[정보보안기사/네트워크] 침입차단 시스템

한국어

<h2 id="침입차단-시스템firewall">침입차단 시스템(Firewall)</h2> <p>가장 기본적인 네트워크 보안장비이며 침입차단 시스템은 네트워크를 경유해서 내부 시스템으로 진입하는 <strong>트래픽을 모니터링하고 접근 통제를 적용</strong>하며 시스템에 접근이 <strong>허용 가능한 사용자 IP, 포트를 결정</strong>한다. 반대로 접근 못하는 블랙리스트 IP를 등록하고 차단할 수 있다.</p> <p>즉, 인증되지 않은 데이터가 네트워크로 유입되는 것을 방지하고, 어떤 종류의 데이터가 어떻게 외부로 송신되지는지를 제한하는 접근 제어를 하는 보안장비이다.</p> <p><span style="color:orangered"><strong>인바운드</strong></span>라는 것은 <strong>외부 네트워크에서 내부 네트워크로 들어오는 것</strong>을 의미하고 <span style="color:orangered"><strong>아웃바운드</strong></span>라는 것은 <strong>내부에서 외부로 나가는 것을 의미</strong>한다. 따라서, 인바운드 규칙이라는 것은 외부에서 내부로 들어오는 패킷 중에서 어떤 IP, 프로토콜, 포트 번호 및 프로그램을 차단할 것인지 허용할 것인지를 설정하는 것이다.</p> <p class="notice--info"><i class="fa fa-info-circle" aria-hidden="true"></i> <strong>리버스 텔넷(Reverse Telnet)</strong><br /> 모의해킹 시 외부 망에서 내부 망으로 접근하는 인바운드는 대부분 차단되어 연결할 수 없다. 하지만, 내부 망에서 외부 망으로 접근하는 아웃바운드의 경우는 거의 차단되어 있지 않다. 그래서 내부 망에서 외부 망으로 Telnet을 통하여 연결하는 것이 리버스 텔넷이다. 결론적으로, 내부 망에서 공격자의 PC로 연결을 요청하는 것이다.</p> <h2 id="침입차단-시스템-구현방식에-따른-유형">침입차단 시스템 구현방식에 따른 유형</h2> <h3 id="패킷-필터링packet-filtering">패킷 필터링(Packet Filtering)</h3> <p>OSI 7계층에서 <strong>네트워크 계층과 트랜스포트 계층</strong>에 있는 데이터를 가지고 인바운드와 아웃바인드 서비스를 제공하는 것이다. 네트워크 계층은 IP 주소가 있고, 트랜스포트 계층은 포트번호와 프로토콜 종류(TCP, UDP)가 있다. 따라서, 패킷 필터링은 <strong>특정 IP, 프로토콜, 포트 차단 및 허용을 할 수 있는 것</strong>이다.</p> <p>미리 정해진 규칙에 따라 패킷 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어</p> <ul> <li>다른 방화벽에 비해 <strong>속도가 빠름</strong></li> <li>사용자에게 투명성을 제공하며, 새로운 서비스에 대해 쉽게 <strong>연동 가능</strong></li> <li>TCP/IP 구조적인 문제로 인한 <strong>패킷의 헤더는 쉽게 조작이 가능</strong></li> <li>강력한 Logging 및 사용자 인증 기능을 제공하지 않는다</li> </ul> <h3 id="애플리케이션-게이트웨이application-gateway">애플리케이션 게이트웨이(Application Gateway)</h3> <p><strong>응용계층에서 기동</strong>하기 때문에 <strong>접근 통제, 로그 관리 등의 막강한 기능</strong>을 하고 있지만 성능이 느리다는 단점이 존재한다.</p> <p>각 프로토콜 별로 Proxy Daemon이 있어 <code class="language-plaintext highlighter-rouge">Proxy Gateway</code>라고도 하며, 사용자 및 응용 서비스에서 접근 제어를 제공하여 응용 프로그램 사용을 기록하여 감시 추적에 사용한다.