[CISA 이론 정리 - 5장] 06 인터넷 보안 대책 (1/2)

1. 인터넷 방화벽

(1) 기본 개념

① 인터넷 방화벽(Internet firewall) 또는 방화벽이란 통신망을 신뢰할 수 있는 영역과 신뢰할 수 없는 영역으로 분리하는 요소들(정책, 하드웨어, 소프트웨어)의 집합이다.

② 따라서 방화벽은 이 두 영역 사이의 경계선(perimeter) 역할을 한다.

③ 방화벽이 수행할 수 있는 기능의 범위는 다음과 같다.

할 수 있는 일

• 보안 정책 강화/노출 제한

• 인터넷 및 시스템 자원 사용 감시

• 침입, 서비스 거부, 정보 도난 위험 절감

할 수 없는 일

• 내부 사용자의 악의적인 공격

• 바이러스의 침투와 유포

• 방화벽을 우회하는 통신(예: 모뎀) 위험

(2) 방화벽의 접근 규칙

① 방화벽은 일정한 규칙에 따라 인터넷을 통한 접근을 통제하는데 이 때 기본적으로 채택하는 접근 통제 정책은 다음과 같다.

기본적으로 접근을 금지하는 방식

• Deny all + Accept some

• 기본적으로 외부 사용자에 의한 내부 네트워크 접근을 거부한다.

• 예외적으로 허용된 경우에만 접근은 승인한다.

• 정보 자원에 대한 접근 통제 및 보호가 향상된다.

기본적으로 접근을 허용하는 방식

• Accept all + Deny some

• 기본적으로 외부 사용자에 의한 내부 네트워크 접근을 허용한다.

• 예외적으로 금지된 경우에만 접근을 거부한다.

• 사용자의 편이성과 업무 효율성이 향상된다.

② 보안의 관점에서 기본적으로 접근을 금지하는 정책이 바람직하다.

(3) 방화벽의 종류

패킷 필터링(Packet Filtering) 방화벽

• 라우터가 송수신 패킷의 헤더(IP 주소, 포트 번호)를 검사한다.

• 검사 결과 접근 규칙에 어긋나는 패킷들을 차단한다.

• 정적(Static) 패킷 필터링 또는 상태 무관(stateless) 검사라고도 한다.

• 하드웨어 기반으로서 속도가 빠르지만 제공 보안 수준이 낮다.

• 가장 단순한 형태의 방화벽으로서 로그를 관리하지 않는다.

프록시(Proxy)

• 베스천 호스트에 위치하며 사용자와 서버 사이를 중개한다.

• 접근 규칙에 따라 서버 접근을 결정하며 인터넷 활동을 기록한다.

• 응용 기반으로서 속도가 느리지만 제공 보안 수준이 높다.

• 서버별로 별도의 프록시를 두는 것이 일반적이다.

• 캐싱, 로그 작성, NAT(네트워크 주소 변환) 등의 기능을 제공한다.

상태 기반 검사(Stateful Inspection) 방화벽

• 검사 엔진이 통신 세션을 감시하고 상태 정보 테이블에 기록한다.

• 송수신 상태에 비추어 순서가 어긋난 패킷들을 차단한다.

• 동적(Dynamic) 또는 상태 기반 패킷 필터링이라고도 한다.

• 평소에는 포트를 닫아 두기 때문에 포트 스캐닝을 예방한다.

• 속도와 보안 간 균형을 맞추며 사실상의 표준으로 정착되고 있다.

(4) 방화벽 세대 비교

(5) 베스천 호스트(Bastion Host)

① 내부 망와 외부 망 사이 존재하는 컴퓨터 시스템으로서 게이트웨이 역할을 한다.

② 그 자체로 방화벽은 아니며 프록시 설치, 인증, 로그 작성 등의 기능을 수행한다.

③ 하드닝(Hardening, 불필요한 기능 배제)되어 있으며 자체 방어 능력이 강력해야 한다.

(6) 방화벽 관련 문제점

① 방화벽은 인트라넷 내부인에 의한 공격을 막아 주지 못한다.

② 모뎀을 통해 인터넷에 접속할 경우 방화벽을 우회하게 된다.

③ 접근 규칙이 잘못 설정될 경우 위험한 서비스를 통과시키는 일이 생긴다.

④ 로그 기능을 잘못 설정할 경우 추적에 필요한 정보가 적절히 기록되지 않는다.

⑤ 로그 기록이 적절히 생성되더라도 이를 정기적인 검토하는 것은 사람의 몫이다.

(7) 방화벽에 구현할 수 있는 추가 기능

① 방화벽은 VPN(가상 사설망)을 통해 엑스트라넷(extranet)을 구현해 줄 수 있다.

② 엑스트라넷이란 외부인에게 개방한 인트라넷의 일정한 부분을 가리킨다.

예) 입찰 시스템, 주문 또는 판매 시스템, 재고 관리 시스템 등

③ 방화벽은 NAT(네트워크 주소 변환) 프로토콜을 사용하여 사설 IP 주소와 공공 IP 주소 매핑하고 외부에 대해 사설 IP 주소를 숨긴다.

(8) 방화벽 아키텍처

스크린드 호스트

• 패킷 필터링(= 스크리닝) 라우터와 베스천 호스트를 사용한다.

• 내부 호스트는 프락시를 통해서만 인터넷에 접근하게 한다.

듀얼 홈드

• 베스천 호스트의 NIC(네트워크 인터페이스를 카드)가 2개 이상이다.

• 라우팅 기능을 배제된 형태의 방화벽이다.

• 스크린드 호스트 구조보다 더 강력한 보안을 제공한다.

스크린드 서브넷

• 인터넷과 내부 네트워크 사이에 서브 네트워크가 위치한다.

• 서브 네트워크 앞뒤에는 스크리닝 라우터가 위치한다.

• 서브 네트워크는 DMZ(De-Militarized Zone)이라고도 한다.

• 서브 네트워크에는 외부 DNS 서버, 웹 서버, 이메일 서버, FTP 서버, 전자 상거래 서버 등이 위치한다.

• 가장 강력하지만 구조가 복잡하다.