Chapter 17. 방화벽.

Presentation on theme: "Chapter 17. 방화벽."— Presentation transcript:

1 chapter 17. 방화벽

2 목차 방화벽의 기능과 목적 방화벽의 구조 Astaro 방화벽 패킷 필터링 베스천 호스트 스크리닝 라우터 단일 홈 게이트웨이
이중 홈 게이트웨이 스크린된 호스트 게이트웨이 스크린된 서브넷 게이트웨이 Astaro 방화벽 패킷 필터링

3 1. 방화벽의 기능과 목적 네트워크에서 보안을 높이기 위한 가장 일차적인 처리
신뢰하지 않는 외부 네트워크를 지나는 패킷을 미리 정해 놓은 규칙에 따라 차단

4 1. 방화벽의 기능과 목적 방화벽의 주된 기능 1) 접근제어(Access Control)
관리자가 방화벽에게 통과시킬 접근과 그렇지 않은 접근을 명시 접근제어 방식 1. 패킷 필터링(Packet Filtering) 방식 2. 프록시(Proxy) 방식 2) 로깅(Logging)과 감사추적(Auditing) 허가, 또는 거부된 접근에 대한 기록을 유지 3) 인증(Authentication) 방화벽은 메시지 인증, 사용자 인증, 그리고 클라이언트 인증 수행 가능 4) 데이터의 암호화 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 보내는 것

5 2. 방화벽의 구조 (1) 베스천 호스트(Bastion Host)
정의 : 철저한 방어 정책이 구현되어 있는 외부로부터의 접속에 대한 일차적인 연결을 받아들이는 시스템 기능 : 강력한 로깅과 모니터링 정책이 구현되어 있으며 접근을 허용하거나 차단하기도 하는 등의 일반적인 방화벽의 기능을 수행 * 베스천 호스트의 위치 중에 한 곳에 방화벽이 놓임

6 2. 방화벽의 구조 (2) 스크리닝(Screening) 라우터
기능 : 3계층인 네트워크 계층과 4계층 트랜스포트(Transport) 계층에서 실행되며, IP 주소와 포트에 대한 접근 제어가 가능 라우터의 위치 : 외부 네트워크와 내부 네트워크의 경계선 문제점 세부적인 규칙 적용이 어렵고 많은 규칙을 적용할 경우 라우터에 부하가 걸려 대역폭을 효과적으로 이용할 수 없음 실패한 접속에 대한 로깅이 지원되지 않으며, 패킷 필터링 규칙에 대한 검증이 어려움

7 2. 방화벽의 구조 (3) 단일 홈 게이트웨이(Single Homed Gateway)
기능 : 비교적 강력한 보안 정책 실행 가능 문제점 방화벽이 손상되면 내부 네트워크에 대한 무조건적인 접속을 허용할 가능성이 있음 방화벽으로의 원격 로그인 정보가 노출되어 방화벽에 대한 제어권을 공격자가 얻게 되면 내부 네트워크를 더 이상 보호할 수가 없음 2계층 공격 등을 통한 방화벽의 우회가 가능하다.

8 장점 : Single Homed Gateway보다 효율적인 트래픽 관리가 될 수 있으며 방화벽을 우회하는 것은 불가능
2. 방화벽의 구조 (4) 이중 홈 게이트웨이(Dual Homed Gateway) 기능 : Dual Homed Gateway는 네트워크 카드를 2개 이상 가지는 방화벽 외부 네트워크에 대한 네트워크 카드 내부 네트워크에 대한 네트워크 카드 장점 : Single Homed Gateway보다 효율적인 트래픽 관리가 될 수 있으며 방화벽을 우회하는 것은 불가능

9 2. 방화벽의 구조 (5) 스크린된 호스트 게이트웨이(Screened Host Gateway) – 단일 홈
Screening router + Single Homed Gateway 스크리닝 라우터 : 패킷 필터링을 함으로써, 1차적인 방어 Single Homed Gateway 프록시와 같은 서비스를 통해 2 차적인 방어 스크리닝 라우터를 거치지 않은 모든 접속을 거부 가장 많이 이용되는 구조이며 융통성은 좋으나 구축 비용이 많이 듬

