[리눅스 서버보안] 방화벽

☞ 보안 위협에서 해킹 기법들은 점점 수동으로 자동화로 변하고 있고, 보안 솔루션은 여러가지 기능을 통합해서 하나의 제품으로 되어가고 있다.

 

1. 방화벽 개념

외부로부터의 공격이나 침입을 막고, 내부 네트워크의 보안을 지키기 위한 수단으로 사용된다. 주로 내부와 외부 네트워크으 접속접에 설치되어 외부에서 내부로 들어오는 데이터의 경로를 하나로 만들어 내부로 들어와도 되는지 않되는지  필터링을 통해 내부를 보호한다.

 

2. 방화벽 종류

2-1. 설치 장소에 따른 분류

☞ 외부 방화벽

내부 네트워크(사내 LAN이나 조직 내 네트워크)와 인터넷 사이에 설치해서 외부, 즉 인터넷(또는 불특정 다수 다수가 사용하는 WAN) 측에서의 공격을 막기 위한 것을 말한다.

 

☞ 내부 방화벽

사내 네트워크를 구성하는 하나 하나의 LAN, 즉 각 부서의 LAN을 서브 네트워크라 부르며, 서브 네트워크를 연결하는 중심 네트워크를 백본 네트워크라고 부른다. 이와 같은 사내 네트워크 구성에 있어서는 각 부서의 LAN을 개별적으로 보호하기 위한 방화벽을 배치하는 경우가 있다. 이때 방화벽의 설치 위치는 하나 하나의 서브 네트워크(각 부서의 LAN)와 백본 네트워크의 접속점이 된다.

 

1-2. 보안 레벨에 따른 분류

☞ 패킷 필터링

L3/L4에서 동작하며 , 패킷의 헤더에 기재된 데이터(ip 혹은 port)에 기초하여 그 패킷을 통과시킬 것인지 혹은 통과 시키지 않을 것인지를 결정하는 방식이다.

 

☞ 애플리케이션 게이트웨이 

라우터가 아닌 컴퓨터에서 사용된다. 송신측 컴퓨터는 방화벽 컴퓨터에 접속 가능 여부를 확인해야 하는데, 방화벽 컴퓨터는 등록된 기준에 따라 허가된 컴퓨터와만 통신을 개시하고, 허가되지 않은 컴퓨터와의 통신은 거부한다. 프록시 서버(Proxy Server)라는 서버 기능도 함께 제공한다.

 

☞ 하이브리드 

패킷 필터링과 애플리케이션 게이트웨이가 합쳐진 방식이다.

 

1-3. 프로토콜 계층에 따른 분류

☞ 스크리닝 라우터(Screening Router)

3계층과 4계층에서 동작하기 때문에 IP(Internet Protocol), TCP (Transmission Control Protocol) 혹은 UDP(User Datagram Protocol)의 헤더에 포함된 내용을 분석해서 동작한다. 진입 허가 혹은 거절 결정은 패킷필터 규칙에 따른 라우팅 테이블에 의해 결정된다. 패킷 필터 라우터라고도 불린다.

 

 

☞ Bastion 호스트

서버에 설치되는 방화벽 소프트웨어로 인터넷 사용자가 내부 네트워크로의 액세스를 원할 경우 우선 Bastion 호스트를 통과하여야만 내부 네트워크를 액세스하여 자원 및 정보를 사용할 수 있다. 즉, 통신망을 보호하는데 중요한 방화벽 시스템으로 사용되며, 네트워크 관리자가 정기적으로 주의 깊게 감시 및 점검하여야 한다. 내부 네트워크로의 접근에 대한 기록(log), 감사 추적을 위한 기록 및 모니터링 기능을 가지고 있어야 한다.

 

☞ 듀얼 홈드 게이트웨이(Dual-Homed Gateway)

NIC 카드가 두개를 가진 베스천 호스트를 말한다.

하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며, 다른 하나의 네트워크 인터페이스는 보호하고자 하는 내부 네트워크에 연결되며, 양 네트워크간의 라우팅은 존재하지 않는다. 따라서 양 네트워크간의 직접적인 접근은 허용되지 않는다.

 

☞ 스크린된(Screened) 호스트 게이트웨이(Screened Host Gateway)

Dual-Homed 게이트웨이와 스크리닝 라우터를 혼합하여 사용한 방화벽 시스템이다.

스크리닝 라우터에서 패킷 필터 규칙에 의해 1차로 방어하고, 스크리닝 라우터를 통과한 트래픽은 모두 proxy 서버를 구동하는 Bastion 호스트에서 입력되는 트래픽을 점검한다.

 

내부 네트워크 ---- Dual-Homed Gateway ---- Screening Router ----외부 네트워크

 

☞ 스크린된 서브네트 게이트웨이(Screened Subnet Gateway)

스크리닝 라우터는 인터넷과 스크린된 서브네트 그리고 내부 네트워크와 스크린된 서브네트 사이에 각각 놓이며, 입출력되는 패킷 트래픽을 패킷 필터 규칙을 이용하여 필터링하게 되며, 스크린된 서브네트에 설치된 Bastion 호스트는 proxy 서버(응용 게이트웨이)를 이용하여 명확히 진입이 허용되지 않은 모든 트래픽을 거절하는 기능을 수행한다. 이러한 구성에서 스크린된 서브네트에 대한 액세스는 Bastion 호스트를 통해서만 가능하기 때문에 침입자가 스크린된 서브네트를 통과하는 것은 어렵다.

 

내부 네트워크 --- Screening Router --- Dual-Homed Gateway --- Screening Router --- 외부 네트워크

 

☞ 프록시 서버/응용 게이트웨이

응용 게이트웨이 혹은 proxy 서버는 방화벽 시스템(일반적으로 Bastion 호스트)에서 구동되는 응용 소프트웨어를 말하는데 store-and-forward 트래픽뿐만 아니라 대화형의 트래픽을 처리할 수 있으며, 사용자 응용 계층 (OSI 참조 모델의 계층 7)에서 트래픽을 분석할 수 있다. 따라서 이것은 사용자 단계와 응용 프로토콜 단계에서 액세스 제어를 제공 할 수 있고, 응용 프로그램의 사용에 대한 기록(log)을 유지하고 감시 추적을 위해서도 사용될 수 있다.

 

ex)  스팸 메일 필터링 시스템, WAF 등

스팸 메일 필터링 시스템 -> DMS에 메일 서버가 스팸 메일 필터링 시스템으로 지정되어 있어서 보내지는 메일이 모두 스팸 메일 필터링 시스템으로 온다. 그래서 모든 메일을 점검하여 스펨메일이 아닌 것만 진짜 메일 서버에 보낸다. 스팸 메일 필터링 시스템이 종단 시스템이 된다.