방화벽 (Firewall) : 침입 차단 시스템

개요

• 네트워크를 외부 망과 내부 망으로 분리시키고 그 사이에 방화벽을 배치시켜 정보의 악의적인 흐름, 침투 등을 방지하는 시스템
•  비 인가자, 불법침입자, 해커의 침입으로 인한 정보의 손실, 변조, 파괴 등으로부터 피해를 최소화 시킬 수 있음
• 장점
  • 내, 외부 네트워크 분리로 인한 보안의 집중을 유도
  • 확장된 Privacy
  • 위협에 취약한 서비스에 대한 보호
  • 각 사용자 시스템에 대한 접근제어 및 통제가 가능
• 방화벽으로 보호할 수 있는 영역
  • 외부의 불법침입
  • 내, 외부 네트워크의 분리로 인한 정보와 자원
  • 알려지지 않은트래픽의 보호
• 보호할 수 없는 영역
  • 내부의 불법침입
  • 모뎀 접속을 통한 내부 사용자
  • 인가된 서비스를 이용한 외부의 침해 시도

방화벽 기능 : 접근제어

• 누가 또는 무엇이 어떠한 객체에 접근할 수 있는지를 정의하는 개념과 동시에 그러한 것을 구현하게 해 주는 것
• 저수준에서의 접근 통제
  • 통제 대상 : IP, Portservice, Protocol
  • 통상 Screen Router를 이용한 IP헤더나 포트헤더를 검색 후 통과 여부 결정 및  Access List를 이용한 실제 적용
• 고수준에서의 접근 통제
  • 통제 대상 : User, 시간, 내용, Protocol 특성
  • 각 사용자별, 시간대별, 유해차단 및 Spam 메일, 바이러스 점검까지 가능

방화벽 기능 : 인증

• 다중 사용자 시스템 또는 망 운용 시스템에서, 시스템이 단말 로그인 정보를 확인하는 보안 절차
• 인증 서비스는 통신이 신뢰성을 갖도록 보증하는 것이 중요
• 종류 : 메시지 인증, 사용자 인증, 클라이언트 인증
  • 메시지 인증 : Gateway-to-Gateway 형태의 VPN 서비스를 제공하는 것이 가능한 것
  • 사용자 인증 :  Gateway 사용시 전송 패킷의 데이터부분을 제어할 수 있기 때문에 사용자 인증이 가능.
  • 클라이언트 인증 : 모바일 사용자를 비롯한 특이한 형태의 사용자와 Host는 IP Base로 제어가 불가능한 경우가 있는데, 이러한 경우 접속을 요구하는 Host 자체를 인증하는 것이 가능.

방화벽 기능 : 로깅 및 감사 추적

• 방화벽을 지나간 허가나 거부된 접근에 대한 기록을 유지하여 사고가 있을 시 추적 가능
• 방화벽의 구성 상의 특징을 감안 할 때 네트워크와 네트워크로의 트래픽은 반드시 방화벽을 경유하는데, 방화벽은 이러한 트래픽의 내용을 일정한 형식에 맞추어 기록함. 관리자는 로깅된 데이터를 이용하여 다른 정보를 분석, 유추해 내는 것이 가능하며, 외부에서의 침해 사고 발생 시 이를 해결 할 수 있는 정보를 얻는 것도 가능.

방화벽 기능 : NAT (Network Address Translation)

• 내부 네트워크 주소를 외부 공인 네트워크 주소로, 외부 사용자가 내부에 존재하는 서버의 접속을 위한 네트워크 주소
• 보안적 측면에서 내, 외부 네트워크 격리로 인한 내부 네트워크 구성을 은닉할 수 있는 장점이 있고, 효율적 측면에서 다양한 서브 네트워크를 구성할 수 있는 장점

방화벽 분류

Packet Filtering 패킷 필터링

• 사설 네트워크와 인터넷 사이에 전개되는 패킷 필터링 기반의 가장 단순한 최초의 방화벽
•  장점
  • 어플리케이션 레벨 방화벽에 비해 처리속도가 빠름
  • 적용/운용이 쉽다는 점
  •  용자에게 투명성을 제공
• 단점
  • 패킷헤더 조작이 비교적 쉬움
  • 바이러스에 감염된 메일 전송 시 차단 불가능
  • 접속 제어 규칙의 개수 및 순서에 따라 부하 가중

Proxy 프록시

• Proxy는 2세대 방화벽으로, 클라이언트와 실제 서버 사이에 존재하여 둘 사이의 프로토콜 및 데이터 전달자 역할을 수행
• 응용 수준 방화벽 시스템과 회로 수준 방화벽 시스템 두 가지의 유형
• 패킷 필터링 라우터보다 더 높은 수준의 보호 능력을 제공
• 인터넷으로부터 회사 네트워크로의 모든 요청을 처리한다는 점에서 bastion host의 개념을 적용
  
  
• 응용 수준 방화벽 시스템
  • OSI 7 계층의 어플리케이션 계층에서 동작
  • 각 서비스별로 Proxy 데몬이 있어서 Proxy Gateway 또는 응용 게이트 웨이 라고도 함
  • 장점
    • 외부에 대한 내부 망의 완벽한 경계선 방어
    • 내부의 IP 주소를 숨기는 것이 가능
    • 데이터 부분의 제어에 따른 높은 로깅 기능과 감사가 가능
  • 단점
    • 많은 부하를 유발할 가능성
    • 일부 서비스에 대해 투명성 제공이 어려움
    • 새로운 서비스에 대한 유연성이 없고. 하드웨어가 의존적
      
