외부의 침입을 차단하는 보안시스템, 방화벽(Firewall)


    방화벽이란, 대표적인 보안 시스템으로서 외부의 침입을 방어하기 위한 시스템이다. OS에서 기본적으로 제공을 하고 있기도 하고, 금융 시스템을 써봤으면, IT인이 아니더라도 많은 사람들이 그 의미와 사용법을 알고 있을 정도로 유명하다.


    방화벽의 기본 역할은 신뢰 수준이 다른 네트워크 구간들 사이에 놓여서 신뢰 수준이 낮은 네트워크로부터 오는 해로운 트래픽이 신뢰 수준이 높은 네트워크로 오지 못하게 막는 것이다. 흔히 네트워크 관리자의 입장에서 높은 신뢰도를 갖는 구간은 내부 네트워크 구간이라 하고, 낮은 신뢰도를 갖는 구간을 인터넷 구간 또는 외부 네트워크 구간이라고 한다. 이 밖에도 외부에 서비스를 제공하는 서버들을 위한 DMZ 구간이 있으며 인터넷으로부터 내부 네트워크로의 침입을 막는 동시에 내부 네트워크에서 인터넷과 자유롭게 통신할 수 있도록 도와 준다.

    대부분의 방화벽은 정책 기반의 방화벽이며 다양한 수준의 정책으로 네트워크 간의 트래픽을 제어한다.



    1. 외부의 침입을 차단하기 위한 전방위 보안시스템, 방화벽의 개요

    가. 방화벽(Firewall)의 개념

    - 외부로부터 불법침입과 내부의 불법정보 유출을 방지하고, 내/외부 네트워크의 상호간 영향을 차단하기 위한 보안 시스템

    - Packet을 미리 정해놓은 구성에 따라 차단하거나 전달하는 기능을 수행하는 SW 또는 HW


    나. 방화벽의 필요성

    - 호스트 위험 최소화 : NW를 필터링(filtering)하여 서브넷 상에 있는 호스트의 위험을 감소 시킴

    - 액세스 차단 : 외부 네트워크에서의 원하지 않는 액세스 차단 필요

    - 엑세스 제어 : 네트워크 액세스 제어 정책에 대한 구현을 제공



    2. 방화벽 시스템의 구성도 및 주요 보안 기능, 유형

    가. 방화벽 시스템의 구성도

    - 외부망과 내부망의 상호 간 필터링 및 주소 변환 기능을 제공하는 시스템 설명도 


    나. 방화벽의 주요 보안 기능
    • 접근제어 : 송신자의 IP 및 포트번호를 바탕으로 패킷 필터링 수행
    • 사용자인증 : 트패픽에 대한 사용자 신분 증명
    • 감사 및 로그 : 접속 정보 기록, 네트워크 사용에 따른 통계정보
    • 프록시 기능 : 어플리케이션 계층 필터링, 실제 IP 주소를 효과적으로 숨김
    • 주소변환 : NAT, 내부(사설주소)와 외부(공인주소)의 주소 변환 기능


    다. 방화벽의 유형
    1) 패킷 필터링(Packet Filtering)
    - OSI 3,4 계층, 네트워크계층 (IP프로토콜)과 전송계층(TCP프로토콜)의 패킷을 필터링
    - 패킷 필터링 라우터에 의해 TCP 포트와 IP주소 패킷을 필터링
    - 다른 방식에 비해 처리속도가 빠름
    - 낮은 Layer에서 동작하므로 기존 어플리케이션과 연동이 용이
    - 사용자에게 투명한 서비스를 제공
    - TCP/IP 헤더는 조작이 쉬움
    - 모든 트래픽이 내부/외부 NW와 직접 연결되어 변형된 정보가 직접적 영향 줄 수 있음
    - 패킷 헤더의 목적지 주소, 포트, 소스 등의 정보는 해석하지 않아 조작여부 판단 불가
    - 강력한 Logging 및 사용자 인증 기능 불가
    - 트래픽의 접속제어방식과 접속량이 성능에 큰 영향미침

