Firewall - 방화벽

Firewall

Note

OSI Model vs TCP/IP

TCP/IP (1974) : 4 Layer Model (5 Layer Model)

OSI Model (1986) : 7 Layer Model

: Physical, Data Link, Network, Transport, Session, Presentation, Application으로 이루어져 있습니다.

OSI 7 Layer Model, TCP/IP 4 Layer Model 비교

 

* 보호(Protection) : 내부의 정보가 외부로 나가는 것을 막는 것

   보안(Security) : 외부에서 내부로 들어오는 것을 막는 것

 

* 용어정리침입 차단 시스템(Intrusion Blocking System) : 인터넷 방화벽 침입 탐지 시스템(Intrusion Detection System) : IDS침입 방지 시스템(Intrusion Prevention System) : IPS (IDS + FW + 기타) 통합 위협 관리 (Unified Threat Management) : UTM (IPS + Virus 탐지) 각 회사마다 약간씩 이름을 다르게 부릅니다. (차별화를 위한 마케팅  방식)

 

Router

: 서로 다른 네트워크를 연결하는 장치

ex) Ethernet과 Wi-Fi (공유기도 Router의 일종), Ethernet과 PPP를 연결, Ethernet과 HDLC 연결 등

- LAN과 WAN을 연결

LAN의 종류 : Ethernet(Xerox), Token Ring, FDDI, Wi-Fi

WAN의 종류 : PPP, HDLC, ATM, X.25 등등

- IP 주소 대역이 아닌 다른 네트워크를 연결(L3) > Routing Table에서 관리

 

* Router에 ACL(Access Control List)를 설치하면 Screen Router라고 합니다.

- ACL(액클, 접근 통제 목록) : 패킷이 지나가는 것을 허용 또는 거부(Permit or Deny)

 -ACL에는 허용할 IP주소, 거부할 IP 주소 등이 적혀 있습니다.

 

방화벽 (Firewall)

: 외부에 공개되지 않은 Intranet 접근을 차단하고, 외부로 나가는 정보를 통제하기 위해 Internet과 Intranet  사이에 설치되는 차단 시스템

- 보안이 필요한 네트워크의 통로를 단일화하여 관리함으로써 외부의 불법 침입으로부터 내부의 정보 자산을 보호

- 통신에 대한 로깅과 감사 증적 자료로 활용

- 공격자를 탐지하고 알림

- 다양한 네트워크 통신 데이터 제공 (누가 어떤 서비스를, 얼마나 자주 쓰는지, 성능상의 병목 지점 등)

- 한계점 : 내부에서 발생하는 해킹사고 탐지 불가

 

방화벽의 구분

1세대 : Packet Filtering 방식

- IP Header (IP Address), TCP, UDP Header(Port 번호)를 보고 허용 또는 거부할지 결정하는 것

- 장점 : Heager만 보기 때문에 속도가 매우 빠름, ACL를 기준으로 보안 정책 적용 가능

- 단점 : IP Spoofing(출발지 주소를 속이는 것)에 취약, DoS/DDos 공격에 취약

 

2세대 : Application Level (Proxy) Firewall (Application Gateway)

- 7계층 헤더를 보고 허용 또는 거부를 결정

- 특정 프로토콜 동작(Upload는 차단, Download만 허용)을 통제할 수 있음

- 서비스마다 별도의 데몬(Daemon) 존재 > 데몬이 많아지고, 설정이 복잡하고, 매우 느림 > 잘 안 팔림

- 장점 : 세부 설정 가능 (프로토콜 각각 설정)

- 단점 : 매우 느림 ex) MS-ISA (Proxy Firewall)

 

cf. Circuit Gateway Firewall

- 하나의 데몬은 모든 서비스를 통제 (허용 또는 거부)

- 덜 복잡, 덜 느림

 

3세대 : Stateful Packet Inspection(SPI) Firewall : 상태 기반 방화벽

- State Table(상태 테이블)에 트래픽의 정보를 저장하고 관리하는 방식 : 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port, 프로토콜, 방향 등

- 3 계층과 4 계층을 위주로 트래픽 상황을 보고 판단하기 때문에 안전하면서도 매우 빠름 (잘 팔림) > Check Point (오랜 기간 1위)

(HW는 Nokia에서 만들고, SW는 Check Point를 사용해서 Appliance 형태로 판매)

- 내부망에서 요청한 트래픽을 기록하기 때문에 외부에서 들어오는 응답 트래픽은 허용 (네트워크의 정황(context)을 고려)

- 외부망에서 들어오려는 트래픽은 거부

- Stateful : 네트워크의 흐름을 고려해서 처리한다는 의미

 

4세대 : Dynamic Packet-filtering Firewall

- 능동적으로 차단하는 기능이 있는 방화벽

- 요청 개수가 임계값을 초과하는 경우 > 공격으로 간주 > 스스로 차단

 

5세대 : Kernel Proxy, Secure OS 개념 도입

> 전문가 필요, 비용 발생

 

최근에는 HW 일체형 방화벽(설정이 다 되어있음) > 선을 연결하기만 하면 됨

 

방화벽 배치 방법

1) Screened Host

- 모든 트래픽은 Bastion Host(Proxy Server)를 들렀다가 가야 함

- 웹 브라우저에서 Proxy 주소를 Bastion Host로 설정하면 됨 (안 하면 인터넷 연결이 안 됨)

- 외부에서는 Bastion Host 외에는 보이지 않기 때문에 가려진 호스트(Screened Host)라고 함

- 최근에는 잘 안 쓰임

 

2) Dual Homed

- 외부망을 연결하는 포트와 내부망을 연결하는 포트가 따로 분리되어 있음 (물리적인 분리)

- 트래픽을 내부망과 외부망으로 서로 다른 네트워크로 구성할 수 있음 (내부망은 사설 IP, 외부망은 공인 IP > NAT 설정)

- 방화벽에 문제가 생기면 네트워크가 분리된 상태가 되므로 상당히 안전

 

3) Screened Subnet

- 외부망(인터넷)과 내부망 사이에 DMZ 구간을 두어서 네트워크를 완전히 분리하는 방식

- 외부망에서는 DMZ 까지만 접근이 가능하고 내부망은 접근할 수 없도록 설정

- 내부망은 DMZ 까지만 접근이 가능하고 외부망으로는 나갈 수 없음 ex) 은행

- DMZ에는 외부에서 접근이 많은 뱅킹 서버, 웹 서버, 메일 서버, DNS 서버 등을 배치

- DB 서버는 내부망에 배치 > 뱅킹 서버에서 DB서버에 접근이 가능, 외부망에서는 DB서버 접근 불가능 (은행 네트워크)

 

 

Check Point SmartDashboard

용어

Module : 방화벽 본체

Smart Console : 방화벽을 관리하는 컴퓨터

 

방화벽 규칙 작성 방법 (rule set)

맨 마지막 줄에는 모두 거부를 배치(deny all philosophy : 모두 거부 원칙)

최소한 하나의 허용이 있어야 함

큰 조건은 아래로 배치 작은 조건은 위에 배치 > 위에서부터 내려가면서 적용되기 때문에 큰 조건이 위에 있으면 아래는 무력화됨

자주 참조될수록 위쪽에 배치 (효율성 측면)

 

방화벽 적용 방법

위에서 아래로 내려가면서 적용

해당 규칙을 찾으면 그 조건을 적용

해당 규칙을 찾지 못하면 마지막 줄의 모두 거부에 해당 > 버려짐