방화벽(Firewall) 구축 방법

1. 베스천 호스트(Bastion host)

- 일반적인 호스트 시스템에 방어 기능을 강화한 시스템이다.

- 네트워크 보안상 가장 중요한 위치에 있기 때문에 관리자에 의해 철저하게 감시되며 불법적인 침입 의도를 가지고 접속한 모든 시스템의 기록들에 대하여 주기적인 검사를한다.

- 내부 네트워크 전체의 보안을 책임지는 호스트이기 때문에 공격자의 목표가 되기 쉽다

- 해커 또는 불법 침입자의 시스템 악용을 막기 위해 불필요한 사용자 계정과 유틸리티, 명령들을 삭제하며 라우팅 기능을 올리지 않아야한다.

- 강화된 인증 기능 및 모든 사용자 접근 기록, 모니터링 기능 필요하다.

- 내부 > 외부, 외부 > 내부 사용자 모두 인증 과정 진행 후 통신한다.

- 인터넷과 같은 외부 네트워크와 직접 통신할 수 있는 호스트는 베스천 호스트만 가능하게 구성한다.

- 애플리케이션 계층에서 동작하여 사용자 인증 구현과 데이터 공격 방어 및 로그 기록 생성이 쉽지만, 공격에 침해 당할 경우 모든 내부 자원 공격이 당할 수 있다.

- 유일하게 외부의 공격에 노출된 시스템 구조, 즉 내/외부 네트워크 사이의 게이트웨이 역할 담당한다.

 

장점

- 스크린 라우터 방식보다 안전하다.

- 각종 로깅 기능 및 정보 생성, 관리가 용이하다.

 

단점

- 베스천 호스트가 손상되면 내부 네트워크를 보호할 수 없다.

- 로그인 정보가 유출되면 내부 네트워크를 보호할 수 없다.

- 2계층 공격을 통한 방화벽 우회 공격에 취약

 

2. 스크리닝 라우터(Screening Router)

- 5-Tuple을 기반으로 일반적인 라우터 기능 외에 패킷 필터링 기능 사용한다.

- 5-Tuple : 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port, 프로토콜

- 내부 네트워크와 외부 네트워크 사이의 패킷 통과 여부를 허용하거나 거절하는 라우터 형태이다.

- 약간의 방화벽 시스템 구현 가능하지만 제한 많고 복잡한 정책 구현 어렵다.

- 라우터 차원에서 IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작, 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 허용 또는 차단하는 패킷 필터링 규칙 적용한다.

- IN/OUT 패킷에 대하여 ACL 규칙을 순차 비교하여 최종 ACL 까지 점검, 최종적으로 패킷을 차단할지 아니면, 허용 결정한다. (ACL 규칙 순서 매우 중요)

 

장점

- 5-Tuple은 상대적으로 간단함 검사 과정을 거쳐 패킷 처리를 빨리할 수 있다.

- 관리자가 미리 정의한 보안 정책에 따라 트래픽 필터링 수행을 진행하여 관리자가 정의한 정책만 수행한다.  

 

단점

- 5-Tuple 필터링은 네트워크 계층, 전송 계층의 정보만을 기반으로 하기 때문에 애플리케이션 계층의 세부적인 데이터 검사가 불가하다.

- 대규모 환경에서는 ACL 규칙이 많아져 이를 관리하고 유지하기 어렵고 복잡하다.

- ACL 규칙 순서가 매우 중요하기 때문에 잘못된 순서 설정 시 취약점 발생한다.

- 기존 정책에서 새로운 정책 추가 시 잘못된 ACL 규칙 순서를 넣을 수 있다.

 

 

3. 듀얼 홈 게이트웨이(Dual-Homed GateWay)

- 두 개의 네트워크 인터페이스를가진 베스천 호스트를 이용한 구성이다.

- 하나의 인터페이스는 외부 네트워크와 연결, 다른 하나의 인터페이스는 내부 네트워크와 연결을 물리적으로 구분한다.

- 베스천 호스트는 라우팅 기능을 제공하지 않아 내/외부 네트워트 간 직접적인 연결을 막는다.

