리눅스마스터1급: 방화벽(Firewall) 시스템의 기본 구성 요소

리눅스마스터1급: 방화벽(Firewall) 시스템의 기본 구성 요소

방화벽 시스템에 대한 여러 토론 그룹에서는 방화벽 시스템에 대한 일반적인 용어 정의 및 개념을 규정하였다.

그리고 방화벽 시스템이 가지는 여러 가지 기능과 보안 대처 수준에 따라 여러 가지 유형의 방화벽 시스템이 존재할 수 있다.

여기서는 일반적인 방화벽 시스템의 구성 요소에 대하여 기술한다.

① 네트워크 정책(Network Policy)

방화벽 시스템의 설계, 설치, 사용에 직접적으로 영향을 줄 수 있는 두 가지 레벨의 네트워크 정책이 있다.

상위-레벨 정책은 명확한 내용, 즉 제한된 네트워크로부터 서비스를 허용할 것인가 또는 명확하게 거부할 것인가를 정의하는 네트워크 액세스 정책, 이러한 서비스를 어떻게 사용할 것인가 그리고 이러한 정책의 예외 조건 등을 말한다.

하위-레벨 정책은 어떻게 방화벽이 실질적으로 액세스를 제한하고 상위-레벨 정책에서 정의한 서비스를 필터링할 것인가에 대한 사항이다.

② 방화벽 시스템의 사용자 인증 시스템(Advanced Authentication)

방화벽 시스템은 한 기관의 네트워크 전체를 보호해야 하므로 일반적으로 유닉스 시스템에서 사용되는 단순한 패스워드로 사용자를 인증하는 방법을 사용하지 않는다.

좋은 인증 수단으로 스마트카드(Smart Cards), 인증 토큰(Authentication Tokens), Biometrics, 그리고 소프트웨어 메커니즘 등을 사용한다.

현재 많이 사용하고 있는 우수한 인증 시스템으로는 일회용 패스워드이다.

즉 매번 사용자가 로그인을 시도할 때마다 매번 새로운 패스워드를 이용하는 것으로, 이는 침입자가 최근 이용하고 있는 Sniffer에 의한 패킷 가로채기를 통해 시스템의 사용자 ID와 패스워드를 알아내서 침입하는 것을 근본적으로 막아준다.

③ 패킷 필터링(Packet Filtering)

IP 패킷 필터링은 통상 라우터 인터페이스를 지나는 패킷을 필터링하기 위해 설계된 패킷 필터링 라우터(Packet Filtering Router)에 의해 행해진다.

패킷 필터링 라우터는 IP 패킷 중 다음을 전부 또는 일부를 필터링할 수 있다.

∙Source IP Address

∙Destination IP Address

∙TCP/IP Source Port

∙TCP/IP Destination Port

④ 응용 계층 게이트웨이(Application Level Gateway)

응용 계층 서비스는 축적 전달(Store-and-Forward) 방법을 사용하는 경우가 많은데, 이는 게이트웨이에서 수행하는 방법과 같다.

게이트웨이는 송신자 응용 서비스가 보내는 정보를 그대로 전달하면 되는 것이다.

실제로 이 게이트웨이에서 보안을 위한 특별한 서비스가 제공된다.

예를 들어 내부와 외부 간에 모든 응용 레벨의 트래픽에 대해 로깅이나, Telnet, FTP 등에서 사용자 인증이 필요한 경우에 우수한 인증 방법을 사용한다.

이 응용 계층의 게이트웨이 기능은 프록시 서버(Proxy server)라는 서버 기능을 제공하게 된다.

예를 들어 외부의 전자우편 클라이언트가 내부의 어떤 호스트 내 전자우편 서버와 접속하기를 원하면, 중간에 프록시 서버가 이를 받아 다시 내부의 서버에게 전달하는 방식이 된다.

⑤ 스크린 라우터(Screen Router)

어떤 기관이 인터넷에 접속할 경우 라우터(Router)라는 인터넷 패킷을 전달하고 경로 배정(Routing)을 담당하는 장비를 사용하게 된다.

이러한 라우터는 단순 장비가 패킷의 헤더 내용을 보고 필터링(스크린)할 수 있는 능력을 가지고 있다.

네트워크 레벨의 IP(Internet Protocol) 데이터그램에서는 출발지 및 목적지 주소에 의한 스크린, TCP 레벨의 패킷에서는 네트워크 응용을 판단하는 포트 번호에 의한 스크린, 프로토콜별 스크린 등의 기능을 제공하게 된다.

