Firewall

개념
가. 방화벽(Firewall)의 정의 - 외부로부터 불법침입과 내부의 불법정보 유출을 방지하고, 내,외부 네트워크의 상호간 영향을 차단하기 위한 보안시스템 - 외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중의 하나로서 외부의 불법침입으로부터 내부의 정보자산을 보호하고 외부로부터 불법정보 유입을 차단하기 위한 하드웨어 및 소프트웨어의 총칭

I. 외부의 침입을 차단하기 위한 전방위 보안시스템, 방화벽의 개요

가. 방화벽(Firewall)의 정의

  • 외부로부터 불법침입과 내부의 불법정보 유출을 방지하고, 내,외부 네트워크의 상호간 영향을 차단하기 위한 보안시스템
  • 외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중의 하나로서 외부의 불법침입으로부터 내부의 정보자산을 보호하고 외부로부터 불법정보 유입을 차단하기 위한 하드웨어 및 소프트웨어의 총칭

나. 방화벽 도입의 필요성

  • 네트워크를 필터링(Filtering)함으로써 서브넷 상에 있는 호스트의 위험을 감소시킴
  • 네트워크 액세스 제어 정책에 대한 구현을 제공하여 사용자와 서비스에 대한 액세스를 제어

 

II.  방화벽의 주요 구성

가. 주요 보안 기능

기능

내용

접근제어

- Packet Filtering; 특정 송신원의 주소 혹은 발신원 주소 등을 가진 패킷 통과를 제한하는 기능

- 송수신자의 IP 주소, 포트번호를 바탕으로 패킷 필터링

- 외부에서 내부 네트워크에 접속하는 것을 패킷 필터링을 이용하여 통제

- 방화벽이 지나는 모든 패킷을 정의된 보안 정책에 의해 막음

사용자인증

- 트래픽에 대한 사용자의 신분을 증명하는 기능

감사 및

로그

- 트래픽에 대한 접속 정보 기록

- 내부 네트워크 작업기록을 통하여 외부의 침입여부 파악

프록시 기능

- Application 계층에 대한 필터링 기능(OSI 7 Layer)

- 프록시 서버 : 프록시 서버는 네트워크 IP 주소를 대체하며,

실제 IP 주소를 인터넷상에서 효과적으로 숨겨줌

- 프록시 서버의 종류에는 웹 프록시, 회선/애플리케이션수준 게이트웨이 등이 있음

- 클라이언트의 서비스 요청을 받아 보안정책에 따라 수행하는 서버

- 서비스 요청을 전달하고 실행결과를 수신하여 사용자에게 전달

네트워크

주소변환

- Network Address Translation

- 발신자 호스트의 IP주소나 목적지 호스트의 IP주소를 전송 단계에서 변경하여 전달하는 기능

- 내부(사설 주소)와 외부(공인주소)의 주소 변환(Mapping) 기능

 

 

나. 방화벽의 효과적인 구성도

설명: 방화벽구성도

  • 외부 망과 내부 망의 상호 간 필터링 및 네트워크 주소 변환 기능을 제공하는 시스템 구성

 

III.  방화벽의 구축 유형

가. 스크리닝 라우터(Screening Router)

설명: 스크리닝라우터

- 내/외부 네트워크를 스크리닝 라우터(방확벽을 라우터에 탑재)로 연결

- OSI Layer중 Layer 3과 4에서 동작- IP데이터 그램에서 출발지 주소 및 목적지 주소에 의한 스크리닝

- TCP수준의 보안 접근 제어를 통해방화벽 시스템환경을 구현

기능

패킷 헤더정보분석/필터링(송수신자IP주소, 프로토콜 정보분석)

장점

빠른 속도, 비용절감

단점

라우터에서 구현된 펌웨어의 수준으로는 제한이 많고 복잡한

정책을 구현하기 어려움

 

 

나. Bastion Host: 베스천(요새) 호스트 방식

설명: 베스천 호스트

- 내/외부 네트워크를 스크리닝 라우터(방확벽을 라우터에 탑재)로 연결

- OSI Layer중 Layer 3과 4에서 동작- IP데이터 그램에서 출발지 주소 및 목적지 주소에 의한 스크리닝

- TCP수준의 보안 접근 제어를 통해방화벽 시스템환경을 구현

기능

인증기법, 접근통제, 로그기록, 모니터링 기능

장점

지능적으로 정보 분석가능

단점

- Bastion Host자체에 대한 보안취약성 존재(사용자 계정, 라우팅 정보, 유틸리티 등)

