방화벽 방화벽의 기능과 목적 방화벽의 구조 패킷 필터링 NAT 프록시 한빛미디어(주)

방화벽의 기능과 목적 네트워크에서의 방화벽은 보안을 높이는 데 가장 일차적인 것으로서 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정해 놓은 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어를 말한다. [그림 17-1] 방화벽의 개념

방화벽의 주된 기능 접근제어(Access Control) 로깅(Logging)과 감사추적(Auditing) 접근제어는 방화벽의 가장 기본적이고 중요한 기능이다. 관리자가 방화벽에게 통과시킬 접근과 그렇지 않은 접근을 명시해주고 방화벽은 지시받은 것을 행한다. 이러한 접근제어 방식은 그 구현 방법에 따라 패킷 필터링(Packet Filtering) 방식과 프록시(Proxy) 방식으로 나누어진다. 로깅(Logging)과 감사추적(Auditing) 허가, 또는 거부된 접근에 대한 기록을 유지한다. 인증(Authentication) 방화벽은 메시지 인증, 사용자 인증, 그리고 클라이언트 인증을 할 수 있다. 데이터의 암호화 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 보내는 것으로, 보통 VPN의 기능을 이용한다.

베스천 호스트(Bastion Host) 네트워크에서 베스천 호스트는 철저한 방어 정책이 구현되어 있는 외부로부터의 접속에 대한 일차적인 연결을 받아들이는 시스템을 지칭한다. 보통 강력한 로깅과 모니터링 정책이 구현되어 있으며 접근을 허용하거나 차단하기도 하는 등의 일반적인 방화벽의 기능을 한다. 하지만 베스천 호스트는 꼭 하나가 아니며 방화벽과 동일하지도 않다. 베스천 호스트의 위치 중에 한 곳에 방화벽이 놓이는 것이다. [그림 17-2] 베스천 호스트의 개념

스크리닝(Screening) 라우터 스크리닝 라우터는 방화벽이라고 하기에는 부족한 점이 많다. 3계층인 네트워크 계층과 4계층 트랜스포트(Transport) 계층에서 실행되며, IP 주소와 포트에 대한 접근 제어가 가능하다. 스크리닝 라우터는 외부 네트워크와 내부 네트워크의 경계선에 놓이며 보통 일반 라우터에 패킷 필터링 규칙을 적용하는 것으로 방화벽의 역할을 수행한다. 그러나 세부적인 규칙 적용이 어렵고 많은 규칙을 적용할 경우 라우터에 부하가 걸려 대역폭을 효과적으로 이용할 수 없다. 또한 실패한 접속에 대한 로깅이 지원되지 않으며, 패킷 필터링 규칙에 대한 검증이 어렵다. [그림 17-3] 스크리닝 라우터

단일 홈 게이트웨이(Single Homed Gateway)

이중 홈 게이트웨이(Dual Homed Gateway) Dual Homed Gateway는 네트워크 카드를 2개 이상 가지는 방화벽이다. Single Homed Gateway가 하나의 네트워크 카드를 가지고 경계선에 다른 시스템과 평등하게 놓이는 반면, Dual Homed Gateway는 외부 네트워크에 대한 네트워크 카드와 내부 네트워크에 대한 네트워크 카드가 구별되어 운영된다. [그림 17-5] 이중 홈 게이트웨이(dual homed gateway)

이중 홈 게이트웨이(Dual Homed Gateway) Dual Homed Gateway는 Single Homed Gateway보다 네트워크 카드가 하나 더 지원되므로 좀더 효율적인 트래픽의 관리가 될 수 있으며 방화벽을 우회하는 것은 불가능하다. Dual Homed Gateway는 네트워크 카드를 2개 이상 가지는 방화벽이다. Single Homed Gateway가 하나의 네트워크 카드를 가지고 경계선에 다른 시스템과 평등하게 놓이는 반면, Dual Homed Gateway는 외부 네트워크에 대한 네트워크 카드와 내부 네트워크에 대한 네트워크 카드가 구별되어 운영된다.

