방화벽 방화벽의 기능과 목적 방화벽의 구조 패킷 필터링 NAT 프록시 한빛미디어(주).

Slides:



Advertisements
Similar presentations
을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
Advertisements

박 제욱 이 재민. Web Caching 이란 ? 1 Web Caching 시스템 2 Web Caching 구조 3 Web Caching 동작 4 Web Caching 의 일관성 문제 5 프록시 서버 사용방법 6 참고도서 7.
아이튠즈 계정 생성. 1. 인터넷을 통해 설치한 아이튠즈를 실행 한 후 그림의 순서대로 선택을 합니다. 1 2.
7 장. 원격지에서 리눅스서버를 관리하자. 텔넷서버를 설치 / 운영한다. SSH 서버를 운영한다. VNC 서버를 설치 / 운영한다.
HTTPS Packet Capture Tutorial
컴퓨터와 인터넷.
Windows XP SP2 문제해결 Windows XP SP2를 설치한 회원께서는 Pop-up차단 기능과 ActiveX 설치의 어려움 발생 아래의 예는 안철수 바이러스 설치 시 문제점을 해결 하는 방법의 설명. 1. ActiveX 컨트롤 설치 ① 주소 표시줄 아래의 '이.

정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
Part TCP / IP(계속) 3. IP 주소 4. IP 라우팅 5. 응용 프로토콜.
Chapter 8. 인터넷 연결공유와 개인네트워크 구축
Oozie Web API 기능 테스트 이승엽.
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
MCMS3000 네트워크 설정방법 [반도 HFCNMS 시스템 Set-up] 반도전자통신
1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행
코크파트너 설치 가이드 Window 7.
Android Wi-Fi Manual (Guest용)
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
SSL - VPN 사용자 가이드 - IT 지원실 네트워크 운영팀 -.
연결리스트(linked list).
Chapter 2. IP Address IP Address의 구성에 대한 자세한 설명과 함께 IP Address를 효율적으로 관리하기 위한 방법인 서브넷팅, 수퍼넷팅, VLSM 등에 대해서 단계별로 접근할 수 있다. 몇가지 예제를 통해서 서브넷팅에 대한 개념을 정리하고.
제 7장 정적 라우팅 프로토콜.
DPR-1630&1615 IP공유기 셋팅 방법 고객지원팀 작성자 : 정청석.
18장. 방화벽 컴퓨터를 만들자.
Windows Server 장. 사고를 대비한 데이터 백업.
5장 Mysql 데이터베이스 한빛미디어(주).
Chapter 17. 방화벽.
한국골프대학 종합정보시스템 Windows Vista 사용자를 위한 Component 설치안내서
한국골프대학 종합정보시스템 Windows 7 사용자를 위한 Component 설치안내서
8장. 원격지 시스템 관리하기.
소리가 작으면 이어폰 사용 권장!.
11장. 포인터 01_ 포인터의 기본 02_ 포인터와 Const.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
01. DHCP의 개념 조직의 네트워크에 연결되어 있는 워크스테이션의 TCP/IP 설정을 자동화하기 위한 표준 프로토콜
뇌를 자극하는 Windows Server 장. 장애 조치 클러스터.
5장 Mysql 데이터베이스 한빛미디어(주).
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Day-04(mon_9.6) Host_PC Router NAT NIC Switch ISP NAT Host Only
홀인원2.0 설치 메뉴얼.
침입차단시스템 (방화벽) 중부대학교 정보보호학과 이병천 교수.
HTTP 프로토콜의 요청과 응답 동작을 이해한다. 서블릿 및 JSP 를 알아보고 역할을 이해한다.
LIT-GenAppSetup ※ Texting+ 클라이언트 프로그램은 제품 인증을 받은 제품입니다.
제 15 장 BOOTP와 DHCP BOOTP 15.2 동적 호스트 설정 프로토콜.
ACL(Access Control List)
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
Nessus 4 설치 정보보호응용 조용준.
PC에 설치된 엔드포인트 클라이언트 프로그램을 클릭하여 프로그램 상자를 엽니다
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
Network 네트워크 이론 및 실습 TCP / IP 4장.
-네트워크 관리 개요 및 SNMP 프로토콜 동작과정
14 방화벽.
법령안편집기 연결버튼 표시가 안 될 경우 정부입법지원센터( 입안 및 심사안을 진행시
PMIS 서버 설정 환경설정 작성자 : 배경환.
01. 라우팅 및 원격 액세스의 개요 라우팅은 패킷을 송신지부터 수신지까지 어떠한 경로를 통해 보낼 것인지를 결정하는 방법
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
Teaming pms.
01. DHCP의 개념 조직의 네트워크에 연결되어 있는 워크스테이션의 TCP/IP 설정을 자동화하기 위한 표준 프로토콜
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
Addressing the Network – IPv4
Chapter 27 Mobile IP.
라우터의 이해 (보충자료) TCP/IP구성 Ping명령어를 이용한 연결검사 비트와 바이트 10진수/2진수/16진수
1. 신규 연세메일(Gmail)에 로그인 합니다. ( yonsei. ac. kr )
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
Part 05 TCP/IP 1. 네트워크 2. 포트번호.
프로그래밍 언어 학습을 위한 가상실습환경 창원대학교 이수현.
Installation Guide.
ARP.
소리가 작으면 이어폰 사용 권장!.
Presentation transcript:

방화벽 방화벽의 기능과 목적 방화벽의 구조 패킷 필터링 NAT 프록시 한빛미디어(주)

방화벽의 기능과 목적 네트워크에서의 방화벽은 보안을 높이는 데 가장 일차적인 것으로서 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정해 놓은 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어를 말한다. [그림 17-1] 방화벽의 개념

방화벽의 주된 기능 접근제어(Access Control) 로깅(Logging)과 감사추적(Auditing) 접근제어는 방화벽의 가장 기본적이고 중요한 기능이다. 관리자가 방화벽에게 통과시킬 접근과 그렇지 않은 접근을 명시해주고 방화벽은 지시받은 것을 행한다. 이러한 접근제어 방식은 그 구현 방법에 따라 패킷 필터링(Packet Filtering) 방식과 프록시(Proxy) 방식으로 나누어진다. 로깅(Logging)과 감사추적(Auditing) 허가, 또는 거부된 접근에 대한 기록을 유지한다. 인증(Authentication) 방화벽은 메시지 인증, 사용자 인증, 그리고 클라이언트 인증을 할 수 있다. 데이터의 암호화 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 보내는 것으로, 보통 VPN의 기능을 이용한다.

베스천 호스트(Bastion Host) 네트워크에서 베스천 호스트는 철저한 방어 정책이 구현되어 있는 외부로부터의 접속에 대한 일차적인 연결을 받아들이는 시스템을 지칭한다. 보통 강력한 로깅과 모니터링 정책이 구현되어 있으며 접근을 허용하거나 차단하기도 하는 등의 일반적인 방화벽의 기능을 한다. 하지만 베스천 호스트는 꼭 하나가 아니며 방화벽과 동일하지도 않다. 베스천 호스트의 위치 중에 한 곳에 방화벽이 놓이는 것이다. [그림 17-2] 베스천 호스트의 개념

스크리닝(Screening) 라우터 스크리닝 라우터는 방화벽이라고 하기에는 부족한 점이 많다. 3계층인 네트워크 계층과 4계층 트랜스포트(Transport) 계층에서 실행되며, IP 주소와 포트에 대한 접근 제어가 가능하다. 스크리닝 라우터는 외부 네트워크와 내부 네트워크의 경계선에 놓이며 보통 일반 라우터에 패킷 필터링 규칙을 적용하는 것으로 방화벽의 역할을 수행한다. 그러나 세부적인 규칙 적용이 어렵고 많은 규칙을 적용할 경우 라우터에 부하가 걸려 대역폭을 효과적으로 이용할 수 없다. 또한 실패한 접속에 대한 로깅이 지원되지 않으며, 패킷 필터링 규칙에 대한 검증이 어렵다. [그림 17-3] 스크리닝 라우터

단일 홈 게이트웨이(Single Homed Gateway)

이중 홈 게이트웨이(Dual Homed Gateway) Dual Homed Gateway는 네트워크 카드를 2개 이상 가지는 방화벽이다. Single Homed Gateway가 하나의 네트워크 카드를 가지고 경계선에 다른 시스템과 평등하게 놓이는 반면, Dual Homed Gateway는 외부 네트워크에 대한 네트워크 카드와 내부 네트워크에 대한 네트워크 카드가 구별되어 운영된다. [그림 17-5] 이중 홈 게이트웨이(dual homed gateway)