10 2. 방화벽의 구조 (6) 스크린된 호스트게이트웨이(Screened Host Gateway)–이중홈
스크리닝 라우터 : 3계층과 4계층에 대한 접근 제어 Dual Homed Gateway : 7계층에 대한 접근 제어 실행

11 2. 방화벽의 구조 (7) 스크린된 서브넷 게이트웨이(Screened Subnet Gateway)–단일 홈

12 2. 방화벽의 구조 (7) 스크린된서브넷게이트웨이(Screened Subnet Gateway)–단일홈
외부 네트워크와 외부 네트워크 사이에 완충 지대를 두는 것 완충 지대로서의 네트워크를 Subnet이라고 부르며, 보통 여기에 DMZ (DeMiliterized Zone)가 위치 함 방화벽 역시 Subnet에 위치하며 주로 프록시가 설치 됨. 특징 다른 방화벽이 가지는 모든 장점을 가지며 융통성이 매우 뛰어 남 해커들이 침입하려면 통과해야 하는 것이 많아 매우 안전한 편 그러나 다른 방화벽 시스템보다 설치하기 어렵고, 관리 또한 어려우며 서비스 속도가 느림 가격이 비쌈

13 2. 방화벽의 구조 (8) 스크린된 서브넷 게이트웨이(Screened Subnet Gateway)–이중홈
특징 : Single Homed Gateway를 쓴 경우보다는 빠르며 좀더 강력한 보안 정책을 실행할 수 있음

14 Astaro 방화벽 운영체제 : LINUX 공개용 소프트웨어 www.astaro.com
기능 : 매우 다양한 기능을 제공하는 강력한 방화벽 실험환경

15 Astaro 방화벽 설치과정 방화벽은 여러 가지 제품이 있으나 기본적으로는 모두 비슷하다. 하나의 방화벽에 익숙해지면 다른 방화벽 역시 어렵지 않게 설정할 수 있다. 1. Astaro는 리눅스 기반의 방화벽으로, 다른 운영체제와 같이 설치할 수 없다. 설치 시 하드의 모든 내용이 포맷되므로 새로운 하드를 구해야 한다. Astaro 사이트에서 이미지를 받은 후 설치 시디를 만들어서 시디를 넣고, 새로운 하드를 넣은 뒤 파워를 켜면 별다른 설정 없이 설치된다. 2. 설치가 완료되면 시디를 빼낸 뒤 리부팅한다. 리부팅하면 로그인하게 되어 있는데, 아이디에 root를 입력하고 패스워드는 새로 설정한다. 3. 리눅스에서 사용하는 대부분의 명령을 쓸 수 있다. Astaro 서버에 대한 설정은 원격에서 하게 되어 있다. 따라서 ifconfig 명령을 사용하여 IP 주소를 설정해준다. ifconfig eth0 [설정하고자 하는 IP 주소]

16 Astaro 방화벽 설치과정 4. 원격지에서 Astaro가 설치되어 있는 시스템으로 브라우저를 통해서 접속한다. ‘ 방화벽 주소’로 입력하면 Astaro의 초기 화면을 볼 수 있다. 이 때 처음 설치할 때 입력했던 WebAdmin 계정과 패스워드를 입력하고 로그인한다. 5. 앞의 과정을 마친 뒤 Astaro의 설정 화면을 볼 수 있다. 설정 화면에는 System, Definition, Network, Packet Filter 등의 메뉴가 있으며, 각 메뉴를 선택하면 다시 세부 메뉴를 볼 수 있다.

17 Astaro 방화벽 설치과정 6. 외부 인터페이스를 활성화
‘Network - Interface’ 메뉴에서 확인할 수 있듯이 NIC는 eth0과 eth1로 두 개 모두 확인되어 있는 것을 볼 수 있으나 외부 인터페이스로 쓰일 eth1은 아무런 설정도 되어 있지 않고 활성화도 되어 있지 않다. 이에 대한 설정을 하려면 오른쪽의 ‘New' 버튼을 누른다.