스크린된 호스트 게이트웨이(Screened Host Gateway) – 단일 홈 Screened는 ‘숨겨진’이라는 의미다. Screened Host Gateway는 라우터와 방화벽이 구별되어 운영되며, 스크리닝 라우터와 Single Homed Gateway의 조합이라고 생각할 수 있다. [그림 17-6] 스크린된 호스트 게이트웨이 - 단일 홈게이트웨이

스크린된 호스트 게이트웨이(Screened Host Gateway) – 단일 홈 Screened Host Gateway는 스크리닝 라우터에 패킷 필터링을 함으로써, 1차적인 방어를 하며, 베스천 호스트로서의 Single Homed Gateway에서 프록시와 같은 서비스를 통해 2 차적인 방어를 한다. 또한 베스천 호스트는 스크리닝 라우터를 거치지 않은 모든 접속을 거부하며 스크리닝 라우터 역시 베스천 호스트를 거치지 않은 모든 접속을 거부하도록 설정해야 한다. 가장 많이 이용되는 구조이며 융통성이 좋다. 그러나 스크리닝 라우터가 해커에 의해 해킹되면 베스천 호스트를 거치지 않고 내부 네트워크에 대한 직접적인 접근이 가능하다는 약점이 있다. 또한 구축 비용이 많이 든다.

스크린된 호스트 게이트웨이 – 이중 홈 Screened Host Gateway는 2단계로 방어를 실행하므로 무척 안전하며, 스크리닝 라우터에서 3계층과 4계층에 대한 접근 제어, 베스천 호스트에서 7계층에 대한 접근 제어까지 실행하므로 공격하기 어렵다. [그림 17-7] 스크린된 호스트 게이트웨이 - 이중 홈 게이트웨이

스크린된 서브넷 게이트웨이–단일 홈 Screened Subnet Gateway가 있다. Screened Subnet Gateway는 외부 네트워크와 외부 네트워크 사이에 완충 지대를 두는 것이다. 완충 지대로서의 네트워크를 Subnet이라고 부르며, 보통 여기에 DMZ(DeMiliterized Zone)가 위치한다. 방화벽 역시 Subnet에 위치하며 주로 프록시가 설치된다. Screened Host Gateway는 다른 방화벽이 가지는 모든 장점을 가지며 융통성이 매우 뛰어나다. 또한 해커들이 침입하려면 통과해야 하는 것이 많아 매우 안전한 편이다. 그러나 다른 방화벽 시스템보다 설치하기 어렵고, 관리 또한 어려우며 서비스 속도가 느리다. 또한 가격도 만만치 않다.

[그림 17-8] 스크린된 서브넷 게이트웨이 - 단일 홈 게이트웨이

스크린된 서브넷 게이트웨이 –이중 홈 Screened Subnet Gateway가 있다. Screened Subnet Gateway는 외부 네트워크와 외부 네트워크 사이에 완충 지대를 두는 것이다. Dual Homed Gateway를 적용할 경우 다음과 같은 구조가 된다. Single Homed Gateway를 쓴 경우보다는 빠르며 좀더 강력한 보안 정책을 실행할 수 있다. [그림 17-9] 스크린된 서브넷 게이트웨이 - 이중 홈 게이트웨이

Astaro 방화벽의 설치 Astaro를 설치하고, 간단한 설정을 해두는 시간으로 하겠다. 계속 이어지는 실습을 하는 데 중요한 설정을 하므로 잘 익혀두도록 하자. 방화벽은 여러 가지 제품이 있으나 기본적으로는 모두 비슷하다. 하나의 방화벽에 익숙해지면 다른 방화벽 역시 어렵지 않게 설정할 수 있다. Astaro는 리눅스 기반의 방화벽으로, 다른 운영체제와 같이 설치할 수 없다. 설치 시 하드의 모든 내용이 포맷되므로 새로운 하드를 구해야 한다. Astaro 사이트에서 이미지를 받은 후 설치 시디를 만들어서 시디를 넣고, 새로운 하드를 넣은 뒤 파워를 켜면 별다른 설정 없이 설치된다 설치가 완료되면 시디를 빼낸 뒤 리부팅한다. 리부팅하면 로그인하게 되어 있는데, 아이디에 root를 입력하고 패스워드는 새로 설정한다 리눅스에서 사용하는 대부분의 명령을 쓸 수 있다. Astaro 서버에 대한 설정은 원격에서 하게 되어 있다. 따라서 ifconfig 명령을 사용하여 IP 주소를 설정해준다 ifconfig eth0 [설정하고자 하는 IP 주소]

