[Network] 침입차단 시스템

김리영·2025년 1월 29일

Network

목록 보기
9/13

📌 본 게시물은 자기 학습 목적으로 작성되어 일부 내용이 부정확하거나 최신 정보와는 다를 수 있습니다.
💬 잘못된 부분이나 보완할 점이 있다면 댓글로 공유하여 주시면 감사하겠습니다!

1️⃣ 침입차단 시스템(Firewall)

  • 미리 정의한 보안 규칙(정책)을 기반으로 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템
  • 일반적으로 신뢰할 수 있는 네트워크와 신뢰할 수 없는 외부 네트워크 사이에서 동작

📌 기능

1. 접근 통제 (Access Control)

  • 허용된 서비스나 전자우편 서버, 특정 호스트를 제외하고는 외부에서 내부 네트워크로 접근하는 트래픽을 패킷 필터링, 프록시 등의 방식으로 접근 통제

2. 인증 (Authentication)

  • 메시지 인증 : 신뢰할 수 있는 통신선을 통해 전송되는 메시지 신뢰성 보장
  • 사용자 인증 : 방화벽을 지나는 트래픽에 대한 사용자가 누구인지를 증명
    ex) OTP, 패스워드
  • 클라이언트 인증 : 특수한 경우에 접속을 요구한느 호스트에 대해 인가된 호스트인지 확인

3. 감사 및 로그 (Auditing / Logging)

  • 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단 등과 관련된 사항의 접속 정보를 로그 형태로 남김

4. 프라이버시 보호 (Privacy Protection)

  • 이중 DNS, 프록시, NAT 등 기능을 제공하여 내부 네트워크와 외부 네트워크 간 중계자 역할을 하여 내부 네트워크 정보 유출 방지

5. 데이터 암호화 (Data Encryption)

  • 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화하여 전송하는 기능

2️⃣ 구현 방식에 따른 유형

📌 1. 패킷 필터링(Packet Filtering)

  • 네트웨크 계층과 트랜스포트 계층에 있는 데이터를 가지고 인바운드와 아웃바운드 서비스를 제공하는 것

  • 네트워크 계층에는 IP주소가 있고, 트랜스포트 계층에는 포트 번호와 프로토콜 종류(UDP, TCP 등)이 있으므로 특정 IP, 프로토콜, 포트 차단 및 허용을 수행

  • 설정된 룰(ACL(Access Control List))에 따라 특정 트래픽을 허용하거나 차단

    ✔ 장점

    1. 기본적인 패킷 검사만 수행하여 속도가 빠름
    2. 설정이 단순하여 관리가 쉬움

    ✔ 단점

    1. 패킷 내용을 검사하지 않고 헤더만 검사 -> 헤더는 쉽게 조작 가능
    2. 강력한 로깅 기능 및 사용자 인증 기능ㄹ으 제공하지 않음

📌 2. 애플리케이션 게이트웨이(Application Gateway)

  • 응용 계층에서 동작하여 접근 통제, 로그 관리 등의 기능을 제공하나 속도가 느림

  • 사용자 및 응용 서비스에서 접근 제어를 제공하여 응용 프로그램 사용을 기록하여 감시 추적에 사용 가능

  • 클라이언트와 서버 사이에 중개(proxy) 역할을 하며 트래픽을 분석하기 때문에 Proxy Firewall이라고도 함

    ✔ 장점

    1. 모든 트래픽을 검사하므로 보안성이 높음
    2. IP 주소를 숨길 수 있어 익명성 제공
    3. 강력한 로깅 및 감시 기능 제공

    ✔ 단점

    1. 프록시 서버를 거쳐야 하므로 속도 저하 가능
    2. 특정 프로토콜만 지원하여 유연성이 부족할 수 있음

📌 3. 회선 게이트웨이(Circuit Gateway)

  • 세션 계층과 응용 계층 사이에서 동작

  • 방화벽을 통해 내부 시스템에 접근하기 위해서는 Client 측에서 Circuit Proxy를 인식할 수 있는 수정된 Client 프로그램(ex. SOCKS)이 요구되며 설치된 Clinet만 Circuit 형성이 가능

    ✔ 장점

    1. IP 주소를 숨길 수 있어 익명성 제공
    2. Application에 비해 관리 용이

    ✔ 단점

    1. 수정된 Client 프로그램 필요
    2. 비표준 포트로 우회 접근 시 방어 불가

📌 4. 상태 기반 패킷 검사(Stateful Packet Inspection)

  • OSI 전 계층에서 패킷의 내용을 분석하고, 연결 상태를 추적하여 침입을 차단하는 강력한 보안 기능 제공

  • 기존 패킷 필터링 방화벽의 한계를 보완하여 세션 추적 기능을 추가

  • 클라이언트와 서버 간의 세션 정보를 지속적으로 모니터링하며 정상적인 트래픽 여부를 판단

  • 패킷의 헤더 정보를 해석하고 올바른 순서가 유지되지 않는 패킷을 감지하여 차단

  • 네트워크 연결의 문맥(Context)을 분석하여 패킷 필터링보다 더 정밀한 보안 제공

  • 방화벽 기술의 표준으로 자리 잡고 있으며 대부분의 최신 방화벽에서 사용됨

    ✔ 장점

    • 네트워크 서비스의 특성과 통신 흐름을 인식하여 동적으로 접근 제어 규칙을 자동 생성
    • 기존의 정적 패킷 필터링 방식보다 더 강력한 보안 기능 제공
    • 트래픽의 전후 관계를 분석하여 비정상적인 패킷을 효과적으로 탐지 및 차단 가능