이중 홈 게이트웨이(Dual Homed Gateway) Dual Homed Gateway는 Single Homed Gateway보다 네트워크 카드가 하나 더 지원되므로 좀더 효율적인 트래픽의 관리가 될 수 있으며 방화벽을 우회하는 것은 불가능하다. Dual Homed Gateway는 네트워크 카드를 2개 이상 가지는 방화벽이다. Single Homed Gateway가 하나의 네트워크 카드를 가지고 경계선에 다른 시스템과 평등하게 놓이는 반면, Dual Homed Gateway는 외부 네트워크에 대한 네트워크 카드와 내부 네트워크에 대한 네트워크 카드가 구별되어 운영된다.

스크린된 호스트 게이트웨이(Screened Host Gateway) – 단일 홈 Screened는 ‘숨겨진’이라는 의미다. Screened Host Gateway는 라우터와 방화벽이 구별되어 운영되며, 스크리닝 라우터와 Single Homed Gateway의 조합이라고 생각할 수 있다. [그림 17-6] 스크린된 호스트 게이트웨이 - 단일 홈게이트웨이

스크린된 호스트 게이트웨이(Screened Host Gateway) – 단일 홈 Screened Host Gateway는 스크리닝 라우터에 패킷 필터링을 함으로써, 1차적인 방어를 하며, 베스천 호스트로서의 Single Homed Gateway에서 프록시와 같은 서비스를 통해 2 차적인 방어를 한다. 또한 베스천 호스트는 스크리닝 라우터를 거치지 않은 모든 접속을 거부하며 스크리닝 라우터 역시 베스천 호스트를 거치지 않은 모든 접속을 거부하도록 설정해야 한다. 가장 많이 이용되는 구조이며 융통성이 좋다. 그러나 스크리닝 라우터가 해커에 의해 해킹되면 베스천 호스트를 거치지 않고 내부 네트워크에 대한 직접적인 접근이 가능하다는 약점이 있다. 또한 구축 비용이 많이 든다.

스크린된 호스트 게이트웨이 – 이중 홈 Screened Host Gateway는 2단계로 방어를 실행하므로 무척 안전하며, 스크리닝 라우터에서 3계층과 4계층에 대한 접근 제어, 베스천 호스트에서 7계층에 대한 접근 제어까지 실행하므로 공격하기 어렵다. [그림 17-7] 스크린된 호스트 게이트웨이 - 이중 홈 게이트웨이

스크린된 서브넷 게이트웨이–단일 홈 Screened Subnet Gateway가 있다. Screened Subnet Gateway는 외부 네트워크와 외부 네트워크 사이에 완충 지대를 두는 것이다. 완충 지대로서의 네트워크를 Subnet이라고 부르며, 보통 여기에 DMZ(DeMiliterized Zone)가 위치한다. 방화벽 역시 Subnet에 위치하며 주로 프록시가 설치된다. Screened Host Gateway는 다른 방화벽이 가지는 모든 장점을 가지며 융통성이 매우 뛰어나다. 또한 해커들이 침입하려면 통과해야 하는 것이 많아 매우 안전한 편이다. 그러나 다른 방화벽 시스템보다 설치하기 어렵고, 관리 또한 어려우며 서비스 속도가 느리다. 또한 가격도 만만치 않다.

[그림 17-8] 스크린된 서브넷 게이트웨이 - 단일 홈 게이트웨이

스크린된 서브넷 게이트웨이 –이중 홈 Screened Subnet Gateway가 있다. Screened Subnet Gateway는 외부 네트워크와 외부 네트워크 사이에 완충 지대를 두는 것이다. Dual Homed Gateway를 적용할 경우 다음과 같은 구조가 된다. Single Homed Gateway를 쓴 경우보다는 빠르며 좀더 강력한 보안 정책을 실행할 수 있다. [그림 17-9] 스크린된 서브넷 게이트웨이 - 이중 홈 게이트웨이