18 Astaro 방화벽 설치과정 7. 외부 인터페이스를 활성화 후

19 Astaro 방화벽 설치과정 8. 외부 인터페이스를 활성화 후 외부 네트워크에 대한 자동 설정

20 3. 패킷 필터링 방화벽의 경우 ‘명백히 허용하지 않은 서비스에 대한 거부’를 적용하려면 다음과 같은 과정이 필요 함
1. 허용할 서비스를 확인 2. 제공하고자 하는 서비스가 보안의 문제점은 없는지와 허용에 대한 타당성을 검토 3. 서비스가 이루어지고 있는 형태를 확인하고, 어떤 규칙(Rule)을 적용할지 구체적인 결정 4. 방화벽에 실제 적용을 하고, 적용된 규칙을 검사

21 3. 패킷 필터링 패킷 필터링 구현 실습도

22 3. 패킷 필터링 패킷 필터링 설정 항목 No. : 규칙이 적용되는 순번, From : 패킷의 출발지
To : 패킷의 도착지 주소, Service : 포트 번호를 지정 Action : 이 패킷을 받아들일 것인지, 거부할 것인지를 결정 Command : 편집이나 삭제하는 메뉴

23 3. 패킷 필터링 실습 예제에 대한 패킷 필터링 규칙 No. From Service To Action 1 Internal 80
External allow 2 Any 3 21 4 25 5 110 deny 6 143 7 8 9 10 11 53 12

24 3. 패킷 필터링 Astaro 패킷 필터링 규칙의 적용

25 chapter 18. 침입 탐지 시스템

26 1. 침입 탐지 시스템 (Intrusion Detection System : IDS)
방화벽 : 성문 관리(접근통제) 성문을 통과 한 후??? 성 안에서 나쁜 짓을 하는 사람 성벽을 넘어 들어가는 사람 알려지지 않은 비밀통로를 통해서 들어가는 사람 IDS : 경찰과 같은 내부 감시자를 운용

27 Intrusion Detection Engine Packet Filtering
Alerting and Logging Intrusion Detection Engine Packet Filtering Decoding(Each Protocol, Sanity Check) Real Time Packet Sniff/Packet Filtering Internet Packet

28 IDS는 크게 네 가지 요소와 기능으로 구분됨  자료의 수집(Raw Data Collection)  자료의 필터링과 축약(Data Reduction and Filtering)  침입 탐지(Analysis and Intrusion Detection)  책임 추적성과 대응(Reporting and Response) 자료 수집 IDS는 설치 위치와 목적에 따라 크게 호스트 기반의 IDS(Host-Based IDS, 이후 HIDS)와 네트워크 기반의 IDS(Network-Based IDS, 이후 NIDS)로 나누어진다.

29 HIDS(Hostbased Intrusion Detection System)
역할 운영체제에 설정된 사용자 계정에 따라, 어떤 사용자가 어떤 접근을 시도 어떤 작업을 했는지에 대한 기록을 남기고 추적 문제점 운영체제의 취약점은 HIDS를 손상시킬 수 있음 다른 IDS에 비해 비용이 많이 드는 편임

30 NIDS(Networkbased Intrusion Detection System)
설치 : NIDS는 네트워크에서 하나의 독립된 시스템으로 운용됨. TCP Dump도 하나의 NIDS가 될 수 있음 기능 HIDS로는 할 수 없는 네트워크 전반의 감시를 할 수 있음 IP 주소를 소유하지 않기 때문에 직접적인 해커의 공격에는 거의 완벽한 방어를 할 수 있고, 존재 사실도 숨길 수 있음 NIDS는 공격 당한 시스템의 공격에 대한 결과를 알 수 없으며 암호화된 내용을 검사할 수는 없음 문제점 스위칭 환경에서 NIDS를 설치하려면 다른 부가적인 장비가 필요하며, 1Gbps 이상의 네트워크에서는 정상적으로 작동하기 힘듦

