Ch20 – 8. 방화벽 - Fire Wall -.

Presentation on theme: "Ch20 – 8. 방화벽 - Fire Wall -."— Presentation transcript:

1 ch20 – 8. 방화벽 - Fire Wall -

2 목 차 방화벽의 설계 원리 방화벽의 유형 방화벽의 구성 신뢰 시스템 접근제어 접근제어정책/메커니즘/모델 2

3 TCP 해더 3

4 방화벽이란 방화벽이란 네트워크에서의 방화벽은 보안을 높이는 데 가장 일차적인 것으로서 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정해 놓은 규칙(정책)에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어를 말한다 4

5 1.1 방화벽 특성 방화벽의 설계 목적[BELL94] 내외부간의 모든 유통 트래픽은 반드시 방화벽을 거친다.
방화벽을 거치지 않는 모든 물리적 접근은 차단. 결정된 보안정책에 따라 허가된 트랙픽만 방화벽을 통과 방화벽 그 자체는 외부의 침투에 대해 면역성을 갖는다. 5

6 1.1 방화벽 특성 [SMIT97] 은 사이트의 보안 정책 강화방안을 제시
서비스 제어(Service control): IP 주소와 TCP 포트 번호를 기초로 도착/출발 인터넷 접근 서비스 종류 결정 방향 제어(Direction control): 방화벽 통과 흐름의 방향을 결정 사용자 제어(User control): 사용자들의 접근시도 서비스 제어 동작 제어(Behavior control): 특정 서비스들이 어떻게 사용되는지를 통제 6

7 1.2 방화벽의 기능 1) 접근제어(Access Control)
접근제어는 방화벽의 가장 기본적이고 중요한 기능이다. 관리자가 방화벽에게 통과시킬 접근과 그렇지 않은 접근을 명시해주고 방화벽은 지시받은 것을 행한다. 이러한 접근제어 방식은 그 구현 방법에 따라 패킷 필터링(Packet Filtering) 방식과 프록시(Proxy) 방식으로 나누어진다. 2) 로깅(Logging)과 감사추적(Auditing) 허가, 또는 거부된 접근에 대한 기록을 유지한다. 3) 인증(Authentication) 방화벽은 메시지 인증, 사용자 인증 및 클라이언트 인증을 할 수 있다. 4) 데이터의 암호화 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 보내는 것으로, 보통 VPN의 기능을 이용한다. 7

8 1.3 방화벽의 한계 방화벽은 방화벽을 우회하는 공격을 막을 수 없다.
내부 시스템이 ISP에 연결하기 위해서 외부로 다이얼링 가능 내부 LAN은 출장 중인 직원들이 내부로 접속할 수 있도록 모뎀을 지원 방화벽은 내부의 위협을 막을 수 없다. 불만이 많은 직원 외부의 해커와 결탁한 직원 방화벽은 바이러스에 감염된 프로그램이나 파일을 막을 수 없다. 운영체제와 응용 프로그램들이 너무나 다양하기 때문에 방화벽으로 들어오는 모든 파일, 전자우편, 메시지에 대해 바이러스를 검색하는 것은 불가능 8

9 1.4 방화벽의 유형 패킷 필터링 라우터 - Packet Filtering Route
상태검사 - Stateful Packet Filters 응용 계층 게이트웨이 - Application Level Gateway 우회 게이트웨이 - Circuit Level Gateway 베스천 호스트 – Bastion Host 9

10 1.4.1 패킷필터링라우터 네트워크로 들어오는 패킷에 규칙을 적용해서 패킷을 허가 혹은 폐기
라우터는 전형적으로 패킷을 필터링하여 양방향으로 가도록 설정 필터링 규칙은 IP와 전송헤더에 있는 필드를 참조(IP주소 및 포트번호) Default = discard : 명백하게 허용된 것이 아닌 것은 금지된다. Default = forward : 명백하게 금지된 것이 아닌 것은 허용된다. 10

11 A: 게이트웨이 호스트로만 도착메일이 허용된다 외부 호스트 SPIGOT로부터 접속 금지
도착 메일(포트25 SMTP incoming)은 게이트웨이 host로만 허용 B: 모든 접근의 금지를 표현하는 기본적 규칙 모든 정책이 필수적으로 포함하는 기본적 준수 규칙 C: 내부의 모든 호스트에 대하여 외부로 메일전송 허용 목적지 포트가 25인 TCP 패킷이 목적지 SMTP 서버로 연결 목적지에서 포트 25를 다른 응용에 설정하면 불허된 응용에 접근결과를 초래 11

