72. 침입 차단 시스템(Firewall)

72. 침입 차단 시스템(Firewall)

1. 침입 차단 시스템(방화벽, Firewall)

• 인증되지 않은 데이터가 네트워크로 유입되는 것을 방지하고, 어떤 종류의 데이터가 어떻게 외부로 송신되는지를 제한하는 접근 제어 보안 장비
• 가장 기본적인 네트워크 보안 장비
• 네트워크를 경유해서 내부 시스템으로 진입하는 트래픽을 모니터링하고 접근 통제(Access Control List)를 적용함.
  • 시스템에 접근 허용이 가능한 사용자, IP, 포트를 결정함.
  • 접근하지 못하는 블랙리스트 IP를 등록하거 차단할 수도 있음.
• 침입 차단 시스템의 가장 대표적인 예 : 윈도우 방화벽
  • 인바운드 규칙
    • 외부 네트워크에서 내부 네트워크로 들어오는 패킷 중에서 어떤 IP, 어떤 프로토콜, 어떤 포트 번호 및 어떤 프로그램(서비스)을 차단/허용할 것인지 설정하는 것
  • 아웃바운드 규칙

                  인바운드(Inbound)
외부 네트워크  <--------------------------> 내부 네트워크
                  아웃바운드(Outbound) : 리버스(Reverse)라고도 함.

리버스 텔넷(Reverse Telnet)

• 모의 해킹 시, 외부망에서 내부망으로 접근하는 인바운드는 대부분 차단되어 연결할 수 없음.
• 하지만, 내부망에서 외부망으로 접근하는 아웃바운드의 경우, 거의 차단되어 있지 않음.
• 이처럼 내부망에서 외부망으로 telnet을 통하여 연결하는 것을 리버스 텔넷(Reverse Telnet) 이라고 함.
  • 내부망에서 공격자의 PC로 연결을 요청하는 것

 

2. 침임 차단 시스템 구현 방식에 따른 유형

• 패킷 필터링 장비
  • OSI 7 계층에서 네트워크 계층 과 전송 계층 에 있는 데이터를 가지고 인바운드와 아웃바운드 서비스를 제공
    • 네트워크 계층 : IP 주소
    • 전송 계층 : 포트 번호, 프로토콜 종류(TCP, UDP)
• 패킷 필터링
  • 특정 IP, 프로토콜, 포트 차단 및 허용을 할 수 있는 것

패킷 필터링(Packet Filtering)

구분	내용
계층	- 네트워크 계층과 전송 계층에서 작동
특징	- 미리 정해진 규칙에 따라 패킷 출발지 및 목적지 IP 주소 정보와 포트 번호를 이용해 접속 제어
장점	- 다른 방화벽에 비해 속도가 빠름. - 사용자에게 투명성을 제공하며, 새로운 서비스에 대해 쉽게 연동이 가능
단점	- TCP/IP 구조적인 문제로 인한 패킷의 헤더는 쉽게 조작이 가능 - 강력한 Logging 및 사용자 인증 기능을 제공하지 않음.

애플리케이션 게이트웨이(Application Gateway)

• 애플리케이션 게이트웨이
  • 응용 계층에서 기동하기 때문에, 접근 통제, 로그 관리 등의 막강한 기능을 하고 있음.
  • 성능이 느리다는 단점이 있음.

구분	내용
계층	- 응용 계층
특징	- 각 프로토콜 별로 프록시 데몬(Proxy Daemon)이 있어 프록시 게이트웨이(Proxy Gateway)라고도 함. - 사용자 및 응용 서비스에서 접근 제어를 제공하여 응용 프로그램 사용을 기록하여 감시 추적에 사용
장점	- 프록시(Proxy)를 통해서만 연결이 허용되므로 내부 IP 주소를 숨길 수 있음. - 패킷 필터링에 비해 보안성이 우수함. - 가장 강력한 Logging과 Audit 기능 제공
단점	- 성능이 떨어짐. - 새로운 서비스에 대해 유연성이 결여됨.

회선 게이트웨이(Circuit Gateway)

구분	내용
계층	- 응용 계층 ~ 세션 계층 사이
특징	- 방화벽을 통해 내부 시스템으로 접속하기 위해서는 클라이언트 측에 회선 프록시(Circuit Proxy)를 인식할 수 있는 수정된 클라이언트 프로그램(예: SOCKS)이 필요함. - 설치된 클라리언트만 회선(Circuit) 형성이 가능함.
장점	- 내부의 IP 주소를 숨길 수 있고 투명한 서비스 제공 - 애플리케이션 게이트웨이에 비해 관리가 수월함.
단점	- 수정된 클라이언트 프로그램이 필요함. - 비표준 포트로 우회 접근 시 방어 불가

상태 기반 패킷 검사(Stateful Packet Inspection)

• OSI 전 계층에서 패킷의 컨텐츠를 해석해서 침입 차단을 제공하는 가장 강력한 기능을 지니고 있음.

