네트워크 보안 - 방화벽 Firewall

---

네트워크 보안 - 방화벽 Firewall

---

 

방화벽(Firewall)

Ⅰ. 방화벽(Firewall, 침입차단시스템)의 개요

   가. 방화벽의 정의

        - 방화벽이란 외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중의 하나로서 외부의 불법침입으로부터 내부의 정보자산을 보호하고 외부로부터 불법정보 유입을 차단하기 위한 정책과 하드웨어 및 소프트웨어의 총침임

        - 네트워크를 통해 흐르는 Packet을 미리 정해놓은 구성에 따라 차단하거나 전달하는 기능을 수행하는 소프트웨어 또는 하드웨어를 의미함

방화벽

 

나. 방화벽 도입의 필요성

      1) 위협에 취약한 서비스에 대한 보호

          - 방화벽은 네트워크에 대한 보안을 강화하고, 기본적으로 안전하지 않은 서비스를 필터링(filtering)함으로써 서브넷 상에 있는 호스트에 위험을 감소시킬 수 있음

          - 선택된 프로토콜만이 방화벽을 통과하므로 서브넷 네트워크 환경은 위험에 덜 노출됨

      2) 호스트 시스템에 대한 액세스 제어

          - 외부 네트워크에서 내부 네트워크에 있는 호스토로 접속하고자 할 때, 원하지 않는 액세스는 차단할 수 있음. 

      3) 보안의 집중

          - 원하는 호스트에 방화벽을 설치할 수 있다는 점에서 실제적으로 경제적임

      4) 확장된 프라이버시

      5) 네트워크 사용에 대한 로깅과 통계자료

      6) 정책 구현

          - 방화벽은 네트워크 액세스 제어 정책에 대한 구현을 제공함

          - 따라서 사용자와 서비스에 대한 액세스를 제어할 수 있음

 

   다. 방화벽의 주요기능

 

주요기능	설명
접근통제	외부에서 내부 네트워크에 접속하는 것을 패킷필터링을 이용하여 통제기능 패킷필터링: 내부 네트워크로 들어오는 패킷의IP 주소 혹은 서비스 포트 번호 등을 분석하여  외부 또는 내부 네트워크에 대한 접근을 통제하는 기능.
사용자 인증	침입차단시스템을 지나가는 트래픽에 대한 사용자의 신분을 증명하는 기능
감사 및 로그 기능	모든 트래픽에 대한 접속 정보 및 네트워크 사용에 따른 유용한 통계 정보를 기록
프록시 기능	클라이언트의 서비스 요청을 받아 보안정책에 따라 실제 서비스를 수행하는 서버로 그 요청을 전달하고 실행결과를 수신하여 사용자에게 전달하는 기능
주소변환 기능(NAT)	발신자 호스트의 IP주소나 목적지 호스트의 IP주소를 전송 단계에서 변경하여 전달하는 기능

 

Ⅱ. 방화벽의 종류

종류	설    명
패킷 필터링 (Packet Filtering)	- 네트워크층(IP프로토콜)과 전송층 (TCP프로토콜) 에서 동작 - 다른 방식에 비해 처리속도가 빠름 - 낮은 Layer에서 동작하므로 기존 어플리케이션과 연동이 용이 - 하드웨어에 의존적이지 않음 - 강력한 Logging 및 사용자 인증기능 불가
Application Gateway	- OSI모델중 Application Layer에서 동작 - 방화벽의 Proxy를 이용한 연결 - 매우 높은 보안정책 실현 및 바이러스 검사 등 부가기능 제공 - 전용Gateway에 따른 어플리케이션의 유연성 부족하며 H/W에 의존적
Circuit Gateway	- Session~Application Layer 에서 동작 - 전용Gateway가 아닌 하나의 일반Gateway로 모든 서비스 처리가능 - 내부의 IP주소를 숨기는 것이 가능 - Gateway의 사용을 위해 수정된 클라이언트 모듈이 필요 - 지원 불가능한 프로토콜의 존재 가능성이 있음
Hybrid	- 대부분의 상용 방화벽의 채택 방식임 - Packet Filtering + Application Gateway 방식 - 내부의 보안정책, 어플리케이션 등에 맞추어 선택적 보안설정 가능

 

Ⅲ. 방화벽의 구축 방법 (방화벽의 종류와는 다른 개념)

   가. 스크리닝 라우터 (Screening Router)

