Firewall
태그 :
- 개념
- 가. 방화벽(Firewall)의 정의 - 외부로부터 불법침입과 내부의 불법정보 유출을 방지하고, 내,외부 네트워크의 상호간 영향을 차단하기 위한 보안시스템 - 외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중의 하나로서 외부의 불법침입으로부터 내부의 정보자산을 보호하고 외부로부터 불법정보 유입을 차단하기 위한 하드웨어 및 소프트웨어의 총칭
I. 외부의 침입을 차단하기 위한 전방위 보안시스템, 방화벽의 개요
가. 방화벽(Firewall)의 정의
- 외부로부터 불법침입과 내부의 불법정보 유출을 방지하고, 내,외부 네트워크의 상호간 영향을 차단하기 위한 보안시스템
- 외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중의 하나로서 외부의 불법침입으로부터 내부의 정보자산을 보호하고 외부로부터 불법정보 유입을 차단하기 위한 하드웨어 및 소프트웨어의 총칭
나. 방화벽 도입의 필요성
- 네트워크를 필터링(Filtering)함으로써 서브넷 상에 있는 호스트의 위험을 감소시킴
- 네트워크 액세스 제어 정책에 대한 구현을 제공하여 사용자와 서비스에 대한 액세스를 제어
II. 방화벽의 주요 구성
가. 주요 보안 기능
기능 |
내용 |
접근제어 |
- Packet Filtering; 특정 송신원의 주소 혹은 발신원 주소 등을 가진 패킷 통과를 제한하는 기능 - 송수신자의 IP 주소, 포트번호를 바탕으로 패킷 필터링 - 외부에서 내부 네트워크에 접속하는 것을 패킷 필터링을 이용하여 통제 - 방화벽이 지나는 모든 패킷을 정의된 보안 정책에 의해 막음 |
사용자인증 |
- 트래픽에 대한 사용자의 신분을 증명하는 기능 |
감사 및 로그 |
- 트래픽에 대한 접속 정보 기록 - 내부 네트워크 작업기록을 통하여 외부의 침입여부 파악 |
프록시 기능 |
- Application 계층에 대한 필터링 기능(OSI 7 Layer) - 프록시 서버 : 프록시 서버는 네트워크 IP 주소를 대체하며, 실제 IP 주소를 인터넷상에서 효과적으로 숨겨줌 - 프록시 서버의 종류에는 웹 프록시, 회선/애플리케이션수준 게이트웨이 등이 있음 - 클라이언트의 서비스 요청을 받아 보안정책에 따라 수행하는 서버 - 서비스 요청을 전달하고 실행결과를 수신하여 사용자에게 전달 |
네트워크 주소변환 |
- Network Address Translation - 발신자 호스트의 IP주소나 목적지 호스트의 IP주소를 전송 단계에서 변경하여 전달하는 기능 - 내부(사설 주소)와 외부(공인주소)의 주소 변환(Mapping) 기능 |
나. 방화벽의 효과적인 구성도
- 외부 망과 내부 망의 상호 간 필터링 및 네트워크 주소 변환 기능을 제공하는 시스템 구성
III. 방화벽의 구축 유형
가. 스크리닝 라우터(Screening Router)
- 내/외부 네트워크를 스크리닝 라우터(방확벽을 라우터에 탑재)로 연결 - OSI Layer중 Layer 3과 4에서 동작- IP데이터 그램에서 출발지 주소 및 목적지 주소에 의한 스크리닝 - TCP수준의 보안 접근 제어를 통해방화벽 시스템환경을 구현 |
||
기능 |
패킷 헤더정보분석/필터링(송수신자IP주소, 프로토콜 정보분석) |
|
장점 |
빠른 속도, 비용절감 |
|
단점 |
라우터에서 구현된 펌웨어의 수준으로는 제한이 많고 복잡한 정책을 구현하기 어려움 |
나. Bastion Host: 베스천(요새) 호스트 방식
|
|||
기능 |
인증기법, 접근통제, 로그기록, 모니터링 기능 |
||
장점 |
지능적으로 정보 분석가능 |
||
단점 |
- Bastion Host자체에 대한 보안취약성 존재(사용자 계정, 라우팅 정보, 유틸리티 등) - 관리자에 의한 감시 및 정기적인 점검 필요 |
다. 듀얼 홈드 게이트웨이(Dual-Homed Gateway)
