Transcript 방화벽Firewall
FIREWALL(방화벽) 발표자 : 정보통신연구실 순서 • • • • • • 방화벽의 개념 방화벽의 구성요소 방화벽의 구조 방화벽의 장점/고려사항 방화벽의 한계와 해결책 방화벽의 미래 방화벽의 개념 • 외부 네트웍과 사설망의 경계에 패킷필터링을 수행하는 라우터나 응용게이트웨이를두어 모든정보의 흐름을 제어 • “명백히 허용되지 않는것은 금지” 라는 적극적 방어대책이다. LAN FIREWALL SYSTEM Secure Insecure ÀÎÅÍ³Ý ±â°ü ³×Æ®¿öÅ© Security Policy 방화벽의 구성요소 • OSI 모델과 관련 시스템이 동작하는 프로토콜 계층에따라 분류 • 스크리닝 라우터 – Network layer 와 Transport layer에서 패킷필터링을 수행 • 응용 게이트웨이 – Application layer에서 패킷필터링과 인증기능을 수행 • • • • • Screening Router Bastion host Dual-homed gateway Screened host gateway Screened subnet gateway Screening Router • • • IP,TCP,UDP의 헤더부분에 포함된내용을 분석해서 동작한다 내부네트웍과 외부네트웍사이의 패킷트래픽의 진입허가/거절을 행하는 라우터이다 장점 – 필터링 속도가 빠르고 비용이 적게든다 – 네트웍계층에서 동작하므로 클라이언트/서버의 변화가 없어도 된다 • 단점 – 상위 계층에 대한 공격은 방어할수 없다 – 패킷에 대한 LOG를 관리하기가 힘들다 – 패킷내의 데이타에대한 공격을 차단하지 못한다 °³ÀÎ ³×Æ®¿öÅ© ÀÏ¹Ý ÀÎÅÍ³Ý ½ºÆ®¸° ¶ó¿ìÅÍ Bastion host • • • • 내부 네트웍의 전면에서 내부네트웍 전체의 보안을 책임 외부 인터넷과 내부네트웍을 연결하는 라우터 뒤에위치 접근제어/인증/로그/Proxy server 철치 등의 기능을 담당 일반사용자의 계정은 만들지 말고 침입 대상이 될만한 어떠한조 건도 두지 않는 시스템으로 운영되야한다 Dual-homed Hosts • • • • • 호스트 자신이 필터링 하는 라우터의 역할도하고 Proxy역할도 한다 두개의 네트웍 인터페이스를 가진 Bastion host 양네트웍간의 라우팅이 존재하지 않으므로 직접적인 접근은 불가 외부와 내부 네트웍간의 유일한 경로를 제공하며 동적경로배정을 배제 하므로 불법적인 트래픽유입을 막아준다 장점 – 일원화에의해 패킷필터링을 처리한다 • 단점 – 심각한 트래픽 문제점이 발생 – 외부 사용자가 접속이나 공격에 성공할경우 무방비 상태에 빠짐 Dual - Homed Host Dual-Homed Host (Proxy Server) Screened host gateway • 내트웍간의 경로 – 외부네트웍 - 스크린라우터 - 스크린호스트 - 내부네트웍 • Bastion host와 Dual-homed host의 결합시스템 • 장점 – – – – 2단계 방어로 매우 안전하다 네트웍계층과 응용계층에서 방어하기때문에 공격이 어렵다 Dual homed gateway의 장점을 그대로 가진다 Screening을 먼저 해주기 때문에 Bastion에 걸리는 노드수가 감소 • 단점 – 해커에의해 스크리닝 라우터의 라우팅 테이블이 변경되면 방어가어 렵다 Screened host gateway ÆÐŶ Screen Router Bastion Host Screened subnet gateway • • 격리된 네트웍을 통하여 신뢰할수 없는 네트웍과 내부네트웍간의 트래픽을 통제 Bastion을 중간에 놓고 외부라우터 외에 내부로 들어가는 라우터를 배치하여 내부 라우터에의해 다시 방어가 되도록 한것이다 External Router Bastion Host DMZ Internal Router Application level gateway • proxy server기능을 제공 ,proxy를 통해서만 데이터를 교환한다 User Keystrokes Application Output Forwarded TELNET Application Gateway User Authentication Keystrokes Forwarded Remote Telnet Application Output Connection Logs 방화벽의 구조 • firewall로서의 Dual homed host • Bastion host 구성 – – – – – – 간단한 배치 스크리닝 라우터를 이용한 Bastion host IAP를 이용한 스크린 호스트 게이트웨이 스크리닝 라우터에 