방화벽시스템의 기본 구성 요소
로빈아빠
본문
방화벽시스템에 대한 각종 토론이 이루어지는 그룹에서는 방화벽시스템에 대
한 일반적인 용어 정의 및 개념을 설명하고 있다. 방화벽시스템이 가지는 여러가
지 기능과 보안 대처 수준에 따라 여러가지 종류의 방화벽시스템이 존재할 수 있
으나, 여기서는 일반적인 방화벽시스템의 구성요소를 소개한다. 이는 방화벽시스
템 개발자, 운영자 및 컨설트업체들이 거의 동의하고 있는 개념이다.
1)네트워크 정책(Network Policy)
방화벽 시스템의 설계, 설치, 사용에 직접적으로 영향을 줄 수 있는 두가지
레벨의 네트워크 정책이 있다. 하이레벨 정책은 명확한 이슈 즉, 제한된 네트워크
로부터 서비스를 허락할 것인가 또는 명확히 거부할 것인가를 정의하는 네트워크
액세스 정책이다. 이러한 서비스들을 어떻게 사용할 것인가, 그리고 이러한 정책
의 예외 조건등이 하이레벨 정책에 속한다. 로우레벨 정책은 어떻게 방화벽이 실
질적으로 액세스를 제한하고 하이레벨 정책에서 정의한 서비스를 필터링 할 것인
가에 대한 사항이다.
2)방화벽시스템의 사용자인증 시스템(Advanced Authentication)
방화벽시스템은 한 기관의 네트워크 전체를 보호해야 하므로 일반적으로 유
닉스시스템에서 사용되는 단순한 패스워드 기법으로 사용자를 인증하는 방법을
사용하지는 않는다. 우수한 인증수단으로는 스마트 카드, 어탠디케이션 토큰
(Authentication tokens), 바이오메트릭스(Biometrics) 그리고 소프트웨어 메카니
즘 등을 사용한다. 현재 많이 사용하고 있는 우수한 인증시스템으로는 일회용패
스워드(One Time Passwd)시스템이 있다. 매번 사용자가 로그인을 시도할 때 마
다 매번 새로운 패스워드를 이용하는 것인데, 이는 침입자들이 최근 이용하고 있
는 스니퍼(sniffer)에 의한 패킷가로채기를 통해 시스템의 사용자ID와 패스워드를
알아내서 침입하는 것을 근본적으로 막아주게 된다.
3)패킷 필터링
IP 패킷 필터링(Packet Filtering)은 통상 라우터 인터페이스를 지나는 패킷을
필터링을 하기 위해 설계된 패킷 필터링 라우터(packet filtering router)를 사용하
여 행해진다. 패킷 필터링 라우터는 IP 패킷중 다음의 전부 또는 일부를 필터링
할 수 있다.
- source IP address
- destination IP address
- TCP/IP source port
- TCP/IP destination port
모든 패킷 필터링 라우터가 소스 TCP/IP 포트를 필터링하지는 않는다. 그러
나 많은 제조회사들이 이러한 능력을 증가시키고 있다. 대부분은 아니지만 유닉
스 호스트도 패킷 필터링 기능을 제공한다.
4)응용계층 게이트웨이(Application Level Gateway)
응용계층서비스들은 중간전달(Store-and-Forward)방법을 쓰는 경우가 많은
데, 이는 게이트웨이에서 수행할 방법과 그대로 맞아떨어지게 된다. 게이트웨이는
송신자 응용서비스가 보내는 각종 정보를 그대로 전달하면 되는 것이다. 이 게이
트웨이에서는 보안을 위한 특별한 서비스가 제공된다. 예를 들어 내부와 외부간
의 모든 응용수준의 트래픽에 대해 로그기록이나, 텔네트(Telnet)나 FTP 등에서
사용자 인증을 할 경우 보다 우수한 방법을 사용한 변경된 인증방법을 이용한다
든가 하는 것이다. 이 응용계층의 게이트웨이 기능은 가상서버(Proxy Server)라
는 인터네트의 클라이언트/서버 개념에서 나온 서버 기능을 제공하게 된다. 예를
들어 외부의 전자우편클라이언트가 내부의 어떤 호스트내 전자우편 서버와 접속
맺기를 원한다면 중간에 가상서버가 이를 받아 다시 내부의 서버에게 전달하는
방식이 된다.
