Network - Firewall

Firewall

 각 호스트들은 내부 네트워크를 ISP에 연결해 공중 인터넷에 접속하기 위한 라우터(=게이트웨이)를 가져요. 방화벽은  네트워크 사이(푸라치나 집 네트워크 <-> 동방 네트워크, 학교 네트워크 <-> 인터넷)를 분리하여 넘나드는(出入りする) 패킷을 네트워크 관리자가 미리 정한 규칙에 기반해 차단하거나 보내는(필터링하는) 소프트웨어예요. 네트워크에서 보안을 높이기 위한 1차적인 방법이죠.

방화벽의 기능

1. 접근 제어

 정책에 따라 필터링하기 위한 검사

입증된 패킷이 아니면 모두 차단하는데 과도한 트래픽으로 과부화된 방화벽은 이후의 패킷을 모두 차단 - DoS 공격과 같은 결과 초래

2. 로깅 및 추적

 필터링된 패킷에 대한 정보를 로그 파일에 기록

의심스러운 이벤트 발생 시 네트워크 관리자가 자세한 정보를 추적할 수 있도록 함

3. 사용자 인증

 패스워드 시스템의 취약점을 방지하기 위해 스마트카드나 인증 토큰 등 강력한 인증 기법이 제시되고 있음

4. 데이터 암호화

 방화벽에서 다른 방화벽까지 전송되는 데이터 및 중요한 트래픽의 암호화, 이로 인해 침입자에게 노출되어도 1차적인 비밀성 보장 가능

방화벽의 종류

1. Packet Filtering - 패킷 필터링

 단순히 IP 주소와 포트 번호를 이용해 패킷을 필터링하는 방식이에요. OSI 7 계층 중 3, 4(네트워크, 전송) 계층에서만 동작하죠.

이는 높은 레벨의 방화벽에 비해 처리 속도가 빠르죠.

그러나 정책이 많을수록 딜레이가 생기고 데이터 내부는 확인하지 않기에 바이러스에 감염된 메일 및 첨부파일 등은 차단할 수 없어요. 그리고 사용자 인증 기능이 없어서 사용자 단위로 필터링할 수 없어요.

 대표적으로 받는 공격은 IP Address spoofing(패킷 위조), Source Routing Attack(출발지의 IP 주소를 변경해 접근, 라우팅 옵션), Packet Fragmentation Attack(헤더 데이터를 작게 쪼개서 방화벽이 판단할 수 있을 만큼의 정보를 제공하지 않음)이 있어요.

2. Application Gateway - 응용 게이트웨이

 별도의 게이트웨이를 통해 응용 계층까지 검사해 필터링하는 방식이에요. 외부 네트워크와 내부 네트워크는 방화벽의 프록시를 통해서만 연결이 허용해요.

직접 연결을 허용하지 않기에 내부망의 완벽한 분리 및 방어가 가능하고 내부 IP 주소를 숨길 수 있죠. 그리고 프록시를 사용해 보안성이 위의 패킷 필터링 방식보다 뛰어나고 패킷의 데이터 부분까지 제어 가능하고 사용자 인증도 할 수 있죠.

그러나 서비스마다 프록시 데몬이 구동되어야 하고 응용 계층 분석과 중계에 비용(컴퓨팅 능력)이 많이 들어 통신 성능이 저하되죠.

3. Stateful Inspection - 상태 기반 감시

 출발지 IP 주소, 출발지 포트 번호, 목적지 IP 주소, 목적지 포트 번호 등의 상태로 테이블을 만들고 같은 상태를 갖는 패킷을 그룹핑해요. 이런 연결 상태를 추적하고 정상 상태에서 벗어난 패킷을 차단하죠. 현재 방화벽 업계의 표준이라고 하네요.

이런 패킷 필터링보다 신뢰성이 높으며 정교한 방어가 가능해요.

그러나 상태 정보 테이블을 관리 및 비교해야해서 성능이 떨어져요.

4. Circuit Gateway - 회선 게이트웨이

 Transport Proxy라고도 하는데 외부 사용자, 게이트웨이, 내부 응용 서버 간의 연결을 통해 트래픽을 중계해요. 단, 응용 게이트웨이처럼 응용 계층까지 조사하진 않죠. 덕분에 응용 게이트웨이보다 빠르며 직접 연결을 하지 않기에 패킷 필터링보다 안전하죠.

5. Hybrid

 여러 유형의 방화벽을 경우에 따라 복합적으로 구성할 수 있는 대신 서비스의 종류에 따라 다양한 보안 정책을 부여해야 하므로 구축과 관리에 어려움이 있어요.