    2) 어플리케이션 게이트웨이(Application Gateway)
    - OSI 모델 중 7계층, Application Layer 에서 동작
    - 서비스 별로 Proxy 서버가 존재할 수 있어 프락시 게이트웨이라고도함. 프락시 서버가 트래픽 보안 검사 실시
    - IP주소, TCP 포트로 NW 보안 설정, 사용자 인증 실시
    - 보안성 우수(내부, 외부 NW이 프락시 서버 통해서만 연결)
    - 매우 높은 보안정책 실현(로그인, 감시기능) 및 바이러스 검사 등 부가기능 제공
    - 프락시 서버를 활용하여 확장성이 우수
    - 속도 느림, 일부 서비스의 투명도가 떨어짐, 프락시 사용으로 새로운 서비스에 대한 유연성 부족(전용 Gateway 에 따른 어플리케이션의 유연성 부족하며 하드웨어에 의존적)


    3) Circuit Gateway(초기방식, 거의 사용안함)
    - OSI 5~7 계층, Session ~ Application Layer 에서 동작
    - 내부 -> 외부 NW의 접근을 제어
    - 외부 -> 내부 NW 접속시 서킷 프락시 프로그램 설치하여 연결회선 형성 필요(통신회선 형성)
    - 전용 Gateway 가 아닌 하나의 일반 Gateway로 모든 서비스 처리가능
    - 내부의 IP주소를 숨기는 것이 가능
    - Gateway의 사용을 위해 수정된 클라이언트 모듈이 필요
    - 지원 불가능한 프로토콜의 존재 가능성이 있음.
    - 비표준 포트로 우회 접근해오는 접근에 대해서는 방어를 못함

    4) Hybrid
    - Packet Filtering + Application Gateway 방식 (편의성, 보안성)
    - 속도 빠르고, 투명 (패킷 필터링 장점)
    - 보안 설정 수준 높고 변경이 용이 (프락시 서버 장점)
    - 관리가 어렵고 복잡 (두가지 방식 복합 사용에 따른 단점)
    - 대부분의 상용 방화벽의 채택 방식임


    3. 방화벽 형태
    1) 스크리닝 라우터(Screening Router)
    - 내/외부 네트워크를 스크리닝 라우터(방화벽을 라우터에 탑재)로 연결
    - 스크리닝 라우터로 연결에 대한 요청이 입력되면 IP, TCP/UDP의 패킷 헤더를 분석
    - 출발/목적지의 주소, 포트 등을 분석하고, 패킷 필터 규칙에 적용하여 계속 진입시킬 것인지 판별
    - 연결 요청이 허가되면 이후 모든 패킷은 연결 단절이 발생할 때까지 모두 허용

    장점 : 속도가 빠름, 비용 절감, 네트워크 방어 범위가 넓음
    단점 : 패킷 필터링 규칙 구성 어려움, 패킷내의 데이터 공격 차단 어려움, 기록을 관리하기 힘듬


    2) 베스천(요새) 호스트 방식(Bastion Host)

    - 방화벽 시스템을 탑재한 호스트로 내/외부 네트워크 연결

    - 베스천 호스트는 보호된 네트워크에서 유일하게 외부의 공격에 노출된 시스템 구조, 즉 내/외부 네트워크 사이의 게이트웨이 역할 담당

    - 기능 : 인증기법, 접근통제, 로그기록, 모니터링 기능 제공


    장점 : 지능적으로 정보분석
    단점 : 베스천 호스트 자체 보안 취약성 존재, 관리자에 의한 정기적인 점검, 감시 필요

    3) 듀얼 홈드 게이트웨이(Dual-Homed Gateway)
    - 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며,  다른 하나의 네트워크 인터페이스는 내부네트워크에 연결되는 Bastion 호스트
    - 내외부용 2개의 네트워크 카드를 내장한 Bastion Host를 이용하여 연결
    - 스크리닝 라우팅 방식과는 달리 라우팅 기능은 존재하지 않음
    - 외부 네트워크에서 내부 네트워크로 진입하기 위해서는 Dual-Homed 게이트웨이를 통과하며 허용된 패킷만을 통과시킴