</p> <ul> <li>Proxy 통해서만 연결이 허용되므로 내부 IP주소를 숨길 수 있다</li> <li>Packet 필터링에 비해 보안성 우수</li> <li>가장 강력한 Logging과 Audit 기능 제공</li> <li><strong>성능이 떨어진다</strong></li> <li>새로운 서비스에 대해 <strong>유연성이 결여</strong></li> </ul> <h3 id="회선-게이트웨이circuit-gateway">회선 게이트웨이(Circuit Gateway)</h3> <p><strong>응용계층에서 세션계층 사이</strong>에서 기동되며 방화벽을 통해 내부 시스템으로 접속하기 위해서는 Client 측에 <code class="language-plaintext highlighter-rouge">Circuit Proxy</code>를 인식할 수 있는 수정된 <strong>Client 프로그램이 필요</strong>하며 설치된 Client만 Circuit 형성이 가능하다.</p> <ul> <li>내부의 IP 주소를 숨길 수 있고 투명한 서비스 제공</li> <li>Application에 비해 관리가 수월</li> <li>수정된 Client 프로그램 필요</li> <li>비표준 포트로 우회 접근 시 방어 불가</li> </ul> <h3 id="상태-기반-패킷-검사stateful-packet-inspection">상태 기반 패킷 검사(Stateful Packet Inspection)</h3> <p>상태 기반 패킷 검사는 <strong>OSI 전 계층에서 패킷의 컨텐츠를 해석</strong>해서 침입차단을 제공하는 가장 강력한 기능을 가지고 있다.</p> <ul> <li>패킷 필터링 방식에 비해 <strong>세션 추적 기능</strong> 추가</li> <li>패킷의 <strong>헤더 내용을 해석하여 순서에 위배되는 패킷 차단</strong></li> <li>패킷 필터링 기술을 사용하여 Client/Server 모델을 유지하면서 모든 계층의 <strong>전후 상황에 대한 문맥 데이터를 제공</strong>하여 기존 방화벽의 한계 극복</li> <li><strong>방화벽 표준</strong></li> </ul> <p><br /></p> <ul> <li>서비스에 대한 특성 및 통신 상태를 관리할 수 있기 때문에 <strong>돌아나가는 패킷에 대해서는 동적으로 접근 규칙을 자동 생성</strong>한다</li> <li><strong>데이터 내부에 악의적인 정보</strong>를 포함할 수 있는 프로토콜에 대한 <strong>대응이 어렵다</strong></li> </ul> <h3 id="혼합형-타입hybrid-type">혼합형 타입(Hybrid Type)</h3> <p>서비스 종류에 따라 복합적으로 구성할 수 있는 방화벽</p> <ul> <li>서비스 종류에 따라서 사용자의 편의성, 보안성 등을 고려하여 방화벽 기능을 선택적으로 부여한다</li> <li>구축 및 관리가 어렵다</li> </ul> <p class="notice--success"><i class="fa fa-info-circle" aria-hidden="true"></i> <strong>심층 패킷분석</strong><br /> 심층 패킷분석(DPI, Deep Packet Inspection)은 <strong>패킷이 가지고 있는 컨텐츠까지 모두 검사</strong>할 수 있는 기능으로 다양한 컨텐츠를 식별하고 분석할 수 있는 가장 강력한 침입차단 시스템이다. OSI 전 계층에 대해서 접근 통제를 할 수 있으며 <strong>상태기반 패킷검사에서 더 발전</strong>된 형태이다.</p> <h2 id="침입차단-시스템-구축-유형">침입차단 시스템 구축 유형</h2> <h3 id="스크리닝-라우터screening-router">스크리닝 라우터(Screening Router)</h3> <p><strong>IP, TCP, UDP 헤더 부분에 포함된 내용만 분석</strong>하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷을 perm/drop하는 라우터.