Firewall

• 권한이 부여 된 통신을 허용하면서 무단 액세스를 차단하도록 설계된 컴퓨터 시스템 또는 네트워크의 일부
• 규칙과 정책에 기반하여 네트워크 전송을 허용하거나 거부하도록 구성된다.
• 방화벽은 규칙이 올바르게 구성된 경우에만 안전하다.

방화벽 기능

1.접근 제어(Access Control)

• 통과시킬 접근과 그렇지 않은 접근을 결정하여 허용과 차단을 함
• 접근 제어 방식은 구현 방법에 따라 패킷 필터링 방식(라우터)과 프록시 방식(게이트웨이)으로 나뉨

2.로깅(Logging)과 감사 추적(Auditing)

• 허용 또는 거부된 접근에 대한 기록을 유지

3.인증(Authentication)

• 메시지 인증, 사용자 인증, 클라이언트 인증을 할 수 있음

4.데이터 암호화

• 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 보내는 것으로, 보통 VPN의 기능을 이용

방화벽 한계

1.바이러스를 막을 수 없음

• 방화벽은 패킷의 IP 주소와 포트 번호로 접근 제어를 하는 것이 보통이자만 좀 더 높은 수준의 접근 제어가 가능더라도 패킷의 데이터 내용 자체는 검사하지 않는 것이 보통이다. 그 이유는 방화벽은 보통 두 네트워크 사이에 존재하며, 높은 트래픽을 처리해야 하므로 데이터 내용까지 검사하면, 큰 오버헤드(overhead)가 발생하고 네트워크 대역폭에 큰 손실을 가져오기 때문이다.

2.방화벽은 자신을 통과하지 않은 통신에 대한 제어가 불가능

• 내부 사용자가 방화벽을 통과하는 통신 선로가 아닌 무선이나 사설 통신 선로를 이용해 통신을 한다면, 공격자는 방화벽을 우회하여 내부 네트워크로 접속할 수 있음
• 내부 사용자 역시 방화벽을 우회하여 외부로 허용되지 않은 접속을 시도할 수 있음

3.방화벽은 전혀 새로운 형태의 공격을 막을 수 없음

-방화벽은 예측된 접속에 대한 규칙을 세우고 이에 대해서만 방어하기 때문에 새로운 형태의 공격에는 능동적으로 적용할 수 없음 -실제로 많은 해킹 공격이 방화벽을 우회하거나 통과하는 데 성공하여 공격을 실행하므로 보안의 완성은 절대 아님

Firewall Rules

• (s_ip, s_port, d_ip, d_port, protocol, action, interface) 로 인풋이 들어온다.
• 이 들어온 인풋값에서 필터링을 하여 방화벽이 작동된다.

Stateless Firewall v.s Stateful Firewall

• Stateless 는 http와 같이 이전의 상태를 기록하지 않는 접속이다 반면 Stateful은 보통의 게임과 같이 상태를 기억하고 있는것이다.
• 이제 방화벽에서 생각을 하면, stateful은 요청 정보(내부 외부로 접속하는 접속에 대한 정보,syn)을 저장하여, 외부로 부터 내부로 오는 응답 ( syn-ack )을 받을 때 syn와 비교하여 통과 여부를 결정 하는 방식
• 반면 stateless는 요청과 응답에 대해서 다 검사를 해야하며 응답에 대해서는 tcp 헤더를 확인해야 되는 과정이 추가되어 고속처리가 힘들다.

