방화벽
방화벽(防火壁) 또는 파이어월(firewall)이란 외부 인터넷에서 내부 네트워크으로 부정한 액세스가 들어오는 것을 방지하기 위한 네트워크 장비이다.
개요
미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다. 방화벽은 일반적으로 신뢰할 수 있는 내부 네트워크, 신뢰할 수 없는 외부 네트워크간의 장벽을 구성한다. 서로 다른 네트워크를 지나는 데이터를 허용하거나 거부하거나 검열, 수정하는 하드웨어나 소프트웨어 장치이다.
역사
방화벽이라는 용어는 원래 건물 내 화재를 제한하기 위해 고안된 방벽을 의미했다. 나중에 이 용어는 1980년대 말 네트워크 기술에 적용되었는데, 전 세계적인 이용 및 연결 면에서 인터넷이 매우 새롭게 등장한 당시 등장하였다. 네트워크 보안을 위한 방화벽의 전신은 1980년대 말에 사용된 라우터였는데, 그 이유는 이들이 네트워크를 다른 네트워크와 분리시켰으므로 한 네트워크에서 다른 네트워크로 문제를 전파하는 것을 막아주었기 때문이다.
1세대 방화벽: 패킷 필터
- 패킷 필터링 방식은 OSI 7계층의 3계층(Network Layer)과 4계층(Transport Layer)에서 동작한다.
- IP/PORT 기반으로 미리 정의해둔 룰을 기반으로 패킷을 필터링 하며 내부 세션은 관리하지 않는다.
- 정책을 기반으로 하기에 느리고 우회접근, 패킷 헤더 조작, TCP 헤더의 데이터 영역을 확인하지 않기 때문에 바이러스에 감연된 메일에 취약하다.
- 이 방화벽은 특정한 IP를 허용 또는 거부하거나 특정한 포트를 허용 또는 거부하는 용도로 사용된다.
- FTP와 같이 파생 세션을 만드는 일부 프로토콜을 지원하기 위해 모든 포트를 다 열어야 될 수도 있다.
2세대 방화벽: 스테이트풀 익스펜션
- 패킷 필터의 단점을 해결하기 위해서 고안된 것이 패킷 단위의 검사가 아닌 세션 단위의 검사를 하는 스테이트풀 검사이다.
- 기본적인 스테이트풀 검사는 다양한 파생 세션을 모두 처리하지 못하는 경우가 있다.
- FTP의 능동적/수동적 데이터 세션 등 복잡한 파생 세션을 별도의 정책 추가 없이 모두 처리할 수 있는 확장된 스테이트풀 검사를 하는 방화벽도 있다.
3세대 방화벽: 애플리케이션 방화벽
- 패킷 필터 기반의 방화벽으로는 일상적인 트래픽과 같은 진화하는 공격 패턴을 방어하기 어려워지면서 패킷의 내용을 검사하고 더 나아가 애플리에키션에 어떤 영항을 미칠지를 분석하는 방화벽으로 출현하기 시작했다.
- IPS, 웹 방화벽(WAF), UTM 등으로 불리는 네트워크 장비들이 애플리케이션 방화벽이라고 할 수 있다.
다른 발전 방향으로는 IP 주소나 MAC 주소 같이 사용자가 기억하거나 이해하기 어려운 대상을 이용해서 방화벽 정책을 수립하던 과거의 방화벽과는 달리 새로운 방화벽들은 사용자에게 보다 친숙한 사람의 이름이나 도메인 주소를 이용해서 정책을 수립할 수 있게 하는 방화벽들도 속속 등장하고 있다.
웹 방화벽(WAF)
일반적인 네트워크 방화벽과 달리 웹 어플리케이션 보안을 위한 솔루션이며 HTTP 트래피글 검사하여 보호 대상 홈페이지 서버로 유입되는 해킹을 차단하는 정보 보호 시스템이다.
최근 웹 해킹으로부터 피해를 방지하기 위하여 홈페이지 서비스를 암호화하여 HTTPS로 서비스하는 홈페이지가 늘어나고 있다. 하지만 방화벽, IDS, IPS와 같은 솔루션들은 암화된 통신내용을 복호화 할 수 없어 웹 방화벽의 역할이 중요해지고 있다.
OSI 7 Layer의 애플리케이션 Layer에 위치하고 SQL Injection, XSS등 과 같은 웹 공격을 탐지하고 차단하는 것이다. 직접적인 웹 공격 대응 이 외에도, 정보유출 방지 솔루션, 웹 사이트 위변조방지 솔루션 등으로 활용이 가능하며 웹 방화벽 또한 방화벽과 같이 진화를 거듭해왔다.
1세대 웹 방화벽
- 블랙 & 화이트 리스트를 병행하는 방식으로 사용되었다.
