-
Firewall - 방화벽Security 2022. 5. 12. 17:50
Note
OSI Model vs TCP/IP
TCP/IP (1974) : 4 Layer Model (5 Layer Model)
OSI Model (1986) : 7 Layer Model
: Physical, Data Link, Network, Transport, Session, Presentation, Application으로 이루어져 있습니다.
* 보호(Protection) : 내부의 정보가 외부로 나가는 것을 막는 것
보안(Security) : 외부에서 내부로 들어오는 것을 막는 것
* 용어정리침입 차단 시스템(Intrusion Blocking System) : 인터넷 방화벽 침입 탐지 시스템(Intrusion Detection System) : IDS침입 방지 시스템(Intrusion Prevention System) : IPS (IDS + FW + 기타) 통합 위협 관리 (Unified Threat Management) : UTM (IPS + Virus 탐지) 각 회사마다 약간씩 이름을 다르게 부릅니다. (차별화를 위한 마케팅 방식)
Router
: 서로 다른 네트워크를 연결하는 장치
ex) Ethernet과 Wi-Fi (공유기도 Router의 일종), Ethernet과 PPP를 연결, Ethernet과 HDLC 연결 등
- LAN과 WAN을 연결
LAN의 종류 : Ethernet(Xerox), Token Ring, FDDI, Wi-Fi
WAN의 종류 : PPP, HDLC, ATM, X.25 등등
- IP 주소 대역이 아닌 다른 네트워크를 연결(L3) > Routing Table에서 관리
* Router에 ACL(Access Control List)를 설치하면 Screen Router라고 합니다.
- ACL(액클, 접근 통제 목록) : 패킷이 지나가는 것을 허용 또는 거부(Permit or Deny)
-ACL에는 허용할 IP주소, 거부할 IP 주소 등이 적혀 있습니다.
방화벽 (Firewall)
: 외부에 공개되지 않은 Intranet 접근을 차단하고, 외부로 나가는 정보를 통제하기 위해 Internet과 Intranet 사이에 설치되는 차단 시스템
- 보안이 필요한 네트워크의 통로를 단일화하여 관리함으로써 외부의 불법 침입으로부터 내부의 정보 자산을 보호
- 통신에 대한 로깅과 감사 증적 자료로 활용
- 공격자를 탐지하고 알림
- 다양한 네트워크 통신 데이터 제공 (누가 어떤 서비스를, 얼마나 자주 쓰는지, 성능상의 병목 지점 등)
- 한계점 : 내부에서 발생하는 해킹사고 탐지 불가
방화벽의 구분
1세대 : Packet Filtering 방식
- IP Header (IP Address), TCP, UDP Header(Port 번호)를 보고 허용 또는 거부할지 결정하는 것
- 장점 : Heager만 보기 때문에 속도가 매우 빠름, ACL를 기준으로 보안 정책 적용 가능
- 단점 : IP Spoofing(출발지 주소를 속이는 것)에 취약, DoS/DDos 공격에 취약
2세대 : Application Level (Proxy) Firewall (Application Gateway)
- 7계층 헤더를 보고 허용 또는 거부를 결정
- 특정 프로토콜 동작(Upload는 차단, Download만 허용)을 통제할 수 있음
- 서비스마다 별도의 데몬(Daemon) 존재 > 데몬이 많아지고, 설정이 복잡하고, 매우 느림 > 잘 안 팔림
- 장점 : 세부 설정 가능 (프로토콜 각각 설정)
- 단점 : 매우 느림 ex) MS-ISA (Proxy Firewall)
cf. Circuit Gateway Firewall
- 하나의 데몬은 모든 서비스를 통제 (허용 또는 거부)
- 덜 복잡, 덜 느림
3세대 : Stateful Packet Inspection(SPI) Firewall : 상태 기반 방화벽