    ✔ 단점

    • 특정 프로토콜(예: 암호화된 트래픽, 터널링 프로토콜) 내에 포함된 악성 데이터 식별이 어려울 수 있음

📌 5. 하이브리드 방화벽 (Hybrid Firewall)

  • 여러 방화벽 유형을 결합하여 보안을 강화한 방식

    ✔ 장점

    • 다양한 공격 유형에 대한 종합적인 방어 가능
    • 고급 보안 정책을 적용할 수 있음

    ✔ 단점

    • 복잡한 네트워크 환경에서 설정이 어려울 수 있음
    • 비용 및 유지 관리가 어려울 가능성이 있음

3️⃣ 구축 유형

📌 1. 스크리닝 라우터(Screening Router)

  • 내/외부 네트워크를 스크리닝 라우터(방화벽을 라우터에 탑재한 형태)로 연결

  • IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 검사

  • 출발/목적지 주소, 포트 등을 분석하고 패킷 필터 규칙에 적용하여 계속 진입시킬 것인지를 판별

  • 연결 요청이 허가되면 이후 모든 패킷은 연결이 단절될 때까지 모두 허용

    ✔ 장점

    • 필터링 속도가 빠르고 비용이 적음
    • 클라이언트와 서버 환경 변화 없이 설치 가능

    ✔ 단점

    • OSI 3, 4계층만 방어하여 필터링 규칙 검증이 어려움
    • 패킷 내의 데이터는 차단 불가 및 로그 관리의 어려움

📌 2. 베스천 호스트(Bastion Host)

  • 방화벽 시스템을 탐재한 호스트로 내/외부 네트워크 연결

  • 베스천 호스트란 인터넷과 내부 네트워크 사이에서 외부 공격을 방어하는 목적으로 특별히 강화된 보안 서버

    • 원격 접속(SSH, RDP)과 같은 관리자 접근을 위한 게이트웨이 역할 수행

    ✔ 장점

    • 인증 기법, 접근 통재, 로그 기록 및 모니터링 기능 제공

    ✔ 단점

    • 베스천 호스트 자체의 보안 취약성 존재 및 손상 시 내부망 손상 가능성 존재
    • 로그인 정보 유출 시에 내부망 침해 가능

📌 3. 듀얼 홈드 호스트(Dual-Homed Host)

  • 2개의 인터페이스를 가진 베스천 호스트로서 하나의 인터페이스는 내부 네트워크와 연결하고 다른 인터페이스는 외부 네트워크와 연결

  • 스크리닝 라우팅 방식과는 달리 라우팅 기능은 존재하지 않음 -> Proxy 기능 부여

    ✔ 장점

    • 정보 지향적인 공격 방어 가능
    • 로깅 정보 생성 및 관리 용이
    • 설치 및 유지보수 용이

    ✔ 단점

    • 제공되는 서비스가 증가할 수록 가격 상승
    • 서비스가 증가할 수록 Proxy 구성 복잡

📌 4. 스크린드 호스트(Screened Host)

  • 듀얼 홈드 호스트(Dual-Homed Host) + 스크리닝 라우터(Screening Router)를 혼합하여 사용한 방화벽 시스템

  • 스크리닝 라우터를 통해 외부 및 내부 네트워크에서 발생하는 패킷을 통과시킬 것인지를 1차적으로 검사 -> 통과한 트래픽은 베스천 호스트에서 2차적으로 필터링하여 검사

    ✔ 장점

    • 네트워크 계층과 응용 계층에서의 2단계 보안 점검 기능
    • 가장 많이 사용됨
    • 듀얼 홈드 호스트의 장점 유지

    ✔ 단점

    • 공격자에 의해 스크리닝 라우터의 라우팅 테이블 변경 가능성 존재
    • 구축 비용이 높음

📌 5. 스크린드 서브넷(Screened Subnet)

  • 스크리닝 라우터를 베스천 호스트 중심으로 연결하는 방화벽 구조로 스크리닝 라우터들 사이에 응용 게이트웨이가 위차하는 구조를 가짐

  • 인터넷과 내부 네트워크 사이에 Screened Subnet이라는 DMZ 개념의 서브넷을 운용

  • Screened Subnet 내에 배치된 Bastion 호스트는 프록시 서버(응용 게이트웨이)를 활용하여 명확하게 허가되지 않은 모든 트래픽을 차단하는 역할을 수행

  • 스크린드 호스트 보안상의 문제점을 보완

    ✔ 장점

    • 스크린드 호스트 구조의 장점 유지
    • 강력한 보안 기능

    ✔ 단점

    • 설치 및 관리가 어려움
    • 구축 비용이 높음
    • 서비스 속도가 느림

📝 참고

https://maker5587.tistory.com/8
https://berasix.tistory.com/entry/정보보안기사-2-방화벽의-형태구조별-정의

profile
김리영
이전 포스트

[Network] SSL VPN

다음 포스트

[Network] 포트 스캐닝(Port Scanning)

0개의 댓글