정보보안기사&산업기사 필기 29장 요약 - 침입차단시스템(Firewall) (네트워크 보안)

정보보안기사 필기 29장 요약내용입니다.

4 minute read

* 2020 조현준 정보보안기사 산업기사 필기 + 핵심기출 1200제 정보보안기사 & 산업기사 필기 교재를 기반으로 요약하였습니다.

Section 29. 침입차단시스템(Firewall) (네트워크 보안)

1. 침입차단시스템(Firewall)

▶ 내부, 외부 네트워크 사이에서 접근제어 정책을 구현하는 시스템

1) 목적

→ 접근통제 및 인가

2) 특징

수동적 차단
내부망 보호
패킷 차단 가능
패킷 내용 분석 불가능
오용 탐지 불가능
오용 차단 불가능
이상 탐지 불가능
이상 차단 불가능

3) 장점 & 단점

장점

→ 엄격한 접근 통제

→ 인가된 트래픽 허용
단점

→ 내부자 공격 취약

→ 네트워크 병목현상

2. 방화벽

1) 장단점

장점	단점
- 취약한 서비스 보호 가능 - 호스트 시스템 접근제어 가능 - 로그와 통계자료 유지 - 내부 네트워크의 모든 자원에 일관된 보안정책 정용 가능	- 제한된 서비스 제공 - 우회하는 트래픽은 제어 불가 - 악의적인 내부 사용자로부터 시스템 보호 곤란 - 바이러스 및 새로운 형태의 위험에 대한 방어 곤란

2) 방화벽 운영 정책

정책	내용	예
Deny All 정책	모든 트래픽을 먼저 차단하고, 허용해야 할 트래픽만을 선별적으로 혀용하는 방식	중요 서버의 접속이나 외부에서 내부망으로의 접속차단 정책
Permit All 정책	모든 트래픽을 허용하고 특정 트래픽만을 선별적으로 차단	주로 내부망에서 외부로의 접속차단 정책

3) 유형에 따른 분류

[패킷 필터링 방화벽]

패킷의 IP 주소와 서비스 종류에 대한 정보를 이용하여 설정된 필터링 규칙에 의해 내부 네트워크를 보호하는 방법

장점 & 단점

장점	단점
- 확장 가능 - 높은 성능 제공 - 응용프로그램에 독립적	- 패킷에서 헤더정보 이상을 조사하지 않음 - 다른 옵션들에 비해 상대적으로 낮은 보안 제공 - 연결 상태를 추적하지 않음

NAT(Network Address Translation)

- 사설 주소와 범용 주소의 매핑을 제공하며 동시에 가상 사설 네트워크를 지원하는 기술**

- 적은 숫자의 공인 IP 주소만으로 많은 시스템(사설 IP 이용)이 인터넷에 접속할 수 있게 하는 기술

- 패킷 필터링과 상태 유지 방화벽은 NAT를 제공

- StaticNAT: 내부 IP 주소와 외부 IP 주소의 1:1 매칭

- DynamicNAT: 여러 개의 내부 IP 주소와 여러 개의 외부 IP 주소의 동적 매핑

- PAT(Port Address Translation) : 변환 테이블에 송/수신 포트번호와 프로토콜을 포함

[스테이트풀 패킷 검사 F/W (Stateful packet inspection F/W)]

▶ 패킷 필터링 F/W와 같이 동일한 패킷 정보를 조사하지만 TCP 연결에 관한 정보를 기록

→ TCP 시퀀스넘버를 추적해서 시퀀스넘버를 이용한 세션하이재킹 같은 공격을 방어

→ 통신 채널을 추적하는 상태 테이블을 관리한다.

작동 원리

- 데이터 링크 계층에서 SYN 패킷을 전송받으면 접근제어 정책에 의해 상태 테이블에 남겨 접근 허용여부를 결정

- 접근이 금지된 패킷일 경우 로그를 저장하고 전송을 수행하지 않고, 접근이 허용된 패킷은 네트워크 계층으로 전송

- SYN 패킷이 아닐 경우 상태 테이블의 패킷 정보 여부를 검사하고 존재하면 전송, 존재하지 않으면 접근제어 정책에 따라 전송여부를 결정

[프록시 방화벽]

▶ 침입차단시스템 호스트에서 실행되는 전문화된 어플리케이션이나 서버 프로그램으로 침입차단시스템에서 사용되는 Bastion Host에 설치되어 운영

장점 & 단점

장점	단점
- 응용프로그램 계층까지 전체적으로 패킷 안의 정보를 검사 - 패킷 필터링보다 나은 보안 제공 - 보호되는 시스템과 보호되지 않은 시스템 사이의 연결 차단	- 몇몇은 제한된 응용프로그램 번호만을 지원 - 트래픽 성능 저하 - 응용프로그램 기반 프록시 방화벽은 확장성과 성능에 대한 논점을 일으킴 - 클라이언트/서버 모델을 깨트림(보안에서는 바람직하지만 기능상 단점 존재)

Bastion Host

▶ 침입차단 소프트웨어가 설치되어 내부, 외부 네트워크 사이에서 게이트웨이 역할을 수행하며 철저한 보안 방어 기능이 구축되어 있는 시스템

1) 배스천 호스트 설계 / 구축 원리

- 가능한 한 단순하게 구성하여 호스트 보안 정책을 쉽게 구성할 수 있도록 한다.

