11 침입 차단 시스템

11. 침입 차단 시스템

침입 차단 시스템과 관련한 이슈 사항을 살펴보도록 하겠습니다.

보안 전문가들이 ‘방화벽의 종말’을 공표한지 20년이 흘렀지만 여전히 방화벽 기술은 보란 듯이 생존해 있습니다. 여전히 중요한 보안장치로 남아있는 방화벽의 건재함이 드러나는 증거는 무엇일까요?

먼저 방화벽에 대한 사람들의 높은 의존도입니다. 방화벽은 여전히 네트워크 보안체계에서 핵심적인 요소입니다.

둘째, 단단해지는 방화벽과 동반되는 관리의 애로사항입니다. 방화벽의 정책과 규칙들이 더욱 복잡해지고 있습니다. 방화벽을 좀 더 강하게 만들기 위함입니다.

세 번째는 차세대 방화벽의 등장입니다. 기업들이 이미 방화벽의 업그레이드에 소홀하지 않고 있습니다. 응답자의 거의 절반인 48%가 기존 방화벽을  NGFW(Next Generation FireWork)로 보안했다고 답했으며, 적어도 25%가 전체 방화벽 구성을 업그레이드 시킨 것으로 집계됐습니다.

네 번째는 방화벽과 가상화입니다. 점점 더 많은 기업이 가상 및 클라우드 환경을 사용함으로써 방화벽의 가치는 여전히 높을 수 밖에 없다고 답한 이가 응답자의 90%로 집계됐습니다. 응답자의 40%는 방화벽과 차세대 방화벽은 가상 환경에서 높은 가치로 활용되고 있다고 답했습니다.

이렇듯 방화벽은 여전히 중요한 보안 시스템으로 여겨지고 있는데요. 이번 시간을 통해 자세히 살펴보도록 하겠습니다.

침입 차단 시스템의 개요

1. 침입 차단 시스템 : 방화벽(Firewall)

침입 차단 시스템의 개요

여러분. 침입 차단 시스템에 대해 들어보신 적이 있나요? 침입 차단 시스템이란 건물에 화재가 발생하였을 경우 더 이상 주변으로 화재가 번지지 않도록 하기 위하여 모든 연결경로를 차단하는 방화벽이라는 말에서 기인한 말로, 네트워크를 외부 망과 내부 망으로 분리시키고 그 사이에 방화벽을 배치시켜 정보의 악의적인 흐름, 침투 등을 방지하는 시스템을 말합니다. 침입 차단 시스템은 비 인가자, 불법침입자, 해커의 침입으로 인한 정보의 손실, 변조, 파괴 등으로부터 피해를 최소화 시킬 수 있습니다. 방화벽 구축시의 이점으로는 내, 외부 네트워크 분리로 인한 보안의 집중을 유도할 수 있고, 확장된 Privacy를 가지며, 위협에 취약한 서비스에 대한 보호를 할 수 있습니다. 그리고 각 사용자 시스템에 대한 접근제어 및 통제가 가능합니다. 방화벽으로 보호할 수 있는 영역으로는 외부의 불법침입, 내, 외부 네트워크의 분리로 인한 정보와 자원, 그리고 알려지지 않은트래픽의 보호를 할 수 있으나, 내부의 불법침입과, 모뎀 접속을 통한 내부 사용자, 그리고 인가된 서비스를 이용한 외부의 침해 시도는 보호 할 수 없는 영역입니다.

2. 접근 제어

이번에는 접근제어에 대해 알아보겠습니다. 접근제어는 Firewall의 가장 기본적인 기능으로, 누가 또는 무엇이 어떠한 객체에 접근할 수 있는지를 정의하는 개념과 동시에 그러한 것을 구현하게 해 주는 것을 의미합니다. 저 수준에서의 접근통제대상은 IP, Portservice, Protocol이고, 통상 Screen Router를 이용한 IP헤더나 포트헤더를 검색 후 통과 여부 결정하고,  Access List를 이용한 실제 적용을 합니다.  고 수준에서의 접근 통제대상은 User, 시간, 내용, Protocol 특성이고, 각 사용자별, 시간대별, 유해차단 및 Spam 메일,

바이러스 점검까지 가능합니다.

3. 인증

다음은 인증에 대해 알아보겠습니다. 인증은 다중 사용자 시스템 또는 망 운용 시스템에서, 시스템이 단말 로그인 정보를 확인하는 보안 절차를 말합니다. 인증 서비스는 통신이 신뢰성을 갖도록 보증하는 것이 중요합니다. 그 종류로는 메시지 인증, 사용자 인증,

클라이언트 인증이 있는데요.