12 패킷 필터링 라우터 D: C를 개선하기 위하여 발신지와 목적지의 응용을 지정
발신지 IP가 Ourhost이고 목적지 포트가 25번 이때 접속허용 TCP세그먼트의 ACK프래그, 포트번호가 25인 도착 패킷을 허용 E: 내부 패킷이고, 연결 응답, 1024<포트의 목적지 응용을 허용 패킷 필터링은 단순성, 사용자 투명성, 매우 빠른 처리가 장점 패킷 필터링 규칙은 정확한 규칙 설정과 인증기능 등의 응용 서비스 정의가 어려움 12

13 패킷 필터링 라우터의 위협요소 공격과 대응책[SEME96] IP 주소 스푸핑(IP address spoofing)
침입자가 내부호스트 주소로 위장된 주소를 사용하여 패킷 전송 내부 발신지 주소를 갖는 외부로부터의 접속을 거부하여 방어 발신지 라우팅 공격(Source routing attack) 발신지를 라우팅 정보를 분석하지 않는 장비를 선택하는 통과경로를 지정 침투 경로를 지정하려는 모든 패킷을 폐기하여 방어 작은 단변화 공격(Tiny fragment attack) TCP 헤더 정보에 의존한 필터링 규칙을 피하기 위하여 IP단편화 옵션을 사용하여 헤더정보를 분리된 패킷 단편으로 분해 (첫번 단편만 필터링 규칙을 시험 받고 나머지 단편은 통과성공) 프로토콜 타입이 TCP이고 IP단편 Offset이 1인 모든 패킷을 폐기방어 13

14 1.4.2 응용 계층 게이트웨이 응용-레벨 게이트웨이는 응용 계층의 트래픽을 중계하는 역할
사용자는 Telnet이나 FTP같은 TCP/IP 응용 게이트웨이에 접속 게이트웨이는 접속할 원격 호스트의 이름을 사용자에게 질의 사용자는 응답을 하고 확실한 사용자 ID와 인증 정보를 제공 게이트웨이는 떨어져있는 호스트에 있는 응용에 접속해 두 개의 종점 사이에 응용 데이터가 들어 있는 TCP 세그먼트를 중계 14

15 응용 계층 게이트웨이 장단점 응용 레벨 게이트웨이는 패킷 필터링보다 더 안전한 경향
패킷 필터링에서는 TCP와 IP 계층에서 다양한 허가/금지 사항검사 어려움 응용레벨 게이트웨이에서 허용 가능한 응용을 자세히 조사 용이 응용 레벨에서 들어오는 모든 트래픽을 로그 하고 감사하기가 용이 단점은 게이트웨이 유형의 각 연결에서 일어나는 처리 과부하 최종사용자와 게이트웨이간에 양쪽 2개의 연결 존재 게이트웨이는 양방향에서 모든 트래픽을 조사하고 전송해야 하는 부담가중 15

16 회선 (우회) 게이트웨이 단독 시스템 혹은 응용을 위한 게이트웨이가 수행하는 특별한 기능
회선-레벨 게이트웨이는 종단간(end-to-end) TCP 연결을 불허 게이트웨이는 2개의 TCP 연결을 사용 자신과 내부호스트 연결 및 자신과 외부호스트 TCP 사용자 연결이 설정되면 게이트웨이는 연결사이에 TCP 세그먼트를 중개 보안 함수는 어떤 연결이 허용되는지 결정하는 요소들로 구성 16

17 회선(우회) 게이트웨이 일반적으로 시스템 관리자가 내부의 사용자를 신뢰하는 상태 게이트웨이는 2개 연결에 대한 정의 가능
도착 연결에 대하여 응용계층 또는 프록시 서비스 금지된 응용데이터를 검사하는 처리의 부담 출발 연결에 대하여 회선-레벨의 기능을 지원하도록 구성 가능 출발하여 나가는 데이터에 대해서는 과부하가 없음 회선-레벨 게이트웨이 장치의 예는 SOCKS 패키지[KOBL92] SOCKS버전 5는 RFC1928에 정의 TCP와 UDP 양쪽 도메인에서 네트워크 방화벽의 서비스를 편리하고 안전하게 사용하도록 클라이언트/서버 응용을 위한 구조 설명 17

18 회선(우회) 게이트웨이 SOCKS 구성요소 SOCKS 서버 는 유닉스 기반의 방화벽에서 작동
FTP/TELNET 등 표준 클라이언트 프로그램은 이미 SOCKS화 TCP기반의 클라이언트가 방화벽을 경유하여 객체를 연결할 경우 SOCKS 서버는 적절한 SOCKS 포트로 TCP 연결을 열어야 함 SOCKS 서비스는 TCP 포트 1080에 위치 만약 접속 요청이 성공하면 클라이언트는 사용될 인증 방법을 협상하고 중계 요청을 전송 SOCKS 서버는 요청을 평가하고 적절한 연결을 설정하거나 또는 그것을 거부 18