구분	내용
계층	- 전 계층에서 동작
특징	- 패킷 필터링 방식에 비해 세션 추적 기능 추가 - 패킷의 헤더 내용을 해석하여 순서에 위배되는 패킷 차단 - 패킷 필터링 기술을 사용하여 클라이언트/서버 모델을 유지하면서 모든 계층의 전후 상황에 대한 문맥 데이터를 제공하여 기존 방화벽의 한계 극복 - 방화벽 표준으로 자리매김.
장점	- 서비스에 대한 특성 및 통신 상태를 관리할 수 있기 때문에 나가는 패킷에 대해서는 동적으로 접근 규칙을 자동 생성
단점	- 데이터 내부에 악의적인 정보를 포함할 수 있는 프로토콜에 대한 대응이 어려움.

혼합형 타입(Hybrid Type)

구분	내용
특징	- 서비스의 종류에 따라 복합적으로 구성할 수 있는 방화벽
장점	- 서비스의 종류에 따라서 사용자의 편의성, 보안성 등을 고려하여 방화벽 기능을 선택적으로 부여
단점	- 구축 및 관리의 어려움.

심층 패킷 분석(Deep Packet Inspection, DPI)

• 패킷이 가지고 있는 컨텐츠까지 모두 검사할 수 있는 기능
• 다양한 컨텐츠를 식별하고 분석할 수 있는 가장 강력한 침입 차단 시스템
• OSI 전 계층에서 동작하며, 전 계층에 대해서 접근 통제를 할 수 있음.
• 상태 기반 패킷 검사에서 좀 더 발전된 것

 

3. 침입 차단 시스템 구축 유형

(1) 스크리닝 라우터(Screening Router)

구분	내용
개념도
내용	- IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작함. - 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 Perm/Drop 하는 라우터
장점	- 필터링 속도가 빠르고 비용이 적음. - 클라이언트와 서버 환경 변화 없이 설치 가능 - 전체 네트워크에 동일한 보호 유지
단점	- OSI 3, 4 게층만 방어하여 필터링 규칙을 검증하기 어려움. - 패킷 내의 데이터는 차단 불가 및 로그 관리가 어려움.

(2) 베스천 호스트(Bastion Host)

구분	내용
개념도
내용	- 내부 네트워크 전면에서 "내부 네트워크 전체를 보호" 함. - 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치함. - Lock Down된 상태에 있으며, 인터넷에서 접근이 가능한 서버
장점	- 스크리닝 라우터보다 안전 - Logging 정보 생성 관리가 편리 - 접근 제어와 인증 및 로그 기능 제공
단점	- Bastion Host 손상 시, 내부망 손상 - 로그인 정보 유출 시 내부망 침해 가능

(3) 듀얼 홈드 호스트(Dual-Homed Host)

구분	내용
개념도
내용	- 2개의 네트워크 인터페이스를 가진 Bastion Host - 하나의 NIC(Network Interface Card)는 내부 네트워크와 연결하고, 다른 NIC는 외부 네트워크와 연결 - 방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않끼 때문에 프록시(Proxy) 기능을 부여
장점	- 정보 지향적인 공격 방어 - Logging 정보 생성 관리가 편리 - 설치 및 유지 보수가 어려움.
단점	- 방화벽에서 보안 위반 초래 가능 - 서비스가 증가할수록 프록시(Proxy) 구성 복잡

(4) 스크린드 호스트(Screened Host)

구분	내용
개념도
내용	- 패킷 필터링 라우터와 Bastion Host로 구성되어 있음. - 패킷 필터링 라우터는 외부 및 내부 네트워크에서 발생하는 패킷을 통과시킬 것인지를 검사하고, 외부에서 내부로 유입되는 패킷에 대해서는 Bastion Host로 검사된 패킷을 전달함. - Bastion Host는 내부 및 외부 네트워크 시스템에 대한 인증을 담당함.
장점	- 2단계 방어이므로 매우 안전 - 네트워크 계층과 응용 계층 방어로 안전 - 가장 많이 사용 - 융통성 우수 - Dual-Homed 장점 유지
단점	- 스크리닝 라우터의 정보가 변경되면 방어 불가능 - 구축 비용이 높음.

(5) 스크린드 서브넷(Screened Subnet)

구분	내용
개념도
내용	- Screened Host의 보안상의 문제점을 보안 - 외부 네트워크와 내부 네트워크 사이에 1개 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 분리하기 위한 구조 - 일반적으로 2개의 스크리닝 라우터와 1개의 Bastion Host를 이용하여 구축
장점	- 스크리닝 호스트 구조의 장점 유지 - 가장 안전한 구조
단점	- 설치 및 관리가 어려움. - 구축 비용이 높음. - 서비스 속도가 느림.

 

---

 

내용 출처 : 이기적 네트워크관리사 1·2급 필기 (임호진, 황성하 공저, 영진닷컴)