- 관리자가 직접 생성 및 관리를 해야했고, 매우 큰 관리 부담으로 다가왔다.
- 공격유형이 다양해짐에 따라 등록된 시그니처의 수가 늘어나 성능이나 저하되는 문제도 발생한다.
2세대 웹 방화벽
- 보호 대상 웹 어플리케이션을 몇 주간의 모니터링을 통해 분석하여, 화이트리스트 생성을 자동으로 처리해준다.
- 관리자가 최종 검토 및 관리를 했기에 부담은 여전했다.
- 빠르게 변화는 웹 환경에 존재하는 다양한 웹 공격 유형을 파악하지 못했기에, 성능 저하 및 오탐 이슈를 피할 수 없었다.
3세대 웹 방화벽
- 웹 공격 유형별로 블랙리스트 탐지, 화이트리스트 탐지 및 웹 트래픽 컨텐츠 분석 등의 기업들을 결합하여 공격을 탐지하기에 오탐을 대폭 줄일 수 있다.
- 특정 공격 유형의 새로운 변종 공격의 경우 최소한의 시그니처 추가 만으로 변종 공격의 방어가 가능하다.
- 효율적인 관리가 가능하다.
필요성
- 인터넷의 이용이 보편화되고, 홈네트워킹, 모바일, 인터네 전화(VoIP) 등의 새로운 네트워크 인프라와 기술이 지속적으로 발전하고 있는 가운데 국내·외의 보안 침해사고가 점점 지능화, 다양화
- 과거의 단일 시스템을 대상으로 하는 공격에서 웹·바이러스, 스파이웨어처럼 네트워크 서비스 전체의 가용성을 침해하는 공격의 진화
- 외부로부터의 침입방지
- 내부로부터 나가는 네트워크의 IP주소 위장
기능
접근 통제
관리자가 방화벽에 통과시킬 접근과 그렇지 않은 접근을 명시하면, 방화벽은 이를 수행한다. 이러한 접근제어는 구현방법에 따라 두 가지로 나뉜다.
프록시 방식
- 세션에 포함되어 있는 정보의 유해성을 검사하기 위해서 방화벽에서 세션을 종료하고 새로운 세션을 형성하는 방식의 방화벽이며, 출발지에서 목적지로 가는 세션을 명시적으로 또는 암시적으로 가로채어서 출발지에서 방화벽까지의 세션과 방화벽에서 목적지깢지의 두 세션으로 만든 다음 하나의 세션으로 정보를 넘겨주기 전에 검사를 수행하는 형태이다.
패킷 필터링 방식
- 패킷을 다룬다는 측면에서 TCP/IP의 네트워크 계층에서 동작하는 방화벽이다. 방화벽 관리자는 보호할 네트워크에 적용할 규칙 또는 정책을 설정하여야 하고 설정 되어 있지 않다면 기본 정책이 적용된다. 흔히 커널 레벨에서 수행되고 프록시 방식에 비해 제한된 검사만을 수행하여 더 많은 트래픽을 처리할 수 있다는 장점이 있다.
로깅 및 감사 추적
접속 정보 기록, 네트워크 사용에 따른 통계정보를 남긴다.
네트워크 주소 변환
내부 네트워크에서 사용하는 IP 주소와 외부에 드러나는 주소를 유지할 수 있기 때문에 내부 네트워크에 대한 어느 정도의 보안 기능을 한다. 또한 내부에서 사용하는 IP 주소 수보다 더 적은 외부 IP 주소 수만 사용할 수 있기 때문에 인터넷 통신을 위해서 사용하는 모든 컴퓨터 수 만큼의 IP 주소를 구매할 필요가 없어져 경제적이다.
데이터 암호하
한 방화벽에서 다른 방화벽으로 데이터를 암호화해서 보낸다.
인증
다중 사용자 시스템 또는 망 운용 시스템에서, 시스템이 단말 로그인 정보를 확인하는 보안 절차이다.
메시지 인증
- 게이트웨이 투 게이트 웨이(Gateway-to-Gateway) 형태의 VPN 서비스를 제공
사용자 인증
- 게이트웨이 사용시 전송 패킷의 데이터 부분을 제어할 수 있기 때문에 사용자 인증 가능
클라이언트 인증
- 모바일 사용자를 비록한 특이한 형태의 사용자와 호스트는 IP Base로 제어가 불가능한 경우가 있는데, 이러한 경우 접속을 요구하는 호스트 자체의 인증이 가능
유형
패킷 필터링
OSI 3,4 계층, 네트워크계층(IP프로토콜)과 전송계층(TCP프로토콜)의 패킷을 필터링한다.
장점
- 다른 방식에 비해 처리속도가 빠름
- 낮은 Layer에서 동작하므로 기존 어플리케이션과 연동이 용이
- 사용자에게 투명한 서비스를 제공
단점
- TCP/IP 헤터는 조작이 쉬움
- 모든 트래픽이 내부/외부 네트워크와 직접 연결되어 변형된 정보가 직접적 영향 줄 수 있음.