라우팅 테이블을 이용한구조 두개의 네트웍 인터페이스로 구성된 Bastion host 두개의 Bastion host와 두개의 DMZ 사용 • Screened subnet 구성 – 스크리닝 라우터를 이용한 스크린 서브넷 – 한 개의 Bastion host를 이용한 스크린 서브넷 – 두개의 Bastion host를 이용한 스크린 서브넷 • Application level gateway 구성 Store & Forward 서비스를 적용한 Dual-homed host • 하나의 네트웍에서 다른 네트웍으로 응용서비스를 전송하도록 구성 Dual-Homed Host ÀÀ¿ë Àü¼ÛÀÚ ³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º »ç¿ëÀÚ´Â ÀÀ¿ë Àü¼ÛÀÚ¸¦ ÅëÇÏ ¿© ¼ºñ½º¸¦ ¾ò´Â´Ù. ³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º ÀÎÅÍ³Ý ³»ºÎ ³×Æ®¿öÅ© Bastion host의 간단한 배치 • Bastion host는 외부의 신뢰성 없는 네트웍에대한 인터페이스점으 로서 동작하므로 자주 침입받기 쉬우므로 외부 네트웍경로의 입 구에 배치한다 ³»ºÎ ³×Æ®¿öÅ© Bastion Host ÀÎÅÍ³Ý ¿ÜºÎ ½Å·ÚÇÒ ¼ö ¾ø´Â È£½ºÆ® Screening router를 이용한 Bastion host • 최전방 방어선으로 스크리닝 라우터를 이용 • 스크린드 호스트 게이트웨이라고 칭한다 ÀÎÅÍ³Ý Screen Router ³»ºÎ ³×Æ®¿öÅ© Bastion Host IAP를 이용한 스크린 호스트 게이트웨이 • 패킷필터 규칙을 제공받기위해 Internet Access Provider 를 이용 • 패킷 필터는 스크리닝 라우터에 동작 ÀÎÅÍ³Ý ÀÎÅÍ³Ý Á¢±Ù Á¦°øÀÚ Bastion Host ³×ºÎ ³×Æ®¿öÅ© 스크리닝 라우터에 라우팅 테이블을 이용한 구조 • 라우팅 테이블은 외부 트래픽이 지정된 Bastion host로 보내지도록 구성 • 라우팅 테이블은 불법적인 변경으로부터 보호되야한다 ÀÎÅÍ³Ý Routing Table in Screen Router ¸ñÀûÁö Àü¼Ûó¸® ÀÎÅÍÆäÀ̽º 199.245.180.0 199.245.180.10 ÀÎÅÍ³Ý ³×Æ®¿öÅ© = 199.245.180.0 Bastion Host 199.245.180.10 두개의 네트웍 인터페이스로 구성된Bastion host • 스크리닝 사이에 완충지대를 두는 구조 • 스크리닝 라우터의 포트는 네트웍의 내.외부에 각각 접속 ¿ÜºÎ ³×Æ®¿öÅ© ÀÎÅÍ³Ý Screen Router DMZ ³»ºÎ ³×Æ®¿öÅ© ¾Æ¿ô»çÀÌÆ® ³×Å©¿öÅ© Bastion Host ÀλçÀÌµå ³×Æ®¿öÅ© 두개의 Bastion host와 두개의 DMZ사용 ¿ÜºÎ ³×Æ®¿öÅ© ÀÎÅÍ³Ý Screen Router ¾Æ¿ô»çÀ̵å DMZ ³»ºÎ ³×Æ®¿öÅ© ¾Æ¿ô»çÀÌÆ® ³×Å©¿öÅ© ¾Æ¿ô»çÀ̵å Bastion Host ÀλçÀ̵åDMZ ÀλçÀ̵å Bastion Host °³º° ³×Æ®¿öÅ© ÀλçÀÌµå ³×Æ®¿öÅ© 한 개의 Bastion host를 갖는 스크린 서브넷 ÀÎÅÍ³Ý ³»ºÎ ³×Æ®¿öÅ© Screen Router Screen Router Bastion Host ½ºÅ©¸° ¼ºê³Ý 두개의 Bastion host를 갖는 스크린 서브넷 ÀÎÅÍ³Ý ³»ºÎ ³×Æ®¿öÅ© Screen Router Screen Router Bastion Host Bastion Host ½ºÅ©¸° ¼ºê³Ý Application level gateway Àü¼Û ¿ä±¸ Server Proxy Client ÀÀ´ä Proxy Application Proxy Server ¿ä±¸ Client ÀÀ´ä Àü¼Û FIREWALL 의 장점 • • • • Access control Concentration of security Extended privacy Presentation of login& statistic doc Firewall 의 한계와 해결책 • checkpoint가 많은 네트웍이라면 그 연결점마 다 firewall 이 설치되야 한다 • 바이러스에 감염된 파일의 전송등의 데이터손 상을 목적으로 하는 공격은 막을수 없다 • 제한없이 다이얼-아웃 이 허용된다면 내부 사 용자들이 외부 호스트에 다이얼하여 전체 네트 웍에 공격을 받게되는 위험은 피할수 없다