19 베스천 호스트 베스천 호스트는 네트워크 보안에서 매우 중요한 지점으로서 방화벽 관리자가 관리하는 시스템
베스천 호스트는 응용 레벨 또는 회선 레벨 게이트웨이를 위한 플랫폼을 지원 베스천 호스트의 일반적인 특징 운영 체제의 보안 버전을 실행시켜서 신뢰성 있는 시스템을 만든다. 네트워크 관리자가 필요한 서비스들만 베스천 호스트에 설치 텔넷, DNS, FTP, SMTP및 사용자 인증 프록시 응용을 포함 사용자가 프록시 접근 시 부가적인 인증을 요구 각 프락시는 지정된 호스트만 접근을 허가하기 위해 설정 각 접속의 지속 기간을 로깅함으로써 상세한 감사 정보를 유지 각 프록시 모듈은 네트워크 보안을 위한 작은 소프트웨어 패키지 각 프록시는 베스천 호스트에 있는 다른 프록시와는 독립적 프록시는 초기설정파일을 읽는 것 외에는 디스크 접속을 수행하지 않음 19

20 방화벽 구성 싱글(단일) 홈 베스천 호스트 듀얼 홈 베스천 호스트 스크린 서브넷 방화벽 시스템 20

21 싱글 홈 베스천 호스트 방화벽은 패킷 필터링 라우터와 베스천 호스트 2 개 시스템으로 구성
인터넷으로부터 베스천 호스트로 진입하는 IP 패킷만 허용 내부부터 오직 베스천 호스트로부터 나가는 IP 패킷만 허용 21

22 싱글 홈 베스천 호스트 베스천 호스트는 인증과 프록시 기능을 수행 패킷 필터링이나 응용레벨 게이트웨이 보다 우수한 보안 유지
보안정책 정의에, 패킷레벨과 응용레벨 필터링 구현가능 침입자는 2개의 분리되어 있는 시스템 침투로 공격가능 인터넷 접속을 직접 제공하는데 융통성 부여 내부 네트워크가 높은 보안성을 요구하지 않는(예: 웹 서버) 공개적 정보 서버를 인터넷과 직접 트래픽을 승인하도록 구성가능 단일-홈 구성에서 패킷 필터링 라우터가 손상인터넷과 사설망간에 직접적인 트래픽 위험발생 듀얼-홈 베스천 구성으로 물리적 보안 허점 예방필요 22

23 듀얼 홈 베스천 단일 패킷-필터링 라우터가 손상 인터넷과 내부 직접트래픽 위험
스크린 호스트 방화벽, 듀얼 홈 베스천 구성은 물리적으로 허점을 예방 정보서버나 호스트들은 보안정책 일치, 라우터와 직접통신이 가능. 23

24 스크린 –서브넷 방화벽 시스템 스크린 서브넷 방화벽은 가장 안전: 2개 패킷-필터링 라우터 사용
이러한 구성은 몇 가지 장점을 제공 3 단계 방어; 라우터1은 스크린 서브넷의 존재만을 인터넷에 통보 라우터2는 스크린 서브넷의 존재만을 내부 네트워크에 알린다. 스크린 서브넷을 직접 접속하는 트래픽 불가 24

25 신뢰 시스템 신뢰시스템 침입자들과 유해한 프로그램으로부터 방어대책 각 자원의 안전성을 향상시키는 안전한 시스템기술 필요
접근제어 기술에 의한 시스템 자원보호 접근제어 기본요소 주체(Subject): objects에 접근할 수 있는 실체 subject의 개념은 프로세스의 개념과 동일 개체(Object): 접근제어 대상 모든 것 전체 파일, 파일의 일부, 프로그램, 메모리의 세그먼트. 접근 권한(Access right): object가 subject에 의하여 접근되는 방식 읽기, 쓰기, 실행하기등 25

26 접근 행렬 시스템자원에 접근을 제어하는 가장 일반적 모델 26

27 접근제어 목록 Access Control List 접근행열의 접근제어 목록으로 재구성 27

28 기능목록 Capability List 접근행렬의 접근 자격목록을 구성 28

29 신뢰 시스템의 개념 신뢰 시스템의 개념 일반적 요구조건은 보안등급에 따라 자원을 보호하는 것 사용자들이 데이터의 어떤 범주를 접근하도록 비밀등급을 인가 다수의 데이터 범주 또는 비밀등급을 정의하여 낮은 등급으로 기밀성이 누출되는 것을 보호 다중 보안 시스템 기술 다중 보안(multilevel security)의 요구사항 상위읽기불가(No read up): 주체는 더 낮거나 동등한 보안등급의 객체만 읽을 수 있다. 보안 특성(simple security property) 하위쓰기불가(No write down) : 주체는 더 높거나 동등한 보안등급의 객체만 쓸 수 있다. *-Property(발음을 star property라 한다) 29

