해야 합니다. 관제 회사를 먼저 선택하고, 다음에 그곳의 장비를 택하는 형태인데, 작은 중소기업의 경우에는 솔직히 추천하지 않습니다. 이유는 관제의 신뢰성측면이구요. 사고 터졌을 때, 누가 관제했냐에 따라서 면책의 범위가 결정될 수 있거든요. 그래서 IDC관제에서 세콤 관제로 금년에 변경했습니다. 다른 이유도 있었지만... 세콤ns https://www.secomns.co.kr/secomns/portal/Main_init.action SK인포섹 http://www.skinfosec.com/ko/ KT는 좀 그렇구요... IDC에서도 개별로 관제+장비를 제공해주고 있구요. 실사용자 입장에서 추천하는 장비는 시큐아이의 MF2 입니다. 많이 쓰는 장비이고, 저희 회사도 이거 쓰고 있고 2cpu에도 이거 걸려 있습니다. 실제로 운용해보시면 느끼시게 될 겁니다^^ 웹방화벽을 실제로 돌려보면 CSRF나 XSS, SQL Injection으로 해킹하는 경우는 거의 없고 들어오는 수준이 초초초보 해커수준들 입니다. 그걸로 요즘은 대부분 안뚫어지기 때문에 해킹 안해요. 그거보다 쉬운 해킹 방법이 백만 스물두가지나 있는데, 누가 그걸로 해요. 요즘은 관제업체에서 UTM 장비를 대여해주면서 관제를 같이하고 있기 때문에 장비따로 관제 따로가 아니라, 관제를 해주는 곳에서 장비를 렌탈해야 합니다. 관제 회사를 먼저 선택하고, 다음에 그곳의 장비를 택하는 형태인데, 작은 중소기업의 경우에는 솔직히 추천하지 않습니다. 이유는 관제의 신뢰성측면이구요. 사고 터졌을 때, 누가 관제했냐에 따라서 면책의 범위가 결정될 수 있거든요. 그래서 IDC관제에서 세콤 관제로 금년에 변경했습니다. 다른 이유도 있었지만... 세콤ns https://www.secomns.co.kr/secomns/portal/Main_init.action SK인포섹 http://www.skinfosec.com/ko/ KT는 좀 그렇구요... IDC에서도 개별로 관제+장비를 제공해주고 있구요. 실사용자 입장에서 추천하는 장비는 시큐아이의 MF2 입니다. 많이 쓰는 장비이고, 저희 회사도 이거 쓰고 있고 2cpu에도 이거 걸려 있습니다. 실제로 운용해보시면 느끼시게 될 겁니다^^

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

3128/5680

번호	제목Page 3128/5680	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4946127	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4946127 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1482809	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1482809 1 백메가
51053	랙마운트형 프리시젼 워크스테이션 소음 큰가요? (3)	윈도우10	2016-11	3324	0
랙마운트형 프리시젼 워크스테이션 소음 … (3) 2016-11 3324 1 윈도우10
51052	DELL 노트북 차량용 충전기 (13)	무쏘뿔처럼	2023-04	2450	0
DELL 노트북 차량용 충전기 (13) 2023-04 2450 1 무쏘뿔처럼
51051	아톰 피코 ITX 메인보드를 1000장 정도 찍는다면 개당 단가가 어떻게 될까요? (12)	푸릉이	2009-10	12256	0
아톰 피코 ITX 메인보드를 1000장 정도 찍… (12) 2009-10 12256 1 푸릉이
51050	유튜브 광고 문제 (3)	qwish2610	2023-04	2333	0
유튜브 광고 문제 (3) 2023-04 2333 1 qwish2610
51049	프로젝터에 쓰이는 DIVX플레이어 질문 (2)	김영기	2019-03	2128	0
프로젝터에 쓰이는 DIVX플레이어 질문 (2) 2019-03 2128 1 김영기
51048	인터넷에서 스쳐가며 본 건데 찾지를 못하겠네요. (9)	여주농민76	2017-12	4230	0
인터넷에서 스쳐가며 본 건데 찾지를 못하… (9) 2017-12 4230 1 여주농민76
51047	X99 dxe 드라이버로 v4 오버클럭이 되나요? (2)	삐돌이슬픔이	2020-05	2728	0
X99 dxe 드라이버로 v4 오버클럭이 되나요? (2) 2020-05 2728 1 삐돌이슬픔이
51046	HP 800G1 USDT 아답터 관련해서 문의 드립니다. (3)	hyun이	2021-10	1903	0
HP 800G1 USDT 아답터 관련해서 문의 드립… (3) 2021-10 1903 1 hyun이
51045	무선 헤드폰 추천좀...	klein	2012-12	5164	0
무선 헤드폰 추천좀... 2012-12 5164 1 klein
51044	슈퍼마이크로 X9DRH-iF 보드 바이오스 메뉴 진입 불가 문제... (2)	newretrowave	2019-03	3826	0
슈퍼마이크로 X9DRH-iF 보드 바이오스 메… (2) 2019-03 3826 1 newretrowave
51043	사내 네트워크 설치 구성도 검토 및 포트포워딩 문제. ㅠㅠ (3)	썹플	2014-08	6749	0
사내 네트워크 설치 구성도 검토 및 포트… (3) 2014-08 6749 1 썹플
51042	Qlik 이나 QlikView 자료추출(export) 잘 아시는 분 있을까요? (2)	트니아빠	2020-05	2171	0
Qlik 이나 QlikView 자료추출(export) 잘 … (2) 2020-05 2171 1 트니아빠
51041	UPS의 밧데리 출력이 이정도면 정상입니까? (9)	pfakdmv	2021-10	2053	0
UPS의 밧데리 출력이 이정도면 정상입니까? (9) 2021-10 2053 1 pfakdmv
51040	이빨 나간 공구 어떻게 하십니까? (10)	장동건2014	2014-08	4630	0
이빨 나간 공구 어떻게 하십니까? (10) 2014-08 4630 1 장동건2014
51039	Xeon E5 v4의 리테일 판매시기는 언제일까요? (8)	제스퍼즈	2015-12	3598	0
Xeon E5 v4의 리테일 판매시기는 언제일까… (8) 2015-12 3598 1 제스퍼즈
51038	비슷한 사양이면 tdp가 높은게 더 좋을까요? (7)	AplPEC	2023-05	1920	0
비슷한 사양이면 tdp가 높은게 더 좋을까… (7) 2023-05 1920 1 AplPEC
51037	알리에서 주문한 물품을 판매자가 추가배송비 요구하는거 같은데 어떻게 답변해야 할… (2)	겨울나무	2014-08	4536	0
알리에서 주문한 물품을 판매자가 추가배… (2) 2014-08 4536 1 겨울나무
51036	Mac Pro 부품 관련 ... (3)	GICode	2014-08	4097	0
Mac Pro 부품 관련 ... (3) 2014-08 4097 1 GICode
51035	인터넷 연결문제 (13)	오티스	2020-06	3331	0
인터넷 연결문제 (13) 2020-06 3331 1 오티스
51034	[질문] "ipmitool sdr type fan" 관련 문의드립니다 (4)	롤백이	2023-06	1275	0
[질문] "ipmitool sdr type fan"… (4) 2023-06 1275 1 롤백이