Astaro 방화벽의 설치 원격지에서 Astaro가 설치되어 있는 시스템으로 브라우저를 통해서 접속한다. ‘https://Astaro 방화벽 주소’로 입력하면 Astaro의 초기 화면을 볼 수 있다. 이 때 처음 설치할 때 입력했던 WebAdmin 계정과 패스워드를 입력하고 로그인한다. 앞의 과정을 마친 뒤 Astaro의 설정 화면을 볼 수 있다. 설정 화면에는 System, Definition, Network, Packet Filter 등의 메뉴가 있으며, 각 메뉴를 선택하면 다시 세부 메뉴를 볼 수 있다. [그림 17-12] Astaro의 메뉴 화면

Astaro 방화벽의 설치 외부 인터페이스를 활성화 : ‘Network - Interface’ 메뉴에서 확인할 수 있듯이 NIC는 eth0과 eth1로 두 개 모두 확인되어 있는 것을 볼 수 있으나 외부 인터페이스로 쓰일 eth1은 아무런 설정도 되어 있지 않고 활성화도 되어 있지 않다. 이에 대한 설정을 하려면 오른쪽의 ‘New' 버튼을 누른다. [그림 17-14] 네트워크 인터페이스 생성

Astaro 방화벽의 설치 외부 인터페이스를 활성화 후 [그림 17-16] 네트워크 인터페이스 활성화

Astaro 방화벽의 설치 외부 인터페이스를 활성화 후 외부 네트워크에 대한 자동 설정 [그림 17-17] 외부 네트워크, 인터페이스 정의

패킷 필터링 방화벽의 경우 ‘명백히 허용하지 않은 서비스에 대한 거부’를 적용하려면 다음과 같은 과정이 필요하다 허용할 서비스를 확인한다. 제공하고자 하는 서비스가 보안의 문제점은 없는지와 허용에 대한 타당성을 검토한다. 서비스가 이루어지고 있는 형태를 확인하고, 어떤 규칙(Rule)을 적용할지 구체적인 결정을 한다 IP 주소를 설정해준다 . 방화벽에 실제 적용을 하고, 적용된 규칙을 검사한다.

패킷 필터링 구현 실습도 [그림 17-18] 패킷 필터링 실습도

패킷 필터링 설정 항목 맨 앞에 'No.'가 있으며 규칙이 적용되는 순번을 나타낸다. ‘From’과 ‘To'는 패킷의 출발지 주소와 도착지 주소를 가리키며 Service는 포트 번호를 지정하는 것이다. 'Action'은 이 패킷을 받아들일 것인지, 거부할 것인지를 결정하는 항목이다. 마지막으로 ’Command'는 편집이나 삭제하는 메뉴다 [그림 17-19] 패킷 필터링 규칙 설정 메뉴

실습 예제에 대한 패킷 필터링 규칙 No. From Service To Action 1 Internal 80 External allow 2 Any 192.168.1.10 3 21 192.168.1.12 4 192.168.1.11 25 10.10.10.21 5 110 deny 6 143 7 8 9 10 11 53 10.10.10.20 12