5)스크린 라우터(Screen Router)
어떤 기관이 인터네트에 접속할 경우 대부분 라우터(Router)를 거친다. 이는
인터네트 패킷을 전달하고 경로배정(Routing)을 담당하는 장비다. 라우터는 단순
장비가 아니라면 패킷의 헤더 내용을 보고 필터링(스크린)할 수 있는 능력을 가
지고 있다. 네트워크 수준의 IP(Internet Protocol) 데이터그램에서는 출발지 주소
및 목적지 주소에 의한 스크린, TCP(Transmission Control Protocol) 수준의 패
킷에서는 네트워크응용을 판단케해주는 포트(Port) 번호에 의해 스크린, 프로토
콜별 스크린 등의 기능을 제공하게 된다. 이 스크린 라우터만을 가지고도 어느
정도 수준의 보안 접근제어를 통해 방화벽시스템 환경을 구현할 수 있다. 그러나
라우터에서 구현된 펌웨어의 수준으로는 제한점이 많고 복잡한 정책을 구현하기
어려우므로 보통 스크린 라우터와 다음에서 설명하는 베스쳔 호스트를 함께 운영
한다.
6)베스쳔 호스트
베스쳔 호스트(Bastion Hosts)는 방화벽시스템이 가지는 기능 중 가장 중요
한 기능을 제공하게 된다. 원래 베스쳔(Bastion)은 중세 성곽의 가장 중요한 수비
부분을 의미하는데, 방화벽시스템 관리자가 중점 관리하게될 시스템이 된다. 그
래서 방화벽시스템의 중요 기능으로 접근 제어 및 응용시스템 게이트웨이로서 가
상서버(Proxy Server)의 설치, 인증, 로그 등을 담당하게 된다. 그러므로 호스트
는 외부의 침입자가 주로 노리는 시스템이 된다. 따라서 일반 사용자의 게정을
만들지 않고 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완벽한 시스템으로
서 운영되어야 한다. 보통 판매되는 방화벽시스템은 이러한 베스쳔호스트를 제공
하는 것이라고 보면 된다.
7)이중 네트워크 호스트(Dual-Homed Hosts)
복수네트워크호스트는 2개 이상의 네트워크에 동시에 접속된 호스트를 말하
며 보통 게이트웨이 호스트라고 말하는 시스템이 된다. 2개의 네트워크, 즉 외부
네트워크와 내부 네트워크를 의미하고 외부 네트워크와 내부 네트워크간의 유일
한 패스를 제공하도록 조정된다. 즉 동적인 경로 배정과 경로 정보전달을 배제하
므로 모든 내.외부 트래픽은 이 호스트를 통과하도록 하여 베스쳔호스트의 기능
을 여기에 구현하면 되는 것이다.
8)스크린 호스트 게이트웨이(Screen Host Gateway)
스크린호스트게이트웨이 개념은 이 시스템을 내부 네트워크에 두어 스크린라
우터가 내부로 들어가는 모든 트래픽을 전부 스크린호스트에게만 전달되도록 하
겠다는 것이다. 또한 스크린라우터는 내부에서 외부로 가는 모든 트래픽에 대해
서도 스크린호스트에서 출발한 트래픽만 허용하고 나머지는 거부하게 된다. 그
래서 내부와 내부 네트워크사이의 경로는 '외부네트워크 - 스크린라우터 - 스크
린호스트 - 내부네트워크' 이외의 경로는 결코 허용하지 않게된다. 이 스크린호
스트도 결국 베스쳔호스트, 이중네 트워크호스트의 개념이 집합된 시스템이다.
9)스크린 서브네트
스크린 서브네트(Screen Subnet)는 일명 DMZ(DeMiliterization Zone)의 역할
을 외부 네트워크와 내부 네트워크 사이에 두겠다는 것으로 완충지역 개념의 서
브네트를 운영하는 것이다. 여기에 스크린 라우터를 이용하여 이 완충지역을 곧
장 통과 못하게 하지만 외부네트워크에서도 내부 네트워크에서도 이 스크린 서브
네트에 접근할 수는 있다. 어떤 기관에서 외부로 공개할 정보서버(Information
Server), 즉 익명 FTP서버, 고퍼(Gopher) 서버, 월드와이드웹(WWW)서버 등을
여기에 운영하면 된다.
10)암호 장비
암호장비(Encryption Devices)는 어떤 기관의 네트워크가 공공의 인터네트를
통해 여러 지역으로 분산되어 있을 경우 적당하다. 본사 네트워크가 방화벽 시스
템을 구축하였을 때 지역적으로 떨어진 지점 네트워크도 본사 네트워크처럼 보호
되어야하는 것이다. 이 경우 본사와 지점 네트워크 간이 인터네트로 연결되었다
면 안전을 보장하기 어려우므로 두 지점사이를 암호장비를 이용하여 가상 사설링
크(VPL, Virtual Private Link)로 만들어 운영하면 된다. 그러므로서 두개의 네트
워크는 하나의 안전한 네트워크로 만드는 것이다. 종단간 암호 방식은 데이터나
패스워드 등이 도청되는 것을 막는 방식을 원하는 사설백본(Private Backbone),
즉 여러 인터네트 접속점을 가진 기관에서 유용할 것이다.
