리눅스마스터1급: 방화벽(Firewall)의 역할

리눅스마스터1급: 방화벽(Firewall)의 역할

1) 방화벽의 기본적인 기능

① 패킷 필터링(Packet Filtering)

패킷 필터링은 일반적으로 침입 차단 시스템에서 제공되는 기능으로 IP 헤더와 상위 프로토콜(TCP, UDP 등) 헤더의 필드 정보(Source and Destination IP Address 등)를 이용하여 정해진 액세스 제어 규칙에 따라 패킷 통과여부를 결정하게 된다.

패킷 필터링은 간단한 구현으로 빠른 처리 속도를 가진다.

② 응용 계층 프록시(Application-Level Proxy)

응용 계층 프록시는 응용 서비스(Telnet, FTP 등)를 제공하는 서버에 클라이언트를 대신하여 접속해 주는 방식으로 응용 계층의 프로토콜에 대한 완벽한 이해가 필요하다.

응용 계층 프록시는 패킷 필터링에 비해 응용 프로토콜에 대한 완벽한 이해를 바탕으로 하는 액세스 제어 규칙을 가지므로 좀더 강한 보안을 제공할 수 있다.

또한 인증 기능도 제공할 수 있다.

그렇지만 다양한 응용 서비스를 위해서는 각 응용에 따른 프록시를 구현할 필요가 있다.

③ 서킷 계층 프록시(Circuit-Level Proxy)

서킷 계층 프록시는 응용 레벨 프록시와 마찬가지로 클라이언트와 서버 사이에서 매개 역할을 수행한다.

차이점은 응용 레벨 프록시와 달리 일반적으로 세션 계층에서 동작하여 응용과 무관하게 사용한다는 점이다.

그러나 특정한 응용에 대해서는 기능을 사용할 수 없을 때가 있다.

④ 상태 기반 감시(Stateful Inspection)

상태 기반 감시는 기본적으로 패킷 필터링의 기술을 사용하면서 모든 계층으로부터 액세스 제어에 필요한 정보를 얻고, 또한 과거의 정보까지 유지하여 규칙을 적용한다.

규칙에 적용할 패킷의 정보는 헤더뿐만 아니라 패킷 내용까지 해석하게 된다.

현재 IEFT의 WG(Working Group)의 활동 보고서인 Internet-Drafts 중 침입 차단 시스템에 관련된 문서를 살펴보면 NAT(Network Address Translation) 기술과 VPN(Virtual Private Network) 기술에 대해 많은 작업이 이루어지고 있음을 알 수 있다.

NAT 기술은 내부 호스트의 비공인 IP 주소의 사용을 가능하게 하며 내부 IP 주소의 외부 노출을 방지하는 것을 목적으로 하는 기술로 이미 많은 응용을 보이고 있다.

VPN 기술은 전용 회선이 아닌 공중 네트워크망을 이용하여 가상 사설망을 구성하는 기술로 노드간 전송 데이터의 무결성과 비밀성을 제공할 수 있으며 침입 차단 시스템 간의 암호화 통신에도 사용된다.

2) 방화벽의 부가적인 기능

① 가상 사설망

VPN(Virtual Private Network)은 인터넷과 같은 공중 네트워크를 이용하여 전용선의 효과를 줄 수 있는 기술로 기존의 전용선이 가지고 있던 확장의 어려움과 고비용을 해결하면서 전용선의 장점인 QoS(Quality of Service)와 보안 기능을 제공할 수 있게 해 준다.

VPN의 구현 기술로는 터널링 기술을 들 수 있는데, 현재 가장 널리 사용되는 터널링 프로토콜로는 PPTP(Point-to-Point Tunneling Protocol)와 L2TP(Layer2 Tunneling Protocol), IPsec(IP Security Protocol), SOCKS V5(Layer 5 Tunneling)가 있다

ⓐ L2TP

L2TP는 1998년 기존의 Ascend, U.S Robotics, 3Com, Microsoft의 PPTP와 Cisco의 L2F를 통합하여 IETF의 RPC 2661로 지정되어 인터넷에서 remote access VPN을 구성하는데 널리 사용되는 클라이언트/서버 기반의 터널링 프로토콜이다.

L2TP는 다양한 프로토콜상에서 PPP 프레임을 캡슐화(Encapsulation)하여 터널을 형성하게 한다.

ⓑ IPsec

IPsec은 IP 계층의 보안을 위해 IETF에 의해 제한되었으며 VPN 구현에 널리 쓰이고 있다.

IPsec은 AH와 ESP를 통해 IP 데이터그램의 인증과 무결성, 기밀성을 제공하며 ISAKMP/IKE(Internet Security Association and Key Management Protocol/ Internet Key Exchange)에서는 AH/ESP에 필요한 보안 관련 협상(Security Association Negotiation)과 키 관리를 담당한다.

ⓒ SOCKS V5

SOCKS V5는 SOCKS V4에 UDP 지원과 통신 경로상의 서버와의 부가적인 협상 기능 등을 보강하면서 다양한 보안 기능을 제공하고 있다.

일반적으로 SOCKS V5는 Session Layer상의 Proxy에서 동작하므로 IPsec보다 우수한 액세스 제어규칙의 적용과 인증 기능을 제공함으로써 하위 계층에서 동작하는 다른 터널링 프로토콜보다 복잡한 망에서 보다 향상된 보안 관리를 제공할 수 있다.

초기의 VPN은 자사의 프로토콜을 이용한 경우가 있었으나 근래에는 인터넷 표준안인 IPsec을 기반으로 하여 VPN전용 제품 또는 라우터, 침입 차단 시스템 기반의 VPN 제품이 출시되고 있다.

② NAT

NAT(Network Address Translation :네트워크 주소 변경)는 내부 IP 주소가 부족한 경우, 사설 IP 주소를 사용하여 IP 주소를 확장하기 위한 방법이다.

NAT를 사용하기 위해서는 매스커레이딩 라우터(Masquerading Router)를 이용하여 사설 IP를 공인 IP로 변경해 주어야 한다.

Port-Map을 이용하여 외부 인터넷으로부터 내부 네트워크의 어느 장비로 패킷이 전달될 지를 결정해 준다.

내부 네트워크 장비의 사설 IP 주소는 라우트 되지 않기 때문에 외부에 공개하지 않으므로 외부의 공격으로부터 안전한 네트워크 환경을 구성할 수 있다.

③ NMS(Network Management System)

최근의 방화벽들은 Firewall 내부 호스트들에 대한 실시간 감시 및 네트워크 상황에 대한 분석 기능들을 탑재하고 있다.

이 중 많이 사용되고 있는 방식이 바로 NMS이다.

NMS는 네크워크 장비의 MIB라는 정보 양식을 가져다가 분석하는 시스템이다.