이 스크린 라우터만으로도 어느 정도 수준의 보안 접근 제어를 통해 방화벽 시스템 환경을 구현할 수 있으나 라우터에서 구현된 펌웨어의 수준으로는 제한점이 많고 복잡한 정책을 구현하기 어려우므로 보통 스크린 라우터와 다음에서 설명하는 배스천 호스트를 같이 운영한다.

⑥ 배스천 호스트(Bastion Hosts)

배스천 호스트(Bastion Hosts)는 방화벽 시스템이 갖는 기능 중 가장 중요한 기능을 제공하게 된다.

원래 배스천(Bastion)은 중세 성곽의 가장 중요한 수비 부분을 의미하는데, 방화벽 시스템 관리자가 중점 관리하는 시스템이 된다.

그래서 방화벽 시스템의 중요 기능으로서 액세스 제어 및 응용 시스템 게이트웨이로서 프록시 서버의 설치, 인증, 로그 등을 담당하게 된다.

그러므로 이 호스트에는 외부의 침입자가 주로 노리는 시스템이므로 일반 사용자의 계정을 만들지 않고 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완벽한 시스템으로서 운영되어야 한다.

현재 판매되고 있는 방화벽 시스템은 이러한 배스천 호스트를 제공하는 것이라고 보면 된다.

⑦ 이중 네트워크 호스트(Dual-Homed Hosts)

이중 네트워크 호스트는 2개 이상의 네트워크에 동시에 접속된 호스트를 말하며 보통 게이트웨이 호스트라는 시스템이다.

2개의 네트워크는 외부 네트워크와 내부 네트워크를 의미하고, 이 두 네트워크 간의 유일한 패스를 제공하도록 조정된다.

즉, 동적인 경로 배정과 경로 정보 전달을 배제하므로 모든 내, 외부 트래픽은 이 호스트를 통과하도록 하여 배스천 호스트의 기능을 여기에 구현하는 것이다.

⑧ 스크린 호스트 게이트웨이(Screen Host Gateway)

스크린 호스트 게이트웨이 개념은 이 시스템을 내부 네트워크에 두어 스크린 라우터가 내부로 들어가는 모든 트래픽을 전부 스크린 호스트에게만 전달되도록 하겠다는 것이다.

또한 스크린 라우터는 내부에서 외부로 가는 모든 트래픽에 대해서도 스크린 호스트에서 출발한 트래픽만 허용하고 나머지는 거부하게 된다.

그래서 외부와 내부 네트워크 사이의 경로는 외부 네트워크 - 스크린 라우터 - 스크린 호스트 - 내부 네트워크 이외의 경로는 결코 허용하지 않게 된다.

이 스크린 호스트도 결국 배스천 호스트, 이중 네트워크 호스트의 개념이 집합된 시스템이다.

⑨ 스크린 서브넷(Screen Subnet)

스크린 서브넷은 일명 DMZ(DeMiliterization Zone)의 역할을 외부 네트워크와 내부 네트워크 사이에 두겠다는 것으로서 완충 지역 개념의 서브넷을 운영하는 것이다.

여기에 스크린 라우터를 이용하여 이 완충 지역을 곧장 통과 못하게 하지만 외부 네트워크에도 내부 네트워크에서도 이 스크린 서브넷에 접근할 수는 있다.

특히 어떤 기관에서 외부로 공개할 정보 서버(Information Server), 즉 익명 FTP 서버, 고퍼(Gopher) 서버, 월드 와이드 웹(WWW) 서버 등을 여기에서 운영하면 된다.

⑩ 암호 장치(Encryption Devices)

암호 장치는 어떤 기관의 네트워크가 공공의 인터넷을 통해 여러 지역으로 분산되어 있을 경우에 적합하다.

즉, 어떤 본사 네트워크가 방화벽 시스템을 구축하였을 때 지역적으로 떨어진 지점 네트워크도 본사 네트워크처럼 보호되어야 하는 것이다.

이 경우 본사와 지점 네트워크 간에 인터넷으로 연결되었다면 안전을 보장하기 어려우므로 두 지점 사이를 암호 장비를 이용하여 가상 사설 링크(VPL : Virtual Private Link)로 만들어 운영하면 된다.

그러면 두 개의 네트워크는 하나의 안전한 네트워크로 만들어지는 것이다.

종단 간 암호 방식은 데이터나 패스워드 등이 도청되는 것을 막는 방식을 원하는 사설 백본(Private Backbone)에 여러 인터넷 접속점을 가진 기관에서 유용할 것이다.