한 일반적인 용어 정의 및 개념을 설명하고 있다. 방화벽시스템이 가지는 여러가
지 기능과 보안 대처 수준에 따라 여러가지 종류의 방화벽시스템이 존재할 수 있
으나, 여기서는 일반적인 방화벽시스템의 구성요소를 소개한다. 이는 방화벽시스
템 개발자, 운영자 및 컨설트업체들이 거의 동의하고 있는 개념이다.
1)네트워크 정책(Network Policy)
방화벽 시스템의 설계, 설치, 사용에 직접적으로 영향을 줄 수 있는 두가지
레벨의 네트워크 정책이 있다. 하이레벨 정책은 명확한 이슈 즉, 제한된 네트워크
로부터 서비스를 허락할 것인가 또는 명확히 거부할 것인가를 정의하는 네트워크
액세스 정책이다. 이러한 서비스들을 어떻게 사용할 것인가, 그리고 이러한 정책
의 예외 조건등이 하이레벨 정책에 속한다. 로우레벨 정책은 어떻게 방화벽이 실
질적으로 액세스를 제한하고 하이레벨 정책에서 정의한 서비스를 필터링 할 것인
가에 대한 사항이다.
2)방화벽시스템의 사용자인증 시스템(Advanced Authentication)
방화벽시스템은 한 기관의 네트워크 전체를 보호해야 하므로 일반적으로 유
닉스시스템에서 사용되는 단순한 패스워드 기법으로 사용자를 인증하는 방법을
사용하지는 않는다. 우수한 인증수단으로는 스마트 카드, 어탠디케이션 토큰
(Authentication tokens), 바이오메트릭스(Biometrics) 그리고 소프트웨어 메카니
즘 등을 사용한다. 현재 많이 사용하고 있는 우수한 인증시스템으로는 일회용패
스워드(One Time Passwd)시스템이 있다. 매번 사용자가 로그인을 시도할 때 마
다 매번 새로운 패스워드를 이용하는 것인데, 이는 침입자들이 최근 이용하고 있
는 스니퍼(sniffer)에 의한 패킷가로채기를 통해 시스템의 사용자ID와 패스워드를
알아내서 침입하는 것을 근본적으로 막아주게 된다.
3)패킷 필터링
IP 패킷 필터링(Packet Filtering)은 통상 라우터 인터페이스를 지나는 패킷을
필터링을 하기 위해 설계된 패킷 필터링 라우터(packet filtering router)를 사용하
여 행해진다. 패킷 필터링 라우터는 IP 패킷중 다음의 전부 또는 일부를 필터링
할 수 있다.
- source IP address
- destination IP address
- TCP/IP source port
- TCP/IP destination port
모든 패킷 필터링 라우터가 소스 TCP/IP 포트를 필터링하지는 않는다. 그러
나 많은 제조회사들이 이러한 능력을 증가시키고 있다. 대부분은 아니지만 유닉
스 호스트도 패킷 필터링 기능을 제공한다.
4)응용계층 게이트웨이(Application Level Gateway)
응용계층서비스들은 중간전달(Store-and-Forward)방법을 쓰는 경우가 많은
데, 이는 게이트웨이에서 수행할 방법과 그대로 맞아떨어지게 된다. 게이트웨이는
송신자 응용서비스가 보내는 각종 정보를 그대로 전달하면 되는 것이다. 이 게이
트웨이에서는 보안을 위한 특별한 서비스가 제공된다. 예를 들어 내부와 외부간
의 모든 응용수준의 트래픽에 대해 로그기록이나, 텔네트(Telnet)나 FTP 등에서
사용자 인증을 할 경우 보다 우수한 방법을 사용한 변경된 인증방법을 이용한다
든가 하는 것이다. 이 응용계층의 게이트웨이 기능은 가상서버(Proxy Server)라
는 인터네트의 클라이언트/서버 개념에서 나온 서버 기능을 제공하게 된다. 예를
들어 외부의 전자우편클라이언트가 내부의 어떤 호스트내 전자우편 서버와 접속
맺기를 원한다면 중간에 가상서버가 이를 받아 다시 내부의 서버에게 전달하는
방식이 된다.