      1) 스크리닝 라우터의 개념

         - 네트워크에서 사용하는 통신 프로토콜의 형태, 근원지 주소와 목적지 주소, 통신 프로토콜의 제어필드 그리고 통신 시 사용하는 포트 번호를 분석해서 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 허가 및 거절을 행하는 라우터를 말함

      2) 스크리닝 라우터의 구성

스크리닝 라우터의 구성

 

         - 스크리닝라우터로 연결에 대한 요청이 입력되면, IP, TCP 혹은 UDP의 패킷 헤더를 분석 하여 근원지/목적지의 주소와 포트 번호, 제어 필드의 내용을 분석하고, 이들을 패킷 필터 규칙에 적용하여 계속 진입시킬 것인지 아니면 거절할 것인지를 판별함

         - 연결 요청 패킷의 진입이 허가되면 이 후의 모든 패킷은 연결 단절이 발생할 때까지 모두 허용됨

 

      3) 스크리닝 라우터의 장단점

 

구분	내   용
장점	- 필터링 속도가 빠르고, 비용이 적게 듬 - 네트워크 계층에서 동작하기 때문에 클라이언트와 서버에 변화가 없어도 됨 - 사용자에 대해 투명성을 유지함 - 하나의 스크리닝 라우터로 보호하고자 하는 네트워크 전체를 동일하게 보호할 수 있음
단점	- 네트워크 계층과 트랜스포트 계층에 입각한 트래픽만 방어 가능 - 패킷 필터링 규칙을 구성하여 검증하기 어려움 - 패킷내의 데이터에 대한 공격을 차단하지 못함 - 스크리닝 라우터를 통과 혹은 거절당한 패킷에 대한 기록(log)을 관리 하기 어려움

 

나. Bastion 호스트 (Bastion  Host)

      1) Bastion 호스트의 개념

         - Bastion 호스트는 인터넷 등의 외부 네트워크와 내부 네트워크를 연결해 주는 방화벽 시스템 역할을 수행함.

 

      2) Bastion 호스트의 구성

Bastion 호스트 (Bastion  Host)

 

         - 인터넷 사용자가 내부 네트워크로의 액세스를 원할 경우 우선 Bastion 호스트를 통과하여야만 내부 네트워크를 액세스하여 자원 및 정보 사용 가능

         - 해커 및 불법 침입자가 Bastion 호스트에 있는 중요한 정보를 악용하여 내부 네트워크로 접근하는 것을 방지하기 위해서는 Bastion 호스트 내에 존재하는 모든 사용자 계정을 지워야 함

         - Bastion 호스트는 내부 네트워크로의 접근에 대한 기록(log), 감사 추적을 위한 기록 및 모니터링 기능을 가지고 있어야 함

 

      3) Bastion 호스트의 장단점

구분	내   용
장점	- 응용 서비스 종류에 보다 종속적이기 때문에 스크리닝 라우터보다 안전함 - 정보 지향적인 공격을 방어할 수 있음 - 각종 기록(logging) 정보를 생성 및 관리하기 쉬움
단점	- Bastion 호스트가 손상되면 내부 네트워크를 보호할 수 없음 - 로그인 정보가 누출되면 내부 네트워크를 보호할 수 없음

다. Dual-Homed 게이트웨이

      1) Dual-Homed 게이트웨이의 개념

         - 두개의 네트워크 인터페이스 를 가진 Bastion 호스트를 말하며, 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며, 다른 하나의 네트워크 인터페이스는 보호하고자 하는 내부 네트워크에 연결되며, 양 네트워크간의 라우팅은 존재하지 않는 방식임

 

      2) Dual-Homed 게이트웨이의 구성

 

Dual-Homed 게이트웨이

          - Dual-Homed 게이트웨이상에서 실행되며 서비스를 제공하는 proxy 서버를 사용하는 방법과 응용 서비스를 제공해주는 Dual-Homed 게이트웨이에 직접 로그인한 다음 다시 내부 네트워크로 접근하는 방법이 있음

         - 외부 네트워크로부터 내부 네트워크로 진입하기 위해서는 Dual-Homed 게이트웨이를 통과해야 함

 

      3) Dual-Homed 게이트웨이의 장단점

 

구분	내   용
장점	- 응용 서비스 종류에 좀더 종속적이기 때문에 스크리닝 라우터보다 안전함 - 정보 지향적인 공격을 방어할 수 있음 - 각종 기록 정보를 생성 및 관리하기 쉬움 - 설치 및 유지보수가 쉬움
단점	- 제공되는 서비스가 증가할수록 proxy 소프트웨어 가격이 상승힘 - 게이트웨이가 손상되면 내부 네트워크를 보호할 수 없음 - 로그인 정보가 누출되면 내부 네트워크를 보호할 수 없음