- 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며, 다른 하나의 네트워크 인터페이스는 내부 네트워크에 연결되는 Bastion 호스트 - 내외부용 2개의 네트워크 카드를 내장한 Bastion Host를 이용하여 연결 - 라우팅 기능은 존재하지 않음 - 외부 네트워크에서 내부 네트워크로 진입하기 위해서는 Dual-Homed Gateway를 통과하며 허용된 패킷만을 통과시킴 |
|
기능 |
내/외부 네트워크가 분리되어 보안성 강화(내부 IP 노출 안됨) |
장점 |
응용 서비스 종류에 보다 종속적이기 때문에 스크리닝 라우터보다 안전 각종 기록(log)을 생성 및 관리하기 쉬움 |
단점 |
Bastion Host 자체 보안 취약성 존재 프록시 소프트웨어 가격상승 Bastion 호스트가 손상되면 내부 네트워크를 보호 할수 없음 |
라. 스크린드 호스트 게이트웨이(Screened Host Gateway)
- Dual-Homed 게이트웨이와 스크리닝 라우터를 혼합하여 사용한 방화벽시스템 - 인터넷과 같은 외부 네트워크로부터 내부 네트워크로 들어오는 패킷 트래픽을 스크리닝 라우터에서 패킷 필터 규칙에 의해 1차로 방어 - 스크리닝 라우터를 통과한 트래픽은 Bastion 호스트에서 2차로 필터링 점검 |
|
장점 |
- 2 단계의 보안점검 기능으로 보안성 강화 - 가장 널리 이용되는 구조 - 네트워크 계층과 응용 계층에서 방어하기때문에 공격이 어려움 |
단점 |
- 방화벽 시스템 구축 비용이 많음 - 해커에 의해 스크리닝 라우터의 라우팅 테이블이 변경될 수 있음 |
마. 스크린드 서브넷 게이트웨이 (Screened Subnet Gateway)
- Screening Router를 Bastion Host 중심으로 연결하는 방화벽 구조 - 스크리닝 라우터들 사이에 응용 게이트웨이가 위치하는 구조를 가짐 - 인터넷과 내부 네트워크 사이에 Screened Subnet이라는 완충 지역 개념의 서브넷을 운영 - Screened Subnet에 설치된 Bastion 호스트는 proxy 서버(응용 게이트웨이)를 이용하여 명확히 진입이 허용되지 않은 모든 트래픽을 거절하는 기능을 수행 |
|
장점 |
- 강력한 보안 기능 - 스크린 호스트 게이트웨이 방식의 장점 그대로 가짐 - 다단계 방어로 매우 안전함 |
단점 |
- 방화벽 시스템 구축 소요 비용이 많음 - 서비스 속도가 느림(지연) |
바. Gateway/Proxy Server
- 보안과 성능을 고려하여 서비스별로 Gateway를 설치, 운영(외부 오픈 할 서비스를 별도의 존 구성) - Proxy Server를 이용하여 접근 통제 및 캐싱 기능 구현 |
|
장점 |
- 강력한 보안 기능 - 모니터링및분석기능강화 |
단점 |
- 방화벽 시스템 구축 비용 고가 |
IV. 방화벽의 한계와 보안 대책
가. 방화벽의 한계
문제점 |
내용 |
침입 알람기능 |
- 침입발생 시, 사용자에게 알람 기능없음(Log기록 확인) - Dos나 DDoS공격에 취약 |
백도어 |
- 우회 경로를 통한 백도어 생성과 침입에 대해 방어안됨 - 정상적인 포트를 통해 들어오는 공격은 막을 수 없음(IRC) |
내부 사용자에 의한 보안침해 |
- 악의적인 내부 사용자에 대한 보안 침해 방어 못함 |
다이얼 모뎀 |
- 외부네트워크로부터 내부 네트워크로 비 인가된 다이얼모뎀접근 방어 못함 - 1차적인 네트워크 침임 차단 역할만 수행 |
성능 |
- 네트워크의 성능이 느려질 수 있음 |
압축파일 |
- 파일압축, 암호화, 인코딩에 대한 방어 대책이 없음 |
나. 보안 대책
- 능동적 방화벽: 단순 패킷 필터링을 벗어나 각종 어플리케이션 레벨 보안을 구현하는 방화벽 도입
- 방화벽은 보안관제를 우해 ESM을 통해 IDS(침입탐지시스템)와 결합이 많이 되고 있으며 IDS와 방화벽의 기능을 결합한 IPS를 도입