먼저 메시지 인증은 Gateway-to-Gateway 형태의 VPN 서비스를 제공하는 것이 가능한 것을 말하며,

사용자 인증은 Gateway 사용시 전송 패킷의 데이터부분을 제어할 수 있기 때문에 사용자 인증이 가능합니다. 마지막으로 클라이언트 인증은 모바일 사용자를 비롯한 특이한 형태의 사용자와 Host는 IP Base로 제어가 불가능한 경우가 있는데, 이러한 경우 접속을 요구하는 Host 자체를 인증하는 것이 가능합니다.

4. 로깅 및 감사 추적

로깅 및 감사 추적을 이용해, 방화벽을 지나간 허가나 거부된 접근에 대한 기록을 유지하여 사고가 있을 시 추적을 할 수 있습니다.

방화벽의 구성 상의 특징을 감안 할 때 네트워크와 네트워크로의 트래픽은 반드시 방화벽을 경유하는데, 방화벽은 이러한 트래픽의 내용을 일정한 형식에 맞추어 기록하게 됩니다. 관리자는 로깅된 데이터를 이용하여 다른 정보를 분석, 유추해 내는 것이 가능하며, 외부에서의 침해 사고 발생 시 이를 해결 할 수 있는 정보를 얻는 것도 가능합니다.

5. NAT(Network Address Translation)

NAT는 내부 네트워크 주소를 외부 공인 네트워크 주소로, 외부 사용자가 내부에 존재하는 서버의 접속을 위한 네트워크 주소입니다.

보안적 측면에서 내, 외부 네트워크 격리로 인한 내부 네트워크 구성을 은닉할 수 있는 장점이 있고, 효율적 측면에서 다양한 서브 네트워크를 구성할 수 있는 장점이 있습니다.

방화벽의 분류

1. Packet Filtering 패킷 필터링

방화벽의 분류

이번에는 방화벽의 분류에 대해 알아보겠습니다. 먼저 패킷 필터링에 대해 알아보겠습니다. 패킷 필터링은 사설 네트워크와 인터넷 사이에 전개되는 패킷 필터링 기반의 가장 단순한 최초의 방화벽 중 하나 입니다. 어플리케이션 레벨 방화벽에 비해 처리속도가 빠르고, 적용/운용이 쉽다는 점과, 사용자에게 투명성을 제공한다는 장점이 있으나, 패킷헤더 조작이 비교적 쉽다는 점과, 바이러스에 감염된 메일 전송 시 차단 불가능하다는 점, 그리고 접속 제어 규칙의 개수 및 순서에 다라 부하 가중된다는 단점이 있습니다.

2. Proxy 프록시

Proxy는 2세대 방화벽으로, 클라이언트와 실제 서버 사이에 존재하여 둘 사이의 프로토콜 및 데이터 전달자 역할을 수행합니다.

응용 수준 방화벽 시스템과 회로 수준 방화벽 시스템 두 가지의 유형이 존재하여 패킷 필터링 라우터보다 더 높은 수준의 보호 능력을 제공합니다.

그리고 인터넷으로부터 회사 네트워크로의 모든 요청을 처리한다는 점에서 bastion host의 개념을 적용하고 있습니다.

프록시의 유형으로

응용 수준 방화벽 시스템은 OSI 7 계층의 어플리케이션 계층에서 동작 하고, 각 서비스별로 Proxy 데몬이 있어서 Proxy Gateway 또는 응용 게이트 웨이라고 부르기도 합니다. 외부에 대한 내부 망의 완벽한 경계선 방어 및 내부의 IP 주소를 숨기는 것이 가능하고, 데이터 부분의 제어에 따른 높은 로깅 기능과 감사가 가능합니다. 그러나 많은 부하를 유발할 가능성이 있고, 일부 서비스에 대해 투명성 제공이 어려우며 새로운 서비스에 대한 유연성이 없고. 하드웨어가 의존적이라는 단점을 갖고 있습니다.

회로 수준 방화벽 시스템은 OSI 7 계층 중 세션과 응용프로그램 계층 사이에서 동작하며, 전용 Proxy가 존재하는 것이 아니고, 어느 Application도 이용이 가능한 일반적인 Proxy가 존재합니다. 장점으로는 내부의 IP주소를 숨기는 것이 가능하고, 수정된 Client 프로그램이 설치된 사용자에게는 투명한 서비스를 제공하는 것이 가능합니다. 단점으로는 방화벽의 접속을 위해서는 Circuit Gateway를 인식할 수 있는 수정된 Client Program이 필요하다는 점입니다.

3. Stateful Inspection

다음 방화벽의 종류 중 Stateful Inspection에 대해 알아보겠습니다.

Stateful Inspection은 1세대의 Packet filtering 방식과 2세대의 Application Gateway 방식의 장점을 혼합한 3세대 방화벽 기술로, 패킷으로 부터 받은 정보와 전송 상태, 연결 상태, 다른 applications과의 관계 그리고 패킷의 Top 5 계층을 면밀하게 검사하는 구조입니다.