</p> <ul> <li>필터링 <strong>속도가 빠르고 비용 적음</strong></li> <li>클라이언트와 서버 환경 변화 없이 설치가 가능하다</li> <li>전체 네트워크에 동일한 보호 유지</li> <li>OSI 3,4계층만 방어하여 필터링 규칙을 검증하기 어렵다</li> <li><strong>패킷 내의 데이터는 차단 불가 및 로그 관리가 어렵다</strong></li> </ul> <h3 id="베스천-호스트bastion-host">베스천 호스트(Bastion Host)</h3> <p>내부 네트워크 전면에서 <strong>내부 네트워크 전체를 보호</strong>하며 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치. <code class="language-plaintext highlighter-rouge">Lock Down</code> 된 상태에 있으며 인터넷에서 접근이 가능한 서버이다.</p> <ul> <li>스크리닝 라우터보다 <strong>안전</strong></li> <li>Logging 정보 생성 관리가 편리</li> <li><strong>접근 제어와 인증 및 로그 기능</strong> 제공</li> <li>Bastion Host 손상 시 내부망 손상</li> <li>로그인 정보 유출 시 내부망 침해 가능</li> </ul> <h3 id="듀얼-홈드-호스트dual-homed-host">듀얼 홈드 호스트(Dual-Homed Host)</h3> <p><strong>2개의 네트워크 인터페이스를 가진 Bastion Host</strong>로서 하나의 <code class="language-plaintext highlighter-rouge">NIC</code>(Network Interface Card)는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결</p> <p>방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 때문에 <strong>Proxy 기능을 부여</strong></p> <ul> <li>정보 지향적인 공격 방어</li> <li>Logging 정보 생성 관리가 편리</li> <li>설치 및 유지보수가 쉬움</li> <li>방화벽에서 보안 위반 초래 가능</li> <li>서비스가 증가할수록 Proxy 구성 복잡</li> </ul> <h3 id="스크린드-호스트screened-host">스크린드 호스트(Screened Host)</h3> <p><strong>Packet Filtering Router</strong>와 <strong>Bastion Host</strong>로 구성되어 있다.</p> <p><strong>Packet Filtering Router</strong>는 외부 및 내부 네트워크에서 발생하는 <strong>패킷을 통과시킬 것인지를 검사</strong>하고 외부에서 내부로 유입되는 패킷에 대해서는 Bastion Host로 검사된 패킷을 전달.</p> <p><strong>Bastion Host</strong>는 <strong>내부 및 외부 네트워크 시스템에 대한 인증</strong>을 담당.</p> <ul> <li>네트워크 계층과 응용 계층의 2단계 방어이므로 매우 안전</li> <li>가장 보편적으로 사용 및 융통성 우수</li> <li>Dual-Homed의 장점 유지</li> <li>스크리닝 라우터의 정보가 변경되면 방어가 불가능</li> <li>구축 비용이 높다</li> </ul> <h3 id="스크린드-서브넷screened-subnet">스크린드 서브넷(Screened Subnet)</h3> <p><strong>스크린드 호스트 보안상의 문제점을 보완</strong>한 형태로 외부 네트워크와 내부 네트워크 사이에 하나 이상의 <strong>경계 네트워크</strong>를 두어 내부 네트워크를 외부 내트워크로 <strong>분리</strong>하기 위한 구조이다.</p> <p>일반적으로 <strong>두 개의 스크리닝 라우터</strong>와 <strong>한 개의 베스천 호스트</strong>를 이용하여 구축</p> <ul> <li>스크린드 호스트 구조의 장점을 유지</li> <li>가장 안전한 구조</li> <li>설치 및 관리가 어려움</li> <li>구축 비용이 높고, 서비스 속도가 느리다</li> </ul>