      

• 회로 수준 방화벽 시스템

  • OSI 7 계층 중 세션과 응용프로그램 계층 사이에서 동작
  • 전용 Proxy가 아닌, 어느 Application도 이용이 가능한 일반적인 Proxy가 존재
  • 장점
  • 내부의 IP주소를 숨기는 것이 가능
  • 수정된 Client 프로그램이 설치된 사용자에게는 투명한 서비스를 제공
  • 단점
  • 방화벽의 접속을 위해서는 Circuit Gateway를 인식할 수 있는 수정된 Client Program이 필요
  • 구현 예: SOCKS V5

Stateful Inspection 스테이트풀 패킷검사

• 개요
  • Stateful Inspection은 1세대의 Packet filtering 방식과 2세대의 Application Gateway 방식의 장점을 혼합한 3세대 방화벽 기술
  • 패킷으로 부터 받은 정보와 전송 상태, 연결 상태, 다른 applications과의 관계 그리고 패킷의 Top 5 계층을 면밀하게 검사하는 구조
  • Stateful Inspection은 네트워크 트래픽과 관련된 모든 통신 채널을 상태목록에 유지시킨 후 누가, 언제, 어느 때 사용하였는지 또는 거부 당했는지를, 또 어떤 경로를 통하여 외부에 접속하였으며, 돌아왔는지에 대해 분석하고 패킷의 수락 여부를 결정하는 방화벽
• 특징
  • 각 모든 통신 채널을 추적하는 상태 목록을 유지하고, 프레임이 모든 통신 레이어에서 분석
• 장점
  • 모든 채널에 대해 추적이 가능
  • 한 차원 높은 Packet Filtering 기능을 제공
  • 높은 수준의 보안, 뛰어난 확장성
  • 사용자에게 투명성을 제공, UDP와 RPC 패킷도 추적이 가능
• 단점
  •  상태 목록이 거짓 정보가 가득 찰 때 장비를 정지하거나 재가동해야 함
  •  어떠한 이유로 방화벽을 재 구동시 현재 연결에 대한 모든 정보를 잃어버리게 되어 정당한 패킷에 대해 거부가 발생할 수 있음

Bastion host 베스션 호스트

• Bastion host는 중세 성곽의 가장 중요한 수비부분이라는 의미이며, 방화벽 시스템이 가지는 기능 중 가장 중요한 기능을 제공하고, 좀 더 정교한 네트워크 보안을 구현하기 위한 하나의 기본적인 모듈로써 이용된다.
• 장점
  • 스크리닝 라우터 방식보다 안전
  • 정보 지향적인 공격의 방어가 가능
  • 각종 로깅 정보를 생성 및 관리하기 쉽다
• 단점
  • Bastion host가 손상되면 내부 네트워크를 보호 할 수 없음
  • 로그인 정보가 누출되면 내부 네트워크를 보호 할 수 없음

Screening router 스크리닝 라우터

• 스크리닝 라우터는IP 필터링 기능이 추가된 라우터를 이용해서, 들어오거나 나가는 패킷에 대한 접근을 제어하는 방법
• 보통 스크리닝 라우터와 베스천 호스트를 함께 운영
• 장점
  • 필터링 속도가 빠름
  • 적은 비용
  • 네트워크 계층에서 동작하므로 클라이언트와 서버에 변화가 없어도 된다
• 단점
  • 패킷 필터링 규칙을 구성하여 검증하기 어려움
  • 패킷 내의 데이터에 대한 공격을 차단하지 못함

Dual homed gateway 이중 홈 게이트웨이

• 이중 홈 게이트웨이는 내부 네트워크와 외부 네트워크 사이에 시스템 위치하여 두 개의 네트워크 인터페이스를 가지면서 외부망과 내부망 사이의 IP 트래픽을 완전하게 차단하는 방식
• 하나의 네트워크 인터페이스는 정보 서버와 연결 되고, 다른 하나는 사설 네트워크 호스트 컴퓨터와 연결
• 장점
  • 스크리닝 라우터 방식보다 안전
  • 정보 지향적인 공격을 방어
  • 설치 및 유지 보수와 각종 기록 정보를 생성 및 관리하기 쉬움
• 단점
  • 제공되는 서비스가 증가할수록 proxy 소프트웨어 가격이 상승한다

Screened host gateway 스크린 호스트 게이트웨이

• 스크리닝 라우터와 베스천 호스트 두 개의 시스템을 결합한 형태
• 침입자는 별개의 두 시스템을 침입해야 비로소 사설 네트워크의 보안을 위협 할 수 있음
• 들어오는 트래픽은 오직 베스천 호스트만 접근 할 수 있게 하며, 내부 시스템으로의 접근을 차단
• 장점
  • 다른 방화벽에 있는 모든 장점이 있고 융통성도 뛰어남
• 단점
  • Single point of failure, Network delay가 발생할 수 있다

Screened subnet gateway 스크린 서브넷 게이트웨이

• 두 개의 패킷 필터링 라우터와 하나의 베스천 호스트를 이용하여 외부 네트워크와 내부 네트워크 사이에 완충 지대를 두는 방식
• 두 개의 패킷 필터링 라우터와 하나의 베스천 호스트를 이용
• 장점
  • 다른 방화벽에 있는 모든 장점이 있고 융통성도 뛰어남
• 단점
  •  다른 시스템보다 설치와 관리가 어려움
  • 방화벽 시스템 구축 비용이 비쌈
  • 서비스 속도가 느림