28. 침입차단시스템

침입차단시스템(방화벽)

    공중 네트워크와 사설 네트워크 사이에 실치 된 일종의 벽

    인터넷 기반 공격으로부터 내부 네트워크를 보호하고 보안과 감시를 할 수 있는 길목을 한 군데로 모으는 데 있음

    접근제어 목록을 통해 네트워크에 전송되는 트래픽에 대한 보안 정책을 설정

    방화벽은 특별한 형태의 참조모니터이다.

    방화벽 제어 기능

        서비스 제어, 방향 제어, 사용자 제어, 행위 제어

    방화벽의 기능 및 역할

        접근통제, 사용자 인증, 감사 및 로그 기능, 프라이버시 보호, 서비스 통제, 데이터 암호화

    방화벽의 한계점

        악성 소프트웨어 침투 방어에 한계가 있다

        악의적인 내부 사용자의 공격을 막을 수 없다

        자신을 통과하지 않은 통신에 대한 제어 역시 불가능함

        전혀 새로운 형태의 공격을 막을 수 없다

    방화벽의 향후 발전 방향

        다양한 보안기능이 하나의 솔루션에 통합되어 능동적이고 효과적으로 방어

    방화벽의 설계 원칙

        명시적으로 금지되지 않은 것은 허용(디폴트는 허용, Permit All)

        명시적으로 허용되지 않은 것은 금지(디폴트는 금지, Deny All)

 

침입차단시스템의 유형 분류

    네트워크 계층과 전송 계층과 응용 게이트웨이 방식으로 구분됨

    패킷 필터링

        스크린 라우터, 패킷 필터링 라우터라고 불림

        IP를 이용한 패킷 필터링

            패킷 내의 IP 주소에 의해 패킷의 흐름을 제한하는 방식

        서비스를 이용한 패킷 필터링

            패킷 내의 서비스 포트 번호를 이용하여 필터링

        장점

            단순성, 고속 처리, 투명성

        단점

            로그 기능과 감사 기능이 부족

            사용자 인증 구조를 지원하지 않는다.

            구성을 잘못하면 보안에 허점이 생긴다.

            패킷 단편화 공격을 탐지할 수 없다.

        NAT

            패킷 필터링과 상태 유지 방화벽은 NAT라고 불리는 제2의 보안체제를 제공

            주소변환, 하나의 IP 주소 사용, IP 주소의 풀 사용, IP 주소와 포트 주소 사용
    스테이트풀 패킷 검사 침입차단시스템

        TCP연결에 관한 정보를 기록

        순서번호를 이용한 세션 하이재킹 같은 공격을 막음

        연결이 시작되면 방화벽은 패킷의 모든 계층을 조사

        상태 테이블을 관리, 비 연결지향적 프로토콜을 추적하는 데이터를 제공

        투명성을 제공

        연결 요청의 첫 패킷 헤더가 공격당할 경우에는 잘못된 상태 테이블을 구성할 수 있는 단점이 있다.

    프록시 방화벽

        프록시 서비스는 실행되는 전문화된 애플리케이션이나 혹은 서버 프로그램으로서 침입차단시스템에서 사용되는 배스천호스트에 설치되어 운영

        프록시 서버와 프록시 클라이언트를 필요로 함

        보호되는 시스템과 보호되지 않는 시스템 사이의 연결을 차단시킨다.

        트래픽 성능이 저하된다

        응용프로그램 기반 프록시 방화벽은 확장성과 성능에 대한 논점을 일으킨다.

        배스천호스트

            침입차단 S/W가 설치되어 내, 외부 네트워크 사이에서 게이트웨이 역할을 수행하며 철저한 보안 방어기능이 구축되어 있는 컴퓨터 시스템

            배스턴 호스트 설계와 구축의 기본 원리

                단순한 구조, 비상 대비책 강구, 로그 백업 기능

        응용프로그램 수준 프록시 방화벽

            패킷을 응용프로그램 계층까지 검사

                응용계층 게이트웨이는 응용 서비스마다 각각 다른 응용 게이트웨이를 구현하여 보다 안전하게 내부 네트워크의 시스템을 보호할 수 있다

            강력한 인증 서비스를 제공하며 융통성이 좋다는 장점이 있다.

            높은 대역폭 혹은 실시간 응용프로그램에 일반적으로 적합하지 않다.

            응용 서비스 별로 별도의 프록시를 필요로 한다.

        회선 레벨 게이트웨이

            SOCKS 프로토콜을 사용하는 프록시 서버

            호스트를 보호하는 목적으로 사용

            응용 게이트웨이 방화벽에 비해 처리 속도가 빠르다는 장점이 있다.

 

침입차단시스템의 종류

    스크리닝 라우터 구조

        라우터를 이용해 각 인터페이스에 들어오고 나가는 패킷을 필터링하여 내부 서버로의 접근을 가려내는 역할을 한다.

    이중 네트워크 호스트 구조

        듀얼-홈드는 두 개의 인터페이스를 가지는 장비를 말하며, 하나의 인터페이스는 외부 네트워크와 연결되고 다른 인터페이스는 내부 네트워크로 연결되며, 라우팅 기능이 없는 방화벽을 설치하는 형태

    스크린드 호스트 게이드웨이 구조

        듀얼-홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 내부 네트워크에 놓여 있는 배스천 호스트우ㅘ 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성

    스크린드 서브넷 구조

        스크리닝 라우터들 사이에 듀얼-홈드 게이트웨이가 위치하는 구조로 인터넷과 내부 네트워크 사이에 DMZ라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식

 

iptables

    리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 툴

    상태 추적 기능을 제공

    NAT기능을 제공

    패킷레벨에서의 로깅기능을 제공

    확장모듈을 통한 다양한 기능을 제공