침입차단 시스템(Firewall)

가장 기본적인 네트워크 보안장비이며 침입차단 시스템은 네트워크를 경유해서 내부 시스템으로 진입하는 트래픽을 모니터링하고 접근 통제를 적용하며 시스템에 접근이 허용 가능한 사용자 IP, 포트를 결정한다. 반대로 접근 못하는 블랙리스트 IP를 등록하고 차단할 수 있다.

즉, 인증되지 않은 데이터가 네트워크로 유입되는 것을 방지하고, 어떤 종류의 데이터가 어떻게 외부로 송신되지는지를 제한하는 접근 제어를 하는 보안장비이다.

인바운드라는 것은 외부 네트워크에서 내부 네트워크로 들어오는 것을 의미하고 아웃바운드라는 것은 내부에서 외부로 나가는 것을 의미한다. 따라서, 인바운드 규칙이라는 것은 외부에서 내부로 들어오는 패킷 중에서 어떤 IP, 프로토콜, 포트 번호 및 프로그램을 차단할 것인지 허용할 것인지를 설정하는 것이다.

리버스 텔넷(Reverse Telnet)
모의해킹 시 외부 망에서 내부 망으로 접근하는 인바운드는 대부분 차단되어 연결할 수 없다. 하지만, 내부 망에서 외부 망으로 접근하는 아웃바운드의 경우는 거의 차단되어 있지 않다. 그래서 내부 망에서 외부 망으로 Telnet을 통하여 연결하는 것이 리버스 텔넷이다. 결론적으로, 내부 망에서 공격자의 PC로 연결을 요청하는 것이다.

침입차단 시스템 구현방식에 따른 유형

패킷 필터링(Packet Filtering)

OSI 7계층에서 네트워크 계층과 트랜스포트 계층에 있는 데이터를 가지고 인바운드와 아웃바인드 서비스를 제공하는 것이다. 네트워크 계층은 IP 주소가 있고, 트랜스포트 계층은 포트번호와 프로토콜 종류(TCP, UDP)가 있다. 따라서, 패킷 필터링은 특정 IP, 프로토콜, 포트 차단 및 허용을 할 수 있는 것이다.

미리 정해진 규칙에 따라 패킷 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어

• 다른 방화벽에 비해 속도가 빠름
• 사용자에게 투명성을 제공하며, 새로운 서비스에 대해 쉽게 연동 가능
• TCP/IP 구조적인 문제로 인한 패킷의 헤더는 쉽게 조작이 가능
• 강력한 Logging 및 사용자 인증 기능을 제공하지 않는다

애플리케이션 게이트웨이(Application Gateway)

응용계층에서 기동하기 때문에 접근 통제, 로그 관리 등의 막강한 기능을 하고 있지만 성능이 느리다는 단점이 존재한다.

각 프로토콜 별로 Proxy Daemon이 있어 Proxy Gateway라고도 하며, 사용자 및 응용 서비스에서 접근 제어를 제공하여 응용 프로그램 사용을 기록하여 감시 추적에 사용한다.

• Proxy 통해서만 연결이 허용되므로 내부 IP주소를 숨길 수 있다
• Packet 필터링에 비해 보안성 우수
• 가장 강력한 Logging과 Audit 기능 제공
• 성능이 떨어진다
• 새로운 서비스에 대해 유연성이 결여

회선 게이트웨이(Circuit Gateway)

응용계층에서 세션계층 사이에서 기동되며 방화벽을 통해 내부 시스템으로 접속하기 위해서는 Client 측에 Circuit Proxy를 인식할 수 있는 수정된 Client 프로그램이 필요하며 설치된 Client만 Circuit 형성이 가능하다.

• 내부의 IP 주소를 숨길 수 있고 투명한 서비스 제공
• Application에 비해 관리가 수월
• 수정된 Client 프로그램 필요
• 비표준 포트로 우회 접근 시 방어 불가

상태 기반 패킷 검사(Stateful Packet Inspection)

상태 기반 패킷 검사는 OSI 전 계층에서 패킷의 컨텐츠를 해석해서 침입차단을 제공하는 가장 강력한 기능을 가지고 있다.

