[ 보호 ]
[ 보안 ]
[ 용어 ]
- 침입 차단 시스템(Intrusion Blocking System) : (인터넷) 방화벽
- 침입 탐지 시스템(Intrusion Detection System) : IDS
- 침입 방지 시스템(Intrusion Prevention System) : IPS = IDS + FW + 기타기능
- 통합 위협 관리(Unified Threat Management) : IPS + Virus 탐지
- 각 회사마다 약간씩 이름을 다르게 부름 (차별화를 위한 마케팅 방식)
- 인트라넷 = 내부망
[ 라우터(Router) ]
- 서로 다른 네트워크를 연결하는 장치 = 공유기도 라우터의 일종임
- ex) 이더넷과 Wi-fi, 이더넷과 PPP를 연결, 이더넷과 HDLC 연결 등
- LAN과 WAN을 연결
- LAN 종류: Ethernet(Xerox), Token Ring, FDDI, Wi-Fi
- WAN 종류: PPP, HDLC, ATM, X.25 등
- IP 주소 대역이 다른 네트워크 연결(L3) → Routing Table에서 관리
- Router에 ACL(Access Control List)를 설치하면 Screen Router라고 함
- ACL(액클, 접근 통제 목록): 패킷이 지나가는 것을 허용 또는 거부 (Permit or Deny)
- ACL에는 허용 / 거부할 IP주소 등이 적혀 있음(살생부)
[ Bastion ]
- 성벽 중간에 크고 높고 앞으로 돌출되어 있는 시설
- 성벽을 공략하기 전에 Bastion을 먼저 무력화 시켜야 함
- 네트워크에서 모든 트래픽이 지나가도록 설정되어 있는 시스템
[ 스크린 라우터(Screen Router) ]
- 패킷 헤더 내용(ip, port, TTL)을 필터링 할 수 있는 라우터,
- OSI 3 또는 4계층에서 동작
[ 베스천 호스트(Bestion Host) ]
- 내부와 외부 네트워크 사이에서 일종의 게이트웨이 역할
- FW에서 가장 중요한 역할
- proxy 많이 사용
- 구매시 속도를 고려함
[ 1세대 방화벽 - 패킷 필터링(Packet filtering) ]
- IP헤더(IP 주소), TCP/UDP헤더(Port 번호)를 보고 허용, 거부 결정
- 헤더만 보기 때문에 속도 매우 빠름
- IP Spoofing(출발지 주소를 속임)에 취약 → DoS/DDoS 공격에 취약
[ 2세대 방화벽 - Application Level(Proxy - 중계) Firewall ]
- 7계층 헤더를 보고 허용, 거부 결정
- 특정 프로토콜의 동작(Upload 차단, 다운로드 허용)을 보고 통제 가능
- 서비스마다 별도의 데몬(Daemon)이 존재 → 데몬이 많아지고 설정 복잡
- 7계층까지 갔다와야하고 데몬도 많기 때문에 매우 느림 = 잘 안팔림
- ex) MS-ISA (Proxy Firewall)
- 세부 설정(프로토콜마다 다른 설정)이 가능하다는 장점
참고) Circuit Gateway Firewall
- 하나의 데몬이 모든 서비스 통제 (허용, 거부)
- 덜 복잡하고 덜 느림
[ 3세대 방화벽 - Stateful Packet Inspection (SPI) : 상태 기반 방화벽 ]
- State Table(상태 테이블)에 트래픽의 정보를 저장하고 관리하는 방식: 출IP, 목IP, 출Port, 목Port, 프로토콜, 방향 등등
- 3, 4 계층을 위주로 판단, 트래픽 상황을 보고 판단 → 안전 + 빠름 (잘 팔림) : Check Point
- cf) HW는 Nokia에서 만들고, SW는 CheckPoint를 사용해서 Appliance(일체형) 형태로 판매
- 내부망에서 요청한 트래픽을 기록하기 때문에 외부에서 들어오는 응답 트래픽은 허용(네트워크의 정황(context)을 고려)
- Stateful: 네트워크의 흐름을 고려해서 처리한다는 의미
[ 4세대 방화벽 - Dynamic Packer Filter ]
- 능동적으로 차단하는 기능이 있는 방화벽
- 요청 개수가 임계값을 초과하는 경우 → 공격으로 간주 → 스스로 차단
- 2, 3세대 조합해서 만든 방화벽
[ 5세대 방화벽 - Kernel Proxy, Secure OS 개념 도입 ]
- 최근에는 HW 일체형 방화벽(Appliance) → 이미 설정이 되어있기 때문에 선을 연결하기만 하면 됨
- 방화벽 배치 방법 - Screened Host
- 모든 트래픽은 Bation Host(Proxy Server)를 들렀다가 가야 함
- 웹 브라우저에서 Proxy 주소를 Bation Host로 설정하면 됨 (안하면 인터넷 연결이 안됨)
- 외부에서 Bastion Host 외에는 보이지 않기 때문에 가려진 호스트(Screened Host)라고 함
- Screened Host - Bastioon host 뒤에 있는 호스트는 보이지 않기 때문에 screented host라고 부름
- 방화벽 = packet filtering router + bastion host
[ 방화벽 배치 방법 - Dual Home ]
- 외부 내부 인터페이스가 다르게 되어있는 것
- 외부망을 연결하는 포트와 내부망을 연결하는 포트가 따로 분리되어 있음 (물리적인 분리)
- 트래픽을 내부망과 외부망으로, 서로 다른 네트워크로 구성할 수 있음(내부망은 사설 IP, 외부망은 공인 IP → NAT 설정해야 인터넷 가능)
- 방화벽이 문제가 생기면 네트워크를 분리된 상태가 되므로 상당히 안전함
[ 방화벽 배치 방법 - Screened Subnet ]
- 밖에서는 DMZ까지만 접근 가능, 따라서 네트워크 제한 가능
- 외부망(인터넷)과 내부망 사이에 DMZ 구간을 두어서 네트워크를 분리하는 방식
- 외부망에서는 DMZ까지만 접근이 가능, 내부망은 접근할 수 없도록 설정
- 내부망에서는 DMZ까지만 접근이 가능, 외부망으로는 나갈 수 없음
- DMZ - 완충지대 역할
- DMZ - 외부에서 접근이 많은 로그인 서버, 웹서버, 메일 서버, DNS 등을 배치
- DB 서버는 내부망에 배치 → 뱅킹 서버에서는 DB 서버에 접근이 가능하지만 외부망에서는 DB 서버에 접근 불가능 (은행 네트워크 등에서 많이 쓰임)
[ CheckPoint.iso ]
- Module: 방화벽 본체
- Smart Console: 방화벽을 관리하는 컴퓨터
[ 방화벽 규칙 작성 방법 (Rule Set) ]
- 맨 마지막 줄에는 모두 거부를 배치 (Deny All Philosophy: 모두 거부 원칙)
- 최소한 하나의 허용이 있어야 함
- 큼 조건은 아래로 배치, 작은 조건은 위에 배치 → 위에서부터 내려가면서 적용되기 때문에 큰 조건이 위에 있으면 아래는 무력화 됨
- 자주 참조될수록 위쪽에 배치 (효율성 측면)
[ 방화벽 적용 방법 ]
- 위에서 내려가면서 적용
- 해당 규칙을 찾으면 그 조건을 적용
- 해당 규칙을 찾지 못하면 마지막 줄에서
다른 방화벽이 CheckPoint를 보고 만들기 때문에(다른 것도 비슷한 화면) 실습에 사용