Stateful Inspection은 네트워크 트래픽과 관련된 모든 통신 채널을 상태목록에 유지시킨 후 누가, 언제, 어느 때 사용하였는지 또는 거부 당했는지를, 또 어떤 경로를 통하여 외부에 접속하였으며, 돌아왔는지에 대해 분석하고 패킷의 수락 여부를 결정하는 방화벽입니다.

Stateful inspection의 특징은 각 모든 통신 채널을 추적하는 상태 목록을 유지하고, 프레임이 모든 통신 레이어에서 분석한다는 점입니다. 모든 채널에 대해 추적이 가능하고 한 차원 높은 Packet Filtering 기능을 제공합니다. 높은 수준의 보안을 제공하며, 확장성이 뛰어납니다. 사용자에게 투명성을 제공하며, UDP와 RPC 패킷도 추적이 가능하다는 장점이 있습니다. 반면에 상태 목록이 거짓 정보가 가득 찰 때 장비를 정지하거나 재가동해야 한다는 점과, 어떠한 이유로 방화벽을 재 구동시 현재 연결에 대한 모든 정보를 잃어버리게 되어 정당한 패킷에 대해 거부가 발생할 수 있는 단점이 있습니다.

4. Bastion host 베스션 호스트

Bastion host는 중세 성곽의 가장 중요한 수비부분이라는 의미이며, 방화벽 시스템이 가지는 기능 중 가장 중요한 기능을 제공하고, 좀 더 정교한 네트워크 보안을 구현하기 위한 하나의 기본적인 모듈로써 이용됩니다.

베스션의 특징을 살펴보면 스크리닝 라우터 방식 보다 안전하고, 정보 지향적인 공격의 방어가 가능하며, 각종 로깅 정보를 생성 및 관리하기 쉽다는 장점이 있습니다. 하지만 Bastion host가 손상되면 내부 네트워크를 보호 할 수 없고, 로그인 정보가 누출되면 내부 네트워크를 보호 할 수 없다는 단점이 있습니다.

5. Screening router 스크린닝 라운터

스크리닝 라우터는IP 필터링 기능이 추가된 라우터를 이용해 들어오거나 나가는 패킷에 대한 접근을 제어하는 방법으로, 보통 스크리닝 라우터와 베스천 호스트를 함께 운영합니다.

스크리닝 라우터는 필터링 속도가 빠르고 비용이 적게 들고, 네트워크 계층에서 동작하므로 클라이언트와 서버에 변화가 없어도 된다는 장점이 있지만, 패킷 필터링 규칙을 구성하여 검증하기 어렵고, 패킷 내의 데이터에 대한 공격을 차단하지 못한다는 단점이 있습니다.

6. Dual homed gateway 이중 홈 게이트웨이

이중 홈 게이트웨이는 내부 네트워크와 외부 네트워크 사이에 시스템 위치하여 두 개의 네트워크 인터페이스를 가지면서 외부망과 내부망 사이의 IP 트래픽을 완전하게 차단하는 방식입니다. 하나의 네트워크 인터페이스는 정보 서버와 연결 되고, 다른 하나는 사설 네트워크 호스트 컴퓨터와 연결됩니다.

이중 홈 게이트 웨이의 특징으로는 스크리닝 라우터 방식보다 안전하고, 정보 지향적인 공격을 방어할 수 있으며, 설치 및 유지 보수와 각종 기록 정보를 생성 및 관리하기 쉬운 장점이 있는 반면, 제공되는 서비스가 증가할수록 proxy 소프트웨어 가격이 상승한다는 단점이 있습니다.

7. Screened host gateway 스크린 호스트 게이트웨이

스크린드 호스트 게스트웨이는 스크리닝 라우터와 베스천 호스트 두 개의 시스템을 결합한 형태로 침입자는 별개의 두 시스템을 침입해야 비로소 사설 네트워크의 보안을 위협 할 수 있습니다. 들어오는 트래픽은 오직 베스천 호스트만 접근 할 수 있게 하며, 내부 시스템으로의 접근을 차단합니다.

스크린드 호스트 게이트웨이의 특징을 살펴보면 다른 방화벽에 있는 모든 장점이 있으며 융통성도 뛰어나지만, Single point of failure, Network delay가 발생할 수 있다는 단점이 있습니다.

8. Screened subnet gateway 스크린 서브넷 게이트웨이

스크린된 서브넷 게이트웨이는 두 개의 패킷 필터링 라우터와 하나의 베스천 호스트를 이용하여 외부 네트워크와 내부 네트워크 사이에 완충 지대를 두는 방식입니다. 두 개의 패킷 필터링 라우터와 하나의 베스천 호스트를 이용합니다.

다른 방화벽에 있는 모든 장점이 있으며, 융통성도 뛰어납니다. 하지만 다른 시스템들 보다 설치와 관리가 어렵고, 방화벽 시스템 구축 비용이 높습니다. 또한 서비스 속도가 느립니다.