- State Table(상태 테이블)에 트래픽의 정보를 저장하고 관리하는 방식 : 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port, 프로토콜, 방향 등
- 3 계층과 4 계층을 위주로 트래픽 상황을 보고 판단하기 때문에 안전하면서도 매우 빠름 (잘 팔림) > Check Point (오랜 기간 1위)
(HW는 Nokia에서 만들고, SW는 Check Point를 사용해서 Appliance 형태로 판매)
- 내부망에서 요청한 트래픽을 기록하기 때문에 외부에서 들어오는 응답 트래픽은 허용 (네트워크의 정황(context)을 고려)
- 외부망에서 들어오려는 트래픽은 거부
- Stateful : 네트워크의 흐름을 고려해서 처리한다는 의미
4세대 : Dynamic Packet-filtering Firewall
- 능동적으로 차단하는 기능이 있는 방화벽
- 요청 개수가 임계값을 초과하는 경우 > 공격으로 간주 > 스스로 차단
5세대 : Kernel Proxy, Secure OS 개념 도입
> 전문가 필요, 비용 발생
최근에는 HW 일체형 방화벽(설정이 다 되어있음) > 선을 연결하기만 하면 됨
방화벽 배치 방법
1) Screened Host
- 모든 트래픽은 Bastion Host(Proxy Server)를 들렀다가 가야 함
- 웹 브라우저에서 Proxy 주소를 Bastion Host로 설정하면 됨 (안 하면 인터넷 연결이 안 됨)
- 외부에서는 Bastion Host 외에는 보이지 않기 때문에 가려진 호스트(Screened Host)라고 함
- 최근에는 잘 안 쓰임
2) Dual Homed
- 외부망을 연결하는 포트와 내부망을 연결하는 포트가 따로 분리되어 있음 (물리적인 분리)
- 트래픽을 내부망과 외부망으로 서로 다른 네트워크로 구성할 수 있음 (내부망은 사설 IP, 외부망은 공인 IP > NAT 설정)
- 방화벽에 문제가 생기면 네트워크가 분리된 상태가 되므로 상당히 안전
3) Screened Subnet
- 외부망(인터넷)과 내부망 사이에 DMZ 구간을 두어서 네트워크를 완전히 분리하는 방식
- 외부망에서는 DMZ 까지만 접근이 가능하고 내부망은 접근할 수 없도록 설정
- 내부망은 DMZ 까지만 접근이 가능하고 외부망으로는 나갈 수 없음 ex) 은행
- DMZ에는 외부에서 접근이 많은 뱅킹 서버, 웹 서버, 메일 서버, DNS 서버 등을 배치
- DB 서버는 내부망에 배치 > 뱅킹 서버에서 DB서버에 접근이 가능, 외부망에서는 DB서버 접근 불가능 (은행 네트워크)
Check Point SmartDashboard
용어
Module : 방화벽 본체
Smart Console : 방화벽을 관리하는 컴퓨터
방화벽 규칙 작성 방법 (rule set)
맨 마지막 줄에는 모두 거부를 배치(deny all philosophy : 모두 거부 원칙)
최소한 하나의 허용이 있어야 함
큰 조건은 아래로 배치 작은 조건은 위에 배치 > 위에서부터 내려가면서 적용되기 때문에 큰 조건이 위에 있으면 아래는 무력화됨
자주 참조될수록 위쪽에 배치 (효율성 측면)
방화벽 적용 방법
위에서 아래로 내려가면서 적용
해당 규칙을 찾으면 그 조건을 적용
해당 규칙을 찾지 못하면 마지막 줄의 모두 거부에 해당 > 버려짐
'Security' 카테고리의 다른 글
Check Point - Smart View, Smart Dash Board, IDS, IPS (0) 2022.05.13 HTTP Status Code - HTTP 응답 상태 코드 정리 (0) 2022.05.13 Kali Linux - SQLmap을 이용한 SQL Injection 공격 자동화 (0) 2022.05.12 Backdoor, Trojan Horse, WebDAV, Cadaver, Bee-Box - 백도어, 트로이 목마 WebDAV, Cadaver 사용 Bee-Box 문제 풀이 (0) 2022.05.12 SQL Injection, HTML, Windows Server 2003 Hacking - SQL 인젝션, HTML, 윈도우 서버 2003 해킹 (0) 2022.05.09