Firewall 구조

1. 스크리닝 라우터

패킷필터링 방식의 방화벽

• IP/ TCP/ UDP의 헤더 부분만 분석 -> 네트워크 계층에서만 동작, 속도 下
• 상위계층 방어X, 로깅관리 X

2. 배스천 호스트

방화벽이 설치된 호스트(로깅, 프록시, 방화벽 기능)

• 방화벽 역할을 수행하는 서버로 유닉스 워크스테이션이나 윈도우 NT서버가 이해 해당
• 인터넷 등의 외부 네트워크와 내부 네트워크를 연결해 주는 방화벽 시스템 역할을 수행
• 접근 제어와 인증 및 로그 기능을 제공
• 베스천 호스트가 손상되거나 로그인 정보가 누출되면 내부 네트워크를 보호할 수 없다.
• 2계층 공격 우회 가능

3. 듀얼 홈드 호스트

배스천 호스트에 랜카드 2개를 설치 (내부용, 외부용)

• 베스천 호스트에서 IP 패킷 필터링X -> 프록시 기능부여
• 패킷 외부망과 내부망 간에 직접 통신 X
• 보안성 上, 투명성 下

4.스크린드 호스트

• 배스천 호스트 + 스크린 라우터 라고 보면 됨
• 네트워크 & 응용계층에서 방어 => 보안성, 융통성 上
• 스크리닝 라우터의 라우팅 테이블만 변경되면 방어할 수 없음

5.스크린된 서브넷

• 외부 네트워크와 내부 네트워크 사이에 서브넷(subnet)이라는 완충지대를 두는 것
• 방화벽도 서브넷에 위치하며 주로 프록시가 설치됨
• 다른 방화벽의 장점을 모두 갖추고 있으며 융통성이 아주 뛰어남
• 해커가 침입하려면 통과할 것이 많아 상당히 안전한 편
• 다른 방화벽보다 설치와 관리가 어렵고, 서비스 속도가 느리며, 비용도 만만치 않음
• 이중 홈 게이트웨이에 적용할 경우 단일 홈 게이트웨이를 쓴 경우보다는 빠르며 좀 더 강력한 보안 정책을 실행할 수 있음

방화벽 유형

패킷 필터링

OSI 7 Layer에서 Layer3(네트워크계층)과 Layer4(전송계층)단에서 패킷이 헤더를 검사하여 출발지 및 목적지 IP 주소 정보, 각 서비스에 port 번호를 이용해 접속제어를 하는 방화벽입니다. 처리속도가 빠르며 적용 및 운용이 쉽습니다. 하지만 TCP/IP 프로토콜의 구조적인 문제 때문에 TCP/IP 패킷의 헤더는 쉽게 조작 가능하고 ftp, mail에 바이러스가 감염된 파일 전송시 위험한 Data에 대한 분석이 불가능합니다. 또 접속제어 규칙의 갯수 및 접속제어 규칙 순서에 따라 방화벽에 부하를 많이 줄 수 있습니다.

애플리케이션 게이트웨이 방식

이 방식은 OSI 7계층 모델중 **애플리케이션(Application)**계층까지 동작하며 지나가는 패킷의 헤더(Header)안의 Data 영역까지도 체크하여 통제한다.

해당 서비스별로 프락시(Proxy)라는 통신 중계용 데몬이 구동되어 각 서비스 요청에 대하여 방화벽이 접근규칙을 적용하고 연결을 대신하는 역할을 수행한다. 외부 시스템과 내부 시스템은 방화벽의 프락시(Proxy)를 통해서만 연결이 허용되고, 직접 연결(IP Connection)은 허용되지 않기 때문에 외부에 대한 내부망의 완벽한 경계선 방어 및 내부의 IP 주소를 숨길 수 있다. 즉, 패킷 필터링(Packet Filtering) 기능의 방화벽보다 보안성이 뛰어납니다. 또한 다른 방화벽에 비해서 강력한 로깅(Logging) 및 감사(Audit) 기능을 제공하며, 프락시의 특성인 프로토콜 및 데이터 전달기능을 이용하여 사용자 인증이나 바이러스 검색기능과 같은 부가적인 서비스를 지원합니다.

단점으로는 트래픽이 OSI 7계층에서 처리되기 때문에 다른 방식과 비교해서 방화벽의 성능이 떨어지며, 또한 일부 서비스에 대해서는 사용자에게 투명한 서비스를 제공하기 어렵다. 방화벽에서 새로운 서비스를 제공하기 위해서 새로운 프락시(Proxy) 데몬이 추가적으로 필요하기 때문에. 새로운 서비스에 대한 유연성이 떨어진다. 또한 방화벽이 손상되거나 그 권한을 빼았기면 더이상 보호할 수 없고, 2계층 공격 등을 통해 방화벽을 우회할 수 있다.