    장점 : 보안성 강화, 기록 생성 및 관리 쉬움, 설치 및 유지보수 쉬움
    단점 : 제공되는 서비스가 증가할 수록 가격 상승, 로그인 정보 누출 시 네트워크 보호 힘듬

    4) 스크린드 호스트 게이트웨이(Screened Host Gateway)
    - Dual-Homed 게이트웨이와 스크리닝 라우터를 혼합하여 사용한 방화벽 시스템
    - 인터넷과 같은 외부 네트워크로부터 내부 네트워크로 들어오는 패킷 트래픽을 스크리닝 라우터에서  패킷 필터 규칙에 의해 1차로 방어
    - 스크리닝 라우터를 통과한 트래픽은 Bastion 호스트에서 2차로 필터링 점검

    장점 : 2단계 보안점검 기능, NW 계층과 응용계층에서 방어(공격에 효과적)
    단점 : 구축 비용 많음, 해커에 의한 스크리닝 라우터의 라우팅 테이블 변경 가능

    5) 스크린드 서브넷 게이트웨이(Screened Subnet Gateway)
    - Screening Router를 Bastion Host 중심으로 연결하는 방화벽 구조
    - 스크리닝 라우터들 사이에 응용 게이트웨이가 위치하는 구조를 가짐
    - 인터넷과 내부 네트워크 사이에 Screened Subnet이라는 완충 지역 개념의 서브넷을 운용
    - Screened Subnet에 설치된 Bastion 호스트는 Proxy 서버(응용 게이트웨이)를 이용하여 명확히 진입이 허용되지 않는 모든 트래픽을 거절하는 기능을 수행
      

    장점 : 강력한 보안 기능, 스크린 호스트 게이트웨이 방식의 장점 계승, 다단계 방어로 매우 안전

    단점 : 구축 소요 비용이 많음, 서비스 속도가 느림(지연)


    6) Gateway / Proxy Server

    - 보안과 성능을 고려하여 서비스별로 Gateway를 설치, 운영(외부 오픈할 서비스를 별도의 존 구성)

    - Proxy Server를 이용하여 접근 통제 및 캐싱 기능 구현


    장점 : 강력한 보안 기능, 모니터링 및 분석 기능 강화

    단점 : 방화벽 시스템 구축 비용 고가



    4. 방화벽의 한계 및 동향

    가. 방화벽의 한계

    • 침입 알람 기능 : 침입 발생 시, 알람 기능 없음, DoS 계열 공격에 취약
    • 백도어 : 우회 경로를 통한 백도어 생성과 침입에 대해 방어 불가
    • 바이러스 검색 불가 : 수신된 패킷에 대한 내용 검색 불가능, 이메일을 통해 유입된 바이러스 차단 불가
    • 내부 사용자의 보안 침해 : 악의적인 내부 사용자의 보안 침해는 방어 불가능

    나. 방화벽의 동향

    - 능동적 방화벽 : 단순 패킷 필터링을 벗어나 각종 지지의 Application Level 보안을 구현하는 Firewall

    - Firewall은 네트워크 보안의 가장 기본이 되는 솔루션으로 대부분의 기관에서 사용 중.

    - 속도는 Gigabit 이상의 장비들이 많이 활용되고 있음(128Gbps 이상 제품 출시)

    - 시장에서는 외산 제품인 이스라엘 Checkpoint사의 Firewall-1 제품이 가장 널리 알려져 있으며, Netscreen 등의 외산 제품과 국내 벤더들의 제품이 경쟁하고 있음

    - 최근의 Firewall 장비는 SW와 HW가 결합한 appliance 형태의 제품들이 대부분

    - 또한 간단한 Worm 차단 기능 및 암호화 기능 등도 가지는 경우가 있음

    - Firewall은 보안관제를 위하여 ESM을 통해 IDS(침입탐지시스템)와 결합이 많이 되고 있으며, IDS와 Firewall의 기능을 합한 IPS가 많이 등장하고 있음



    연관토픽


    댓글

    Designed by JB FACTORY