5)스크린 라우터(Screen Router)
어떤 기관이 인터네트에 접속할 경우 대부분 라우터(Router)를 거친다. 이는
인터네트 패킷을 전달하고 경로배정(Routing)을 담당하는 장비다. 라우터는 단순
장비가 아니라면 패킷의 헤더 내용을 보고 필터링(스크린)할 수 있는 능력을 가
지고 있다. 네트워크 수준의 IP(Internet Protocol) 데이터그램에서는 출발지 주소
및 목적지 주소에 의한 스크린, TCP(Transmission Control Protocol) 수준의 패
킷에서는 네트워크응용을 판단케해주는 포트(Port) 번호에 의해 스크린, 프로토
콜별 스크린 등의 기능을 제공하게 된다. 이 스크린 라우터만을 가지고도 어느
정도 수준의 보안 접근제어를 통해 방화벽시스템 환경을 구현할 수 있다. 그러나
라우터에서 구현된 펌웨어의 수준으로는 제한점이 많고 복잡한 정책을 구현하기
어려우므로 보통 스크린 라우터와 다음에서 설명하는 베스쳔 호스트를 함께 운영
한다.
6)베스쳔 호스트
베스쳔 호스트(Bastion Hosts)는 방화벽시스템이 가지는 기능 중 가장 중요
한 기능을 제공하게 된다. 원래 베스쳔(Bastion)은 중세 성곽의 가장 중요한 수비
부분을 의미하는데, 방화벽시스템 관리자가 중점 관리하게될 시스템이 된다. 그
래서 방화벽시스템의 중요 기능으로 접근 제어 및 응용시스템 게이트웨이로서 가
상서버(Proxy Server)의 설치, 인증, 로그 등을 담당하게 된다. 그러므로 호스트
는 외부의 침입자가 주로 노리는 시스템이 된다. 따라서 일반 사용자의 게정을
만들지 않고 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완벽한 시스템으로
서 운영되어야 한다. 보통 판매되는 방화벽시스템은 이러한 베스쳔호스트를 제공
하는 것이라고 보면 된다.
7)이중 네트워크 호스트(Dual-Homed Hosts)
복수네트워크호스트는 2개 이상의 네트워크에 동시에 접속된 호스트를 말하
며 보통 게이트웨이 호스트라고 말하는 시스템이 된다. 2개의 네트워크, 즉 외부
네트워크와 내부 네트워크를 의미하고 외부 네트워크와 내부 네트워크간의 유일
한 패스를 제공하도록 조정된다. 즉 동적인 경로 배정과 경로 정보전달을 배제하
므로 모든 내.외부 트래픽은 이 호스트를 통과하도록 하여 베스쳔호스트의 기능
을 여기에 구현하면 되는 것이다.
8)스크린 호스트 게이트웨이(Screen Host Gateway)
스크린호스트게이트웨이 개념은 이 시스템을 내부 네트워크에 두어 스크린라
우터가 내부로 들어가는 모든 트래픽을 전부 스크린호스트에게만 전달되도록 하
겠다는 것이다. 또한 스크린라우터는 내부에서 외부로 가는 모든 트래픽에 대해
서도 스크린호스트에서 출발한 트래픽만 허용하고 나머지는 거부하게 된다. 그
래서 내부와 내부 네트워크사이의 경로는 '외부네트워크 - 스크린라우터 - 스크
린호스트 - 내부네트워크' 이외의 경로는 결코 허용하지 않게된다. 이 스크린호
스트도 결국 베스쳔호스트, 이중네 트워크호스트의 개념이 집합된 시스템이다.
9)스크린 서브네트
스크린 서브네트(Screen Subnet)는 일명 DMZ(DeMiliterization Zone)의 역할
을 외부 네트워크와 내부 네트워크 사이에 두겠다는 것으로 완충지역 개념의 서
브네트를 운영하는 것이다. 여기에 스크린 라우터를 이용하여 이 완충지역을 곧
장 통과 못하게 하지만 외부네트워크에서도 내부 네트워크에서도 이 스크린 서브
네트에 접근할 수는 있다. 어떤 기관에서 외부로 공개할 정보서버(Information
Server), 즉 익명 FTP서버, 고퍼(Gopher) 서버, 월드와이드웹(WWW)서버 등을
여기에 운영하면 된다.
10)암호 장비
암호장비(Encryption Devices)는 어떤 기관의 네트워크가 공공의 인터네트를
통해 여러 지역으로 분산되어 있을 경우 적당하다. 본사 네트워크가 방화벽 시스
템을 구축하였을 때 지역적으로 떨어진 지점 네트워크도 본사 네트워크처럼 보호
되어야하는 것이다. 이 경우 본사와 지점 네트워크 간이 인터네트로 연결되었다
면 안전을 보장하기 어려우므로 두 지점사이를 암호장비를 이용하여 가상 사설링
크(VPL, Virtual Private Link)로 만들어 운영하면 된다. 그러므로서 두개의 네트
워크는 하나의 안전한 네트워크로 만드는 것이다. 종단간 암호 방식은 데이터나
패스워드 등이 도청되는 것을 막는 방식을 원하는 사설백본(Private Backbone),
즉 여러 인터네트 접속점을 가진 기관에서 유용할 것이다.
관련링크
댓글목록
등록된 댓글이 없습니다.