Astaro 방화벽의 설치 Astaro를 설치하고, 간단한 설정을 해두는 시간으로 하겠다. 계속 이어지는 실습을 하는 데 중요한 설정을 하므로 잘 익혀두도록 하자. 방화벽은 여러 가지 제품이 있으나 기본적으로는 모두 비슷하다. 하나의 방화벽에 익숙해지면 다른 방화벽 역시 어렵지 않게 설정할 수 있다. Astaro는 리눅스 기반의 방화벽으로, 다른 운영체제와 같이 설치할 수 없다. 설치 시 하드의 모든 내용이 포맷되므로 새로운 하드를 구해야 한다. Astaro 사이트에서 이미지를 받은 후 설치 시디를 만들어서 시디를 넣고, 새로운 하드를 넣은 뒤 파워를 켜면 별다른 설정 없이 설치된다 설치가 완료되면 시디를 빼낸 뒤 리부팅한다. 리부팅하면 로그인하게 되어 있는데, 아이디에 root를 입력하고 패스워드는 새로 설정한다 리눅스에서 사용하는 대부분의 명령을 쓸 수 있다. Astaro 서버에 대한 설정은 원격에서 하게 되어 있다. 따라서 ifconfig 명령을 사용하여 IP 주소를 설정해준다 ifconfig eth0 [설정하고자 하는 IP 주소]

Astaro 방화벽의 설치 원격지에서 Astaro가 설치되어 있는 시스템으로 브라우저를 통해서 접속한다. ‘https://Astaro 방화벽 주소’로 입력하면 Astaro의 초기 화면을 볼 수 있다. 이 때 처음 설치할 때 입력했던 WebAdmin 계정과 패스워드를 입력하고 로그인한다. 앞의 과정을 마친 뒤 Astaro의 설정 화면을 볼 수 있다. 설정 화면에는 System, Definition, Network, Packet Filter 등의 메뉴가 있으며, 각 메뉴를 선택하면 다시 세부 메뉴를 볼 수 있다. [그림 17-12] Astaro의 메뉴 화면

Astaro 방화벽의 설치 외부 인터페이스를 활성화 : ‘Network - Interface’ 메뉴에서 확인할 수 있듯이 NIC는 eth0과 eth1로 두 개 모두 확인되어 있는 것을 볼 수 있으나 외부 인터페이스로 쓰일 eth1은 아무런 설정도 되어 있지 않고 활성화도 되어 있지 않다. 이에 대한 설정을 하려면 오른쪽의 ‘New' 버튼을 누른다. [그림 17-14] 네트워크 인터페이스 생성

Astaro 방화벽의 설치 외부 인터페이스를 활성화 후 [그림 17-16] 네트워크 인터페이스 활성화

Astaro 방화벽의 설치 외부 인터페이스를 활성화 후 외부 네트워크에 대한 자동 설정 [그림 17-17] 외부 네트워크, 인터페이스 정의

패킷 필터링 방화벽의 경우 ‘명백히 허용하지 않은 서비스에 대한 거부’를 적용하려면 다음과 같은 과정이 필요하다 허용할 서비스를 확인한다. 제공하고자 하는 서비스가 보안의 문제점은 없는지와 허용에 대한 타당성을 검토한다. 서비스가 이루어지고 있는 형태를 확인하고, 어떤 규칙(Rule)을 적용할지 구체적인 결정을 한다 IP 주소를 설정해준다 . 방화벽에 실제 적용을 하고, 적용된 규칙을 검사한다.

패킷 필터링 구현 실습도 [그림 17-18] 패킷 필터링 실습도

패킷 필터링 설정 항목 맨 앞에 'No.'가 있으며 규칙이 적용되는 순번을 나타낸다. ‘From’과 ‘To'는 패킷의 출발지 주소와 도착지 주소를 가리키며 Service는 포트 번호를 지정하는 것이다. 'Action'은 이 패킷을 받아들일 것인지, 거부할 것인지를 결정하는 항목이다. 마지막으로 ’Command'는 편집이나 삭제하는 메뉴다 [그림 17-19] 패킷 필터링 규칙 설정 메뉴

실습 예제에 대한 패킷 필터링 규칙 No. From Service To Action 1 Internal 80 External allow 2 Any 192.168.1.10 3 21 192.168.1.12 4 192.168.1.11 25 10.10.10.21 5 110 deny 6 143 7 8 9 10 11 53 10.10.10.20 12