• 패킷 필터링 방식에 비해 세션 추적 기능 추가
• 패킷의 헤더 내용을 해석하여 순서에 위배되는 패킷 차단
• 패킷 필터링 기술을 사용하여 Client/Server 모델을 유지하면서 모든 계층의 전후 상황에 대한 문맥 데이터를 제공하여 기존 방화벽의 한계 극복
• 방화벽 표준

• 서비스에 대한 특성 및 통신 상태를 관리할 수 있기 때문에 돌아나가는 패킷에 대해서는 동적으로 접근 규칙을 자동 생성한다
• 데이터 내부에 악의적인 정보를 포함할 수 있는 프로토콜에 대한 대응이 어렵다

혼합형 타입(Hybrid Type)

서비스 종류에 따라 복합적으로 구성할 수 있는 방화벽

• 서비스 종류에 따라서 사용자의 편의성, 보안성 등을 고려하여 방화벽 기능을 선택적으로 부여한다
• 구축 및 관리가 어렵다

심층 패킷분석
심층 패킷분석(DPI, Deep Packet Inspection)은 패킷이 가지고 있는 컨텐츠까지 모두 검사할 수 있는 기능으로 다양한 컨텐츠를 식별하고 분석할 수 있는 가장 강력한 침입차단 시스템이다. OSI 전 계층에 대해서 접근 통제를 할 수 있으며 상태기반 패킷검사에서 더 발전된 형태이다.

침입차단 시스템 구축 유형

스크리닝 라우터(Screening Router)

IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷을 perm/drop하는 라우터.

• 필터링 속도가 빠르고 비용 적음
• 클라이언트와 서버 환경 변화 없이 설치가 가능하다
• 전체 네트워크에 동일한 보호 유지
• OSI 3,4계층만 방어하여 필터링 규칙을 검증하기 어렵다
• 패킷 내의 데이터는 차단 불가 및 로그 관리가 어렵다

베스천 호스트(Bastion Host)

내부 네트워크 전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치. Lock Down 된 상태에 있으며 인터넷에서 접근이 가능한 서버이다.

• 스크리닝 라우터보다 안전
• Logging 정보 생성 관리가 편리
• 접근 제어와 인증 및 로그 기능 제공
• Bastion Host 손상 시 내부망 손상
• 로그인 정보 유출 시 내부망 침해 가능

듀얼 홈드 호스트(Dual-Homed Host)

2개의 네트워크 인터페이스를 가진 Bastion Host로서 하나의 NIC(Network Interface Card)는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결

방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 때문에 Proxy 기능을 부여

• 정보 지향적인 공격 방어
• Logging 정보 생성 관리가 편리
• 설치 및 유지보수가 쉬움
• 방화벽에서 보안 위반 초래 가능
• 서비스가 증가할수록 Proxy 구성 복잡

스크린드 호스트(Screened Host)

Packet Filtering Router와 Bastion Host로 구성되어 있다.

Packet Filtering Router는 외부 및 내부 네트워크에서 발생하는 패킷을 통과시킬 것인지를 검사하고 외부에서 내부로 유입되는 패킷에 대해서는 Bastion Host로 검사된 패킷을 전달.

Bastion Host는 내부 및 외부 네트워크 시스템에 대한 인증을 담당.

• 네트워크 계층과 응용 계층의 2단계 방어이므로 매우 안전
• 가장 보편적으로 사용 및 융통성 우수
• Dual-Homed의 장점 유지
• 스크리닝 라우터의 정보가 변경되면 방어가 불가능
• 구축 비용이 높다

스크린드 서브넷(Screened Subnet)

스크린드 호스트 보안상의 문제점을 보완한 형태로 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 내트워크로 분리하기 위한 구조이다.

일반적으로 두 개의 스크리닝 라우터와 한 개의 베스천 호스트를 이용하여 구축

• 스크린드 호스트 구조의 장점을 유지
• 가장 안전한 구조
• 설치 및 관리가 어려움
• 구축 비용이 높고, 서비스 속도가 느리다