- 패킷 헤더의 목적지 주소, 포트, 소스 등의 정보는 해석하지 않아 조작여부 판단 불가
- 강력한 로깅(Logging) 및 사용자 인증 기능 불가
- 트래픽의 접속제어방식과 접속량이 성능에 큰 영향 미침
어플리케이션 게이트웨이
OSI 모델 중 7계층, 어플리케이션 레이어에서 동작하며 서비스 별로 프록시 서버가 존재할 수 있어 프록시 게이트웨이라고도 한다. 프록시 서버가 트래픽 보안 검사를 실시한다.
장점
- 보안성 우수
- 매우 높은 보안정책 실현 및 바이러스 검사 등 부가기능 제공
- 프록시 서버를 활용하여 확정성이 우수
단점
- 속도가 느리며 일부 서비스의 투명도가 떨어짐
- 프록시 사용으로 새로운 서비스에 대한 유연성 부족
서킷 게이트웨이
OSI 5~7 계층으로 세션 ~ 어플리케이션 레이어에서 동작하고 외부에서 내부로 네트워크의 접근을 제어한다. 내부에서 외부로 네트워크 접속시 서킷 프록시 프로그램 설치하여 연결회선 형성이 필요하다.
장점
- 전용 게이트웨이가 아닌 하나의 일반 게이트웨이로 모든 서비스 처리가 가능함.
- 내부의 IP주소를 숨길 수 있음.
단점
- 게이트웨이의 사용을 위해 수정된 클라이언트 모듈이 필요함.
- 지원 불가능한 프로토콜의 존재 가능성 있음.
- 비표준 포트로 우회 접근해오는 접근에 대해서 방어를 못함.
하이브리드
패킷 필터링과 어플리케이션 게이트웨이의 편의성과 보안성이 합쳐진 방식이다.
장점
- 속도가 빠르고, 투명
- 보안 설정 수준이 높고 변경이 용이
단점
- 관리가 어렵고 복잡함.
형태
스크리닝 라우터
스크리닝 라우터는 IP 필터링 기능이 추가된 라우터를 이용해서, 들어오거나 나가는 패킷에 대한 접근을 제어하는 방법이며, 보통 스크리닝 라우터와 베스천 호스트를 함께 운영한다
장점
- 필터링 속도가 빠름
- 비용 절감
- 네트워크 계층에서 동작하므로 클라이언트와 서버에 변환가 없어도 됨
단점
- 패킷 필터링 규칙을 구성하여 검증하기 어려움
- 패닛 내의 데이터에 대한 공격을 차단하지 못함
베스션 호스트
베스션 호스트(Bastion host)는 중세 성곽의 가장 중요한 수비부분이라는 의미이며, 방화벽 시스템이 가지는 기능 중 가장 중요한 기능을 제공하고, 좀 더 정교한 네트워크 보안을 구현하기 위한 하나의 기본적인 모듈로써 이용된다.
장점
- 스크리닝 라우터 방식보다 안전
- 정보 지향적인 공격의 방어가 가능
- 각종 로깅 정보를 생성 및 관리하기 쉬움
단점
- 베스션 호스트가 손상되면 내부 네트워크를 보호할 수 없음.
- 로그인 정보가 누출되면 내부 네트워크를 보호할 수 없음.
듀얼 홈드 게이트웨이
듀얼 홈드 게이트웨이는 내부 네트워크와 외부 네트워크 사이에 시스템 위치하여 두 개의 네트워크 인터페이스를 가지면서 외부망과 내부망 사이의 IP 트래픽을 안전하게 차단하는 방식이다. 하나의 네트워크 인터페이스는 정보와 연결되고, 다른 하나는 사설 네트워크 호스트 컴퓨터와 연결된다.
장점
- 스크리닝 라우터 방식보다 안전
- 정보 지향적인 공격 방어
- 설치 및 유지 보수와 각종 기록 정보를 생성 및 관리하기 쉬움.
단점
- 제공되는 서비스가 증가할수록 프록시 소프트웨어 가격이 상승
- 로그인 정보 누출 시 네트워크 보호 힘듬.
스크린드 호스트 게이트
스크리닝 라우터와 베스션 호스트 두 개의 시스템을 결합한 형태이다. 침입자는 별개의 두 시스템을 침입해야 비로소 사설 네트워크 보안을 위협 할 수있다. 들어오는 트래픽은 오직 베스션 호스트만 접근 할 수 있게 하며, 내부 시스템으로의 접근을 차단한다.
장점
- 2단계 보안점검 기능
- 네트워크계층과 응용계층에서 방어
각주
참고자료
같이 보기