서킷 게이트웨이

서킷 게이트웨이(Circult Gateway) 방식은 OSI 7계층 구조에서 세션 계층(Session Layer)에서 어플리케이션 계층(Application Layer) 사이에서 접근제어(Access Control)를 실시하는 방화벽을 지칭한다.

어플리케이션 게이트웨이(Application Gateway)와는 달리 각 서비스별로 프락시(Proxy)가 존재하는 것이 아니고, 어느 서비스 프로토콜도 이용할 수 있는 일반적인 대표 프락시를 이용한다.

서킷 게이트웨이(Circult Gateway) 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 사용자측 PC에 방화벽에 위치한 대표 프락시와 통신하기 위한 수정된 클라이언트 프로그램이 필요하다.

클라이언트 프로그램은 모든 통신에 앞서 방화벽에 있는 프락시와 연결을 맺고 안전한 통신채널인 서킷(Circult)을 구성한 후 이 서킷(Circult)을 통해 내부 시스템과 통신을 한다.

이 방식은 내부의 IP 주소를 숨길 수 있으며, 수정된 클라이언트 프로그램이 설치된 사용자에게 별도의 인증절차 없이 투명한 서비스를 제공할 수 있다는 것이다.

단점으로는 방화벽에 접속을 위해서 서킷 게이트웨이를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하므로 사용자들에게 프로그램을 배포해야 하거나 사용중인 응용프로그램을 수정해야 하는 번거로움이 있다.

Stateful Inspection

Stateful Inspection은 1세대의 Packet filtering 방식과 2세대의 Application Gateway 방식의 장점을 혼합한 3세대 방화벽 기술

네트워크 계층(Network Layer)에서 패킷을 처리하면서도 프로토콜의 상태정보 테이블을 유지하여, 프로토콜 특성에 따른 변화를 동적으로 대응해 주는 기능으로 최근 거의 모든 방화벽 시스템에서 사용되고 있다.

하나의 서비스에 대한 접근규칙(Access Rule)을 생성할 때에 되돌아나가는 Flow에 대한 또 다른 접근규칙을 설정할 필요가 없다는 것이다. 패킷 필터링의 경우 내부 서버에 대한 허용을 위해 들어오는 방향(Incoming)에 대한 접근규칙을 설정하였다면 되돌아나가는 응답(Outgoing)에 대하여도 별도의 접근규칙이 필요하다. 하지만 스테이트풀 인스펙션(Stateful Inspection) 에서는 서비스에 대한 특성 및 통신상태를 관리할 수 있기 때문에 돌아나가는 패킷에 대해서는 동적으로 접근규칙을 자동생성한다. 하지만 데이터 내부에 악의적인 정보를 포함할 수 있는 프로토콜에 대한 대응이 어렵다.

방화벽 취약점

1. 디도스, 도스에 취약함

• 작은 패킷, 프래그먼트 패킷
• 해결방법: 방화벽을 로드 밸런싱, 네트워크 백업, 업그레이드 한다.
• 안티 디도스 장비를 사용한다

2. Well-known weakness

• 웹쉘 백도어 컨트롤
• P2P
• 웹하드

DMZ

• 조직의 내부 네트워크와 외부네트워크 사이에 위치 한 서브넷이다.
• 내부 네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용하면서도, DMZ 내의 컴퓨터는 오직 외부 네트워크에만 연결가능하다.
• 따라서 내부 네트워크로 불법적 연결을 시도하는 외부 네트워크가 있다면, DMZ가 막다른 골목이 된다.
• 전자 메일, DNS, 웹용 서버는 데이터 베이스와 같은 중요한 서버와 분리되도록 DMZ에 있어야한다