31 2. 자료의 필터링과 축약 자료의 통합 관리 : 수집된 침입 관련 자료는 한 곳으로 모아서 관리하는 것이 좋음
상호 연관하여 분석함으로써 좀더 효과적인 분석이 가능 빠른 대응이 가능 또한 보안이 강화된 시스템에 자료를 보관함으로써 침입으로 인한 자료의 손실을 막을 수 있음 IDS의 자료는 매우 방대 함 효과적인 필터링을 위해서는 자료 수집에 대한 규칙을 설정하는 작업이 필요함

32 3. 침입 탐지 (1) 오용 탐지(Misuse Detection)
Signature Base나 Knowledge Base로 불림 이미 발견되고 정립된 공격 패턴을 미리 입력해두고, 거기에 해당하는 패턴을 탐지하게 되었을 때 이를 알려주는 기능을 수행 장점 탐지 오판율이 낮고 비교적 효율적 단점 대량의 자료를 분석하는 데는 부적합 공격을 어떤 순서로 실시했는지에 대한 정보를 얻기가 힘듦

33 (2) 이상 탐지(Anomaly Detection)
Behavior나 Statistical Detection이라고 함 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입 탐지를 알리는 것 이상 탐지 기법 정량적인 분석 통계적인 분석 비특성 통계 분석 단점 인공 지능 시스템은 그 판단의 근거가 확실하지 않고 오판율 역시 높음 최초 설치 후 재설치 시에 초기 상태로 돌아가는 큰 단점이 있음

34 4. 책임 추적성과 대응 : IDS는 기본적으로 침입을 알려주는 시스템으로, 침입에 대한 능동적인 기능은 없음 (IDS에 능동적인 기능을 많이 탑재한 IDS를 IPS(Intrusion Prevention System)라고도 함) IDS가 실행할 수 있는 구체적인 능동적인 기능 공격자로 확인된 연결에 TCP reset 패킷을 보내어 연결을 끊음 공격자의 IP 주소나 사이트를 확인하고, 라우터나 방화벽을 통해 이를 차단 공격 포트를 확인하여 라우터와 방화벽을 설정. 공격자가 일정 포트를 이용한 공격을 하고 있을 때 포트를 막음 네트워크 구조 자체를 임시적으로 바꾸는 경우도 있음

35 2. 침입 탐지 시스템의 구조 침입 탐지 시스템의 설치 위치

36 중앙 집중화된 IDS 관리

37 외부 관제에 의한 IDS 관리

38 3. 윈도우 침입 탐지 도구 BlackICE, Zone Alarm

39 4. 리눅스 침입 탐지 도구 Snort 설치 시 필요 구성 요소
- snort : - MySQL : mysql.secsup.org/Downloads/MySQL-4.0/mysql tar.gz - 아파치 : - PHP : - ADODB 3.3 : phplens.com/lens/dl/adodb330.tgz - Acid 0.9.6b23 : acidlab.sourceforge.net/acid-0.9.6b23.tar.gz - Zlib : flow.dl.sourceforge.net/sourceforge/libpng/zlib tar.gz - JPGraph 1.11 : jpgraph.techuk.com/jpgraph/downloads/jpgraph tar.gz - Lipcap :

40 Snort 동작 화면

41 chapter 19. 허니팟

42 1. Honey Pot : 해커의 정보를 얻기 위한 하나의 개별 시스템을 말하고, Honey Net은 Honey Pot을 포함한 하나의 네트워크를 의미함 Honey Pot의 목적 경각심(Awareness), 정보(Information), 연구(Research) 이 세 가지 목적은 모두 새로운 공격이 실행되었을 경우 이에 대해 대처할 수 있도록 하자는 데 초점 Honey Net은 연구가 주요 목적이라 할 수 있음

43 허니팟의 요건  쉽게 해커에게 노출되어야 함  쉽게 해킹이 가능한 것처럼 취약해 보여야 함
 시스템의 모든 구성 요소를 가지고 있어야 함  시스템을 통과하는 모든 패킷을 감시해야 함  시스템에 접속하는 모든 사람에 대해 관리자에게 알려줌

44 Network Security Un-secure channel => Secure Channel
Internet server IDS Firewall Router Mobile Node server Router Client A Router Client B Un-secure channel => Secure Channel (Symmetric-key and Public-key system)