- 배스천 호스트의 손상에 대비한 대비책을 강구해야 한다.

- 시스템 로그에 대한 백업 방법을 강구해야 한다.

2) 장점

- 스크리닝 라우터 방식보다 안전

- 정보 지향적인 공격을 방어

- 로깅 정보 생성 및 관리가 쉬움

3) 단점

- 해당 호스트가 손상되면 내부 네트워크를 보호할 수 없음

- 로그인 정보가 유출되면 내부 네트워크를 보호할 수 없음

[응용계층 게이트웨이 (Application Level Proxy, 응용프로그램 수준 프록시 방화벽)]

- 사용자 응용계층에서 침입차단 시스템 기능을 제공

- 응용 서비스마다 각각 다른 응용 게이트웨이를 구현

- 응용 서비스 사용에 따른 기록 및 감사 추적이 가능하고, 강력한 인증 서비스 제공을 제공하며 융통성이 좋음

- 응용 서비스마다 각각 다른 응용 게이트웨이가 필요하고 구축비용 부담이 큼

[회선 레벨 게이트웨이(circuit-level gateway)]

- 응용계층 게이트웨이는 내부 서버 보호가 목적이지만 서킷 레벨(회선 레벨) 게이트웨이는 내부 네트워크의 호스트 보호가 목적

- 내부 호스트가 외부 접속을 요청할 때 IP 주소를 서킷 레벨 게이트웨이 IP 주소로 변환하여 보내기 때문에 내부 호스트의 정보를 노출시키지 않음

응용프로그램레벨과 회선 레벨 프록시 방화벽 비교

응용프로그램 프록시	회선 프록시
- 모니터 되는 각 프로토콜을 위해 서로 다른 프록시 요구 - 회선 프록시 방화벽보다 나은 보호 제공 - 패킷당 보다 많은 처리를 요구하기 때문에 회선 프록시 방화벽보다 느림	- 각 프로토콜을 위해 서로 다른 프록시를 요구하지 않음 - 응용프로그램 방화벽이 제공하는 깊은 검사 능력을 제공하지 않음

방화벽 구조

구분	특징	장점	단점
스크리닝 라우터 구조	라우터를 이용해 각 인터페이스에 들어오고 나가는 패킷을 필터링 하여 내부 서보로의 접근을 가려내는 역할	- 구조 간단 - 장비 추가비용 없음	- 필터링 규칙설정 필요(복잡) - 인증기능 수행 불가능 - 내부구조 숨기기 어려움 - 1개의 장애물만 존재하여 방어 깊이가 약함
이중 네트워크 호스트 구조	- 두개의 NIC를 가짐(내부, 외부 각각 연결) - 라우팅 기능이 없는 방화벽을 설치하는 형태	- 로깅을 생성하고 방화벽의 관리와 설치, 유지보수가 비교적 용이 - 내부 네트워크 숨김 가능	- 사용자 정보 입력이 필요 - 베스천호스트가 손상되거나 로그인 정보가 누출되면 내부 네트워크를 보호할 수 없음
스크린드 호스트 게이트웨이 구조	- 스크리닝 + 이중네트워크 - 내부 네트워크에 놓여있는 베스천호스트와 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성	- 2단계 방어 가능 - 필터링 규칙 단순 - 방어 깊이 개선	- 베스천호스트 침해 시 보안에 취약 - 해커나 스크린 라우터의 라우팅 테이블이 변경되면 내부 네트워크 방어가 불가
스크린드 서브넷 구조	- 스크리닝 라우터들 사이에 듀얼홈드 게이트웨이가 위치하는 구조 - 인터넷과 내부 네트워크 사이에 DMZ 서브넷 운영 - DMZ : 네트워크 완충 지역	- 타방식 장점 + DMZ 보안층을 가지기 때문에 매우 안전 - 모듈러하고 유연하고 높은 방어의 깊이를 가짐	- 설치와 관리가 어려움 - 구축 비용 증가 - 서비스 속도 느림

2. iptables

▶ 리눅스 커널에 내장된 rule 기반의 패킷 필터링 기능

상태 추적, NAT, 패킷 레벨에서의 로깅 기능을 지원하고 확장 모듈을 통한 다양한 기능을 제공

JinHeeKIM