Astaro 패킷 필터링 규칙의 적용 [그림 17-23] 메일, DNS 서비스 패킷 필터링 규칙 입력

NAT IP 버전 4를 쓰고 있는 현재 가용 가능한 공인 주소의 수는 실제 인터넷에 연결되는 시스템의 수에 비해 많이 모자란다. 이러한 문제를 해결하기 위해 개발된 기술 중에 하나가 NAT(Network Address Translation)다. 내부 네트워크에서 시스템은 실제로는 사설 주소를 소유하고 있으나 외부로 접근할 때 라우팅이 가능한 외부 공인 주소를 NAT 규칙에 따라 할당 받아 접속을 할 수 있다. NAT는 구현 방법에 따라 다음의 네 가지로 나누어진다 Normal NAT Reverse NAT Redirect NAT Exclude NAT

Normal NAT Normal NAT는 내부 사설 IP 주소를 가지고 있는 클라이언트가 외부로 접속을 하고자 할 때 쓰인다

Reverse NAT 내부 네트워크에서 작동하는 서버에 외부 클라이언트 접속 시 동작하는 NAT3

Redirect NAT Exclude NAT Normal NAT를 적용받지 않고 방화벽을 지나도록 설정하는 것이다. 방화벽과 라우터 사이에 서버가 있는 경우와 같이 특정한 목적지에 대해서만 Normal NAT가 적용되지 않도록 설정할 수 있다.

Astaro 방화벽에서 Normal NAT 적용 Normal NAT는 Masqurading이란 명칭으로 쓰이며, Masquerading이란 ‘위장’이란 의미를 가진다. [그림 17-29] Masquerading 설정

Astaro 방화벽에서 Reverse NAT 적용 DNAT와 SNAT는 같은 메뉴에서 설정하도록 되어 있다. DNAT가 일반적으로 말하는 Reverse NAT 기능을 가지고 있으며, SNAT는 외부의 클라이언트의 출발지 주소를 바꾸는 약간 특이한 경우의 NAT다. [그림 17-28] DNAT 설정

프록시 프록시는 캐시(Cache) 목적으로 쓰이기도 했다. 자주 접속하는 사이트에 대한 페이지를 로컬에 저장해두고, 원격지에 존재하는 사이트에 대한 재접속이 확인되면 원격지의 사이트에서 페이지를 가져오지 않고, 로컬의 캐시 서버에서 원하는 페이지를 읽었던 것이다. 이러한 이유는 로컬 랜의 속도에 비해 WAN의 속도가 훨씬 느렸기 때문이다. 프록시는 방화벽의 한 구성 요소로 동작하면서 패킷 필터링에 대한 보조적인 도구로, 혹은 독립적으로 운영된다. 방화벽의 패킷 필터링은 모든 내부 사용자가 인터넷에 접속할 때 비교적 자유로운 접속이 가능하다. 패킷 필터링으로써의 방화벽은 내부 또는 외부 사용자가 그 규칙에 위반하는 일을 하지 않는다면 방화벽의 존재를 알지 못한다.

회로 계층 프록시(Circuit Level Proxy) SOCKS와 같이 하나의 회로를 만들 뿐 실제적인 프로토콜의 분석이 가능한 것은 아니다. 따라서 바이러스 같은 것을 잡아낼 수는 없다. 메일 서비스 같은 경우 기본적으로 프록시를 운영하는 것과 같은 원리다. 클라이언트가 메일을 보내면 메일 서버에 저장된 후 다른 메일 서버로 전송해준다. 응용 계층 프록시(Application Level Proxy) 응용 계층 프록시는 HTTP, FTP 등 하나의 서비스에 대한 프록시가 개별적으로 존재한다 프록시는 전송되는 자료들의 내용을 볼 수 있으나 모든 내용을 읽을 수 있는 것은 아니다. 그리고 프로토콜이 개발되면 그에 대한 프록시는 한참의 시간이 지난 뒤 개발되는 것이 보통이다. 따라서 모든 내용을 프록시할 수는 없다. 또한 프록시를 쓰려면 몇 가지 유연한 서비스를 제외하면 클라이언트와 서버에 조금씩 수정을 가해야 정상적으로 인터넷과 같은 라인을 쓸 수 있다.

HTTP 프록시 설정 [그림 17-32] HTTP 프록시 설정

Thank you