 

라. 스크린 호스트 게이트웨이 (Screened Host Gateway)

      1) 개념

         - Dual-Homed 게이트웨이와 스크리닝 라우터를 혼합하여 사용한 방화벽 시스템

 

      2) 구성

스크린 호스트 게이트웨이 (Screened Host Gateway)

 

        - 인터넷과 Bastion 호스트 사이에 스크리닝 라우터를 접속하고, 스크리닝 라우터와 내부 네트워크 사이에서 내부 네트워크상에 Bastion 호스트를 접속함

        - 인터넷과 같은 외부 네트워크로부터 내부 네트워크로 들어오는 패킷 트래픽을 스크리닝 라우터에서 패킷 필터 규칙에 의해 1차로 방어하고, 스크리닝 라우터를 통과한 트래픽은 모두 proxy 서버를 구동하는 Bastion 호스트에서 입력되는 트래픽을 점검하며, 스크리닝 라우터 혹은 Bastion 호스트를 통과하지 못한 모든 패킷 트래픽은 거절됨

 

       3) 스크린 호스트 게이트웨이의 장단점

 

구분	내   용
장점	- 2 단계로 방어하기 때문에 매우 안전함 - 네트워크 계층과 응용 계층에서 방어하기 때문에 공격이 어려움 - 가장 많이 이용되는 방화벽 시스템이며, 융통성이 좋음 - Dual-Homed 게이트웨이의 장점을 그대로 가짐
단점	- 해커에 의해 스크리닝 라우터의 라우팅 테이블이 변경되면 이들을 방어 할 수 없음 - 방화벽 시스템 구축 비용이 많음

 

마. 스크린 서브넷 게이트웨이 (Screened Subnet Gateway)

      1) 개념

         - 인터넷과 내부 네트워크를 스크린 게이트웨이를 통해서 연결하며, 일반적으로 스크린 서브넷에는 방화벽 시스템이 설치되어 있으며, 인터넷과 스크린 서브넷 사이 그리고 서브넷과 내부 네트워크 사이에는 스크리닝 라우터를 사용하는 방식

 

      2) 구성

 

스크린 서브넷 게이트웨이 (Screened Subnet Gateway)

  

        - 스크린 서브넷은 일명 DMZ(DeMiliterization Zone)의 역할을 외부 네트워크와 내부 네트워크사이에 두겠다는 것으로서 완충 지역 개념의 서브넷을 운영하는 것임

        - 스크리닝 라우터는 인터넷과 스크린 서브넷 그리고 내부 네트워크와 스크린 서브넷사이에 각각 놓이며, 입출력되는 패킷 트래픽을 패킷 필터 규칙을 이용하여 필터링함

        - 스크린 서브넷에 설치된 Bastion 호스트는 proxy 서버(응용 게이트웨이)를 이용하여 명확히 진입이 허용되지 않은 모든 트래픽을 거절하는 기능을 수행

 

      3) 스크린 서브넷 게이트웨이의 장단점

  

구분	내   용
장점	- 스크린 된 호스트 게이트웨이 방화벽 시스템의 장점을 그대로 가짐 - 융통성이 뛰어나다. - 해커들이 내부 네트워크를 공격하기 위해서는 방어벽을 통과할 것이 많아 침입이 어려움 - 매우 안전함
단점	- 다른 방화벽 시스템들 보다 설치하기 어렵고, 관리하기 어려움 - 방화벽 시스템 구축 비용이 많이 듬 - 서비스 속도가 느림

 

라. 방화벽의 한계

문제점	주요 내용
침입 알림 기능	- 침입 발생시 사용자에게 알림기능 없음 (Log 기록된 사항을 보아야 함)
백 도어	- 우회 경로를 통한 백도어 생성과 침입에 대해 방어하지 못함
바이러스 검색불능	- 침입차단시스템은 수신된 패킷의 태용에 대한 검색이 불가능하므로 전자우편을 통해 유입되는 바이러스에 대해서는 방어하지 못함
내부사용자에 의한 보안침해	- 악의적인 내부 사용자에 의한 보안 침해를 방어하지 못함
다이얼 모뎀	- 외부 네트워크로부터 내부 네트워크로 비 인가된 다이얼 모뎀을 통한 접근을 방어하지 못함  (결국 1차적인 네트워크 침입 차단 역할)