30 참조 모니터 개념 참조 모니터가 보안커널 데이터 베이스에 의하여 모든 주체와 객체간의 접근을 제어 참조모니터 조건
완전한 중재(Complete mediation): 파일 열기뿐만 아니라 모든 접근 때 보안규칙 적용 격리(Isolation): 참조 모니터와 데이터베이스의 인가되지 않은 변경으로 부터 보호 검증(Verifiability): 참조 모니터가 보안규칙을 이행하고 완벽한 중재와 격리를 제공한다는 것을 엄밀하게 증명가능 미 국방성은 1981년 NSA에 컴퓨터 보안센터를 설치하고 상업제품들의 보안요구조건에 대한 만족도를 평가 30

31 참조 모니터 개념 31

32 접근제어 기술분류 ISO/IEC 7498-2, ISO/IEC 10181-3
신분-기반 정책 : Identity-Based Policy IBP : individual-based policy GBP : group-based policy 규칙-기반 정책 : Rule-Based Policy MLP : Multi-Level Policy CBP : Compartment-Based Policy 직무-기반 정책 : Role-Based Policy 접근 제어 조건 VDC : Value-Dependent Control MUC : Multi-User Control CBC : Context-Based Control 접근제어 메커니즘 ACL : Access Control List CL : Capability List SL : Security Label  DoD’ TCSEC (Orange Book) DAC : Discretionary Access Control(Identity-Based Policy) MAC : Mandatory Access Control(Multi-Level Security, Rule-Based Policy) 32

33 운영체제에서의 접근제어 사용자의 식별 및 인증
프로세스(사용자 및 모든 프로그램)들의 컴퓨터자원(CPU, 메모리, 프린터, 모니터, 저장장치 등)에 대한 접근제어 임의적 접근제어(DAC) 정책 강제적 접근제어(MAC) 정책 역할기반 접근제어(RBAC) 정책 사용자의 모든 컴퓨터 사용행위에 대한 감사ㆍ추적기능 33

34 임의적 접근제어 (DAC) 주체나 그것이 속해 있는 그룹의 Identity에 근거하여 객체에 대한 접근을 제한하는 방법
사용자는 임의의 다른 사용자에게 자신의 허가권을 부여해줄 수 있음 (예) UNIX에서의CHMOD, CHOWN 접근제어 메커니즘 Directory List Access Control List Access Control Matrix 34

35 강제적 접근제어 (MAC) 개별적으로 각각의 객체에 비밀등급(classification level)을 결합시키고, 각 주체에게는 허가등급(clearance level)을 부여 각 주체가 각 객체에 접근할 때마다 사전에 규정된 규칙과 비교하여, 만족하는 주체에게만 접근권한을 부여 접근제어 메커니즘 Military Security Model Bell & Lapadula Model 35

36 역할기반 접근제어 (RBAC) 36

37 트로이목마 트로이 목마(Trojan horse) 컴퓨터에 해독을 끼치는 유해 프로그램의 일종
정상적인 프로그램으로 위장하고 있으나 그것을 실행시키면 시스템에 악영향을 주거나 데이터를 파괴하는 프로그램의 총칭. 또는, 나중에 해커(hacker) 또는 바이러스에 의해 악용 바이러스 프로그램(virus program)과 비슷 전염성이 없다. 트로이 목마 공격을 방어할 수 있는 한가지 방법은 안전한 운영 체제를 사용 37

38 38

39 트로이목마 방어(2/2) 보안등급은 기밀(sensitive)과 공개(public)로 구분
Bob의 소유되어 있는 프로세스와 데이터 파일은 기밀 보안 등급으로 할당 Alice의 파일과 프로세스는 공개로 할당 Alice 가 트로이목마가 주입된 프로그램을 Bob가 실행하도록 유인하여 Bob의 기밀파일을 복사 참조 모니터가 설치된 신뢰 시스템에서는 보안 커널에 정의된 보안규칙(하위쓰기불가)에 의하여 기밀파일의 누출을 차단 가능 하위쓰기가 허용되면 중요한 정보가 보안레벨이 낮은 객체에 기록이 되어 보호 받지 못하게 된다. 상위레벨에 기록되면 보안레벨에 맞게 보호된다. (보호측면) 39