- 내/외부 통신 방법 (프록시, 사용자 로그인 방법)

 - 프록시 방법은 별도의 서버 필요하다. (WEB, WEB 프록시 서버, FTP, FTP 프록시 서버 등)

 - 사용자 로그인 방법은 사용자에게 듀얼 홈 게이트웨이 자체 시스템 로그인 허용하는 것이다.

 - 강화된 사용자 관리와 불필요한 서비스 제거, 불필요한 개발 도구와 명령어 및 유틸리티를 제거 해야하며, 로그인 정보및 서비스 사용 로그 기록 및 유지를 필수로 해야한다.

- 베스천 호스트, 스크리닝 라우터보다 안전한 구성이며, 설치 유지보수가 쉽다.

 

장점
- 내부 네트워크와 외부 네트워크 분리 되어 있어 보안이 보다 강화된다.

- 모든 트래픽 로그를 기록하여 감사 및 보안 분석에 유용하다.

- 설치 및 유지 보수가 쉽다.

 

단점

- 모든 트래픽의 로그를 기록하여 트래픽이 많을 경우 성능 저하 발생한다.

- 게이트웨이가 손상 및 로그인 정보 유출 시 내부 네트워크를 보호하지 못한다.

 

 

4. 스크린호스트 게이트웨이(Screened Host Gateway)

- 베스천 호스트와 스크리닝 라우터를 혼합하였다.

- 외부 네트워크와 베스천 호스트사이에 스크리닝 라우터, 스크리닝 라우터와 내부 네트워크 사이 베스천 호스트를 구축했다.

- 외부 트래픽은 스크리닝 라우터에서 패킷 필터링으로 1차 검증 후 프록시서버를 구동하는 베스천 호스트에 입력되어 2차 검증을 하고 2개 모두 검증되지 못할 경우 차단한다.

- 내부 트래픽은 외부 트래픽 역순으로 진행한다.

- 비인가된 변환 허용하면 안되며, 스크리닝 라우터는 라우팅 테이블은 베스천 호스트로 구성한다.

 

장점

- 두 단계의 필터링(베스천 호스트(7계층), 스크리닝 라우터(3계층))을 통해 베스천 호스트와 스크리닝 라우터보다 안전하다.

- 가장 많이 이용되는 방화벽 시스템이며, 융툥성이 좋다.

- 듀얼 홈 게이트웨이의 장점을 그대로 가져간다.

 

단점

- 2단계의 필터링으로 속도 지연 발생 가능하다.

- 공격자에 의해 라우팅 테이블이베스천 호스트에서 다른 걸로 변경될 시 방어 불가하다.

- 방화벽 구축 비용이 높다.

 

5. 스크린 서브넷 게이트웨이(Screened Subnet Gateway)

- 스크린 서브넷 게이트웨이는 외부 네트워크와 내부 네트워크 사이에 DMZ(Demiliteriaztion Zone)를 구성한다.

- 인터넷과 스크린 서브넷 그리고 내부 네트워크와 스크린 서브넷 사이에 각각 놓이며, 입출력 되는 패킷 트래픽을 패킷 필터 규칙을 이용하여 필터링한다.

- 스크린 서브넷에 설치된 베스천 호스트는 프록시서버를 이용하여 명확히 진입이허용되지 않은 모든 트래픽을 거절한다.

 

장점

- 스크린 호스트 게이트웨이 방화벽 시스템의 장점을 그대로 가진다.

- 융통성이 뛰어나다.

- 공격자들이 내부 네트워크를 공격하기 위해서는 검증할 것이 많아 침입이 어렵다.

- 강력한 보안성을 제공한다.

 

단점

- 다른 방화벽 시스템들 보다 설치하기 어렵고, 관리가 어렵다.

- 구축 비용이 많이 든다.

- 서비스 속도가 느리다.

 

 

결론

방화벽 구축 종류에 대해서는 아주아주 생소해서 찾아 보고 방화벽 제품을 판매하는 기업들 홈페이지와 테스트용 방화벽으로 테스트를 해보았는데 프록시 서버 관련해서는 만들기가 쉽지 않아 해보지 못하였다. 방화벽이 진짜 어려운 것 같다. 네트워크 자체가 어려운 것 같기도하다. 

 

 

참조   

https://m.blog.naver.com/wnrjsxo/221067532371