- 관리자에 의한 감시 및 정기적인 점검 필요

 

 

다. 듀얼 홈드 게이트웨이(Dual-Homed Gateway)

- 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며, 다른 하나의 네트워크 인터페이스는 내부 네트워크에 연결되는 Bastion 호스트

- 내외부용 2개의 네트워크 카드를 내장한 Bastion Host를 이용하여 연결

- 라우팅 기능은 존재하지 않음

- 외부 네트워크에서 내부 네트워크로 진입하기 위해서는 Dual-Homed Gateway를 통과하며 허용된 패킷만을 통과시킴

기능

내/외부 네트워크가 분리되어 보안성 강화(내부 IP 노출 안됨)

장점

응용 서비스 종류에 보다 종속적이기 때문에 스크리닝 라우터보다 안전

각종 기록(log)을 생성 및 관리하기 쉬움

단점

Bastion Host 자체 보안 취약성 존재

프록시 소프트웨어 가격상승

Bastion 호스트가 손상되면 내부 네트워크를 보호 할수 없음

 

라. 스크린드 호스트 게이트웨이(Screened Host Gateway)

- Dual-Homed 게이트웨이와 스크리닝 라우터를 혼합하여 사용한 방화벽시스템

- 인터넷과 같은 외부 네트워크로부터 내부 네트워크로 들어오는 패킷 트래픽을 스크리닝 라우터에서 패킷 필터 규칙에 의해 1차로 방어

- 스크리닝 라우터를 통과한 트래픽은 Bastion 호스트에서 2차로 필터링 점검

장점

- 2 단계의 보안점검 기능으로 보안성 강화

- 가장 널리 이용되는 구조

- 네트워크 계층과 응용 계층에서 방어하기때문에 공격이 어려움

단점

- 방화벽 시스템 구축 비용이 많음

- 해커에 의해 스크리닝 라우터의 라우팅 테이블이 변경될 수 있음

 

마. 스크린드 서브넷 게이트웨이 (Screened Subnet Gateway)

- Screening Router를 Bastion Host 중심으로 연결하는 방화벽 구조

- 스크리닝 라우터들 사이에 응용 게이트웨이가 위치하는 구조를 가짐

- 인터넷과 내부 네트워크 사이에 Screened Subnet이라는 완충 지역

개념의 서브넷을 운영

- Screened Subnet에 설치된 Bastion 호스트는 proxy 서버(응용 게이트웨이)를 이용하여 명확히 진입이 허용되지 않은 모든 트래픽을 거절하는 기능을 수행

장점

- 강력한 보안 기능

- 스크린 호스트 게이트웨이 방식의 장점 그대로 가짐

- 다단계 방어로 매우 안전함

단점

- 방화벽 시스템 구축 소요 비용이 많음

- 서비스 속도가 느림(지연)

 

바. Gateway/Proxy Server

- 보안과 성능을 고려하여 서비스별로 Gateway를 설치, 운영(외부 오픈 할 서비스를 별도의 존 구성)

- Proxy Server를 이용하여 접근 통제 및 캐싱 기능 구현

장점

- 강력한 보안 기능

- 모니터링및분석기능강화

단점

- 방화벽 시스템 구축 비용 고가

 

IV.  방화벽의 한계와 보안 대책

가. 방화벽의 한계

문제점

내용

침입 알람기능

- 침입발생 시, 사용자에게 알람 기능없음(Log기록 확인)

- Dos나 DDoS공격에 취약

백도어

- 우회 경로를 통한 백도어 생성과 침입에 대해 방어안됨

- 정상적인 포트를 통해 들어오는 공격은 막을 수 없음(IRC)

내부 사용자에

의한 보안침해

- 악의적인 내부 사용자에 대한 보안 침해 방어 못함

다이얼 모뎀

- 외부네트워크로부터 내부 네트워크로 비 인가된 다이얼모뎀접근 방어 못함

- 1차적인 네트워크 침임 차단 역할만 수행

성능

- 네트워크의 성능이 느려질 수 있음

압축파일

- 파일압축, 암호화, 인코딩에 대한 방어 대책이 없음

 

 

나. 보안 대책

- 능동적 방화벽: 단순 패킷 필터링을 벗어나 각종 어플리케이션 레벨 보안을 구현하는 방화벽 도입

- 방화벽은 보안관제를 우해 ESM을 통해 IDS(침입탐지시스템)와 결합이 많이 되고 있으며 IDS와 방화벽의 기능을 결합한 IPS를 도입

 

댓글