Astaro 패킷 필터링 규칙의 적용 [그림 17-23] 메일, DNS 서비스 패킷 필터링 규칙 입력

NAT IP 버전 4를 쓰고 있는 현재 가용 가능한 공인 주소의 수는 실제 인터넷에 연결되는 시스템의 수에 비해 많이 모자란다. 이러한 문제를 해결하기 위해 개발된 기술 중에 하나가 NAT(Network Address Translation)다. 내부 네트워크에서 시스템은 실제로는 사설 주소를 소유하고 있으나 외부로 접근할 때 라우팅이 가능한 외부 공인 주소를 NAT 규칙에 따라 할당 받아 접속을 할 수 있다. NAT는 구현 방법에 따라 다음의 네 가지로 나누어진다 Normal NAT Reverse NAT Redirect NAT Exclude NAT

Normal NAT Normal NAT는 내부 사설 IP 주소를 가지고 있는 클라이언트가 외부로 접속을 하고자 할 때 쓰인다

Reverse NAT 내부 네트워크에서 작동하는 서버에 외부 클라이언트 접속 시 동작하는 NAT3

Redirect NAT Exclude NAT Normal NAT를 적용받지 않고 방화벽을 지나도록 설정하는 것이다. 방화벽과 라우터 사이에 서버가 있는 경우와 같이 특정한 목적지에 대해서만 Normal NAT가 적용되지 않도록 설정할 수 있다.

Astaro 방화벽에서 Normal NAT 적용 Normal NAT는 Masqurading이란 명칭으로 쓰이며, Masquerading이란 ‘위장’이란 의미를 가진다. [그림 17-29] Masquerading 설정

Astaro 방화벽에서 Reverse NAT 적용 DNAT와 SNAT는 같은 메뉴에서 설정하도록 되어 있다. DNAT가 일반적으로 말하는 Reverse NAT 기능을 가지고 있으며, SNAT는 외부의 클라이언트의 출발지 주소를 바꾸는 약간 특이한 경우의 NAT다. [그림 17-28] DNAT 설정

프록시 프록시는 캐시(Cache) 목적으로 쓰이기도 했다. 자주 접속하는 사이트에 대한 페이지를 로컬에 저장해두고, 원격지에 존재하는 사이트에 대한 재접속이 확인되면 원격지의 사이트에서 페이지를 가져오지 않고, 로컬의 캐시 서버에서 원하는 페이지를 읽었던 것이다. 이러한 이유는 로컬 랜의 속도에 비해 WAN의 속도가 훨씬 느렸기 때문이다. 프록시는 방화벽의 한 구성 요소로 동작하면서 패킷 필터링에 대한 보조적인 도구로, 혹은 독립적으로 운영된다. 방화벽의 패킷 필터링은 모든 내부 사용자가 인터넷에 접속할 때 비교적 자유로운 접속이 가능하다. 패킷 필터링으로써의 방화벽은 내부 또는 외부 사용자가 그 규칙에 위반하는 일을 하지 않는다면 방화벽의 존재를 알지 못한다.

회로 계층 프록시(Circuit Level Proxy) SOCKS와 같이 하나의 회로를 만들 뿐 실제적인 프로토콜의 분석이 가능한 것은 아니다. 따라서 바이러스 같은 것을 잡아낼 수는 없다. 메일 서비스 같은 경우 기본적으로 프록시를 운영하는 것과 같은 원리다. 클라이언트가 메일을 보내면 메일 서버에 저장된 후 다른 메일 서버로 전송해준다. 응용 계층 프록시(Application Level Proxy) 응용 계층 프록시는 HTTP, FTP 등 하나의 서비스에 대한 프록시가 개별적으로 존재한다 프록시는 전송되는 자료들의 내용을 볼 수 있으나 모든 내용을 읽을 수 있는 것은 아니다. 그리고 프로토콜이 개발되면 그에 대한 프록시는 한참의 시간이 지난 뒤 개발되는 것이 보통이다. 따라서 모든 내용을 프록시할 수는 없다. 또한 프록시를 쓰려면 몇 가지 유연한 서비스를 제외하면 클라이언트와 서버에 조금씩 수정을 가해야 정상적으로 인터넷과 같은 라인을 쓸 수 있다.

HTTP 프록시 설정 [그림 17-32] HTTP 프록시 설정

Thank you