침입차단시스템 방화벽cfs7.blog.daum.net/upload_control/download.blog?fhandle... · 2015....

1

1

보안시스템설계(2006-1)

침입차단시스템침입차단시스템((방화벽방화벽))

2006. 3. 2006. 3.

정보정보··전자상거래학부전자상거래학부이이 형형 효효

(([email protected]@wonkwang.ac.kr))


2

정보보호정보보호 목적목적

CIA비밀성(Confidentiality, Secrecy)• 불법적인사용자에의한 정보정보 유출유출 방지방지

무결성(Integrity)• 불법적인사용자에의한 정보변경정보변경 방지방지

가용성(Availability)• 적법한사용자에대한 서비스서비스 거부거부 방지방지

2


3

정보보호정보보호 조건조건

보호대상의자산(Asset)• 보호할가치를가진보호대상이존재

• 컴퓨터, 통신망, 정보등

시스템의취약성(Vulnerability)• 완전하지않은시스템의보안

• 하드웨어또는소프트웨어의결함, 오작동, 관리부실

해커로부터의위협(Threats)• 보호대상에대한내부또는외부로부터의위협존재

• 해커또는내부의공격자


4

정보보호정보보호 방법방법, , 절차절차방지(Prevention)• 암호기술, 방화벽(Firewall)

탐지(Detection)• 침입탐지시스템(Intrusion Detection System)

대응(Response), 복구(Recovery)• 침입피해에대한대응또는복구

방지 탐지대응,복구

Hacker

3


5

인터넷인터넷(1)(1)

인터넷

• 네트워크들의네트워크(Network of Networks)

• 정보의바다(Sea of Information)

인터넷활용

• 정보검색

• 전자메일

• 전자상거래• 멀티미디어서비스


6

인터넷인터넷(2)(2)보안상특징

• 안전하지못한네트워크(insecure network)

• 안전성이확인되지않은정보, 프로그램존재

내부네트워크와인터넷사이의다양한

보안서비스필요

• 인증(Authentication)

• 침입차단(방화벽시스템)

• 침입탐지(IDS: Intrusion Detection System)

• 로깅(Logging) 등

4


7

정보보호정보보호 기술기술

정보보안정정 보보보보 안안

접근통제(Access Control)

인증(Authentication)

암호화(Cryptography)

위험분석/관리(Risk Analysis,Management)

침입차단(Intrusion Prevention)

침입탐지(Intrusion Detection)

8


침입차단시스템침입차단시스템((방화벽방화벽))

5


9

침입차단시스템침입차단시스템((방화벽방화벽)(1))(1)

기능

•• Screen network communicationsScreen network communications for the purposes of preventing unauthorized accesspreventing unauthorized access toto or fromfrom a computer network

UntrustedUntrustedNetworkNetwork

TrustedTrustedNetworkNetwork

보안

정책


10

침입차단시스템침입차단시스템((방화벽방화벽)(2))(2)

정의

•• Computer or computersComputer or computers that stand between trusted networkstrusted networks(such as internal networks) and untrusteduntrusted networksnetworks(such as the Internet), inspecting all trafficinspecting all traffic that flows between them

UntrustedUntrustedNetworkNetwork

TrustedTrustedNetworkNetwork

보안

정책

6


11

침입차단시스템침입차단시스템((방화벽방화벽)(3))(3)가능한장비

• 라우터(Router)

• Personal computer

• 하나또는두대이상의컴퓨터


12

침입차단시스템침입차단시스템((방화벽방화벽)(4))(4)기본조건

• All communications pass through the firewall

• The firewall permits only traffic that is authorized

• The firewall can withstand attacks upon itself

7


13

침입차단시스템침입차단시스템((방화벽방화벽)(5))(5)설치위치

• 보호대상네트워크와외부네트워크와의경계점방화벽설치기관과 ISP와의연결점

ISP: Internet Service Provider

• 보호대상네트워크내부에도설치가능내부통신트래픽에대한차단목적

부서간, 응용프로그램별차단기능수행


14

침입차단시스템침입차단시스템((방화벽방화벽)(6))(6)주요종류

•• Packet filtersPacket filters•• Application gatewaysApplication gateways•• CircuitCircuit--level gatewayslevel gateways•• StatefulStateful packetpacket--inspection enginesinspection engines

8


15

침입차단시스템침입차단시스템((방화벽방화벽)(7))(7)각시스템을침입에대응하도록설정가능한데

방화벽을사용해야하는이유?• 한가지일만을전담하는시스템이효과적

• 모든시스템에보안솔루션을적용하는경우비용문제, 관리문제, 시스템의성능저하문제발생

• 사소한설정오류나적절하지못한패치에의해전체시스템의보안이손상될수있음

•• 전체전체 시스템의시스템의 보안보안 강도는강도는 가장가장 약한약한 보안보안 강도를강도를가지는가지는 시스템에시스템에 의해의해 결정결정


16

침입차단시스템침입차단시스템((방화벽방화벽)(8))(8)각시스템을침입에대응하도록설정가능한데

방화벽을사용해야하는이유?(계속)• 방화벽을통해서만외부네트워크에접속이가능

• 여러시스템에서보안기능을중복하여실행하는대신방화벽에서주요보안기능을집중적으로실행

• 방화벽을통해전체트래픽에대한로그정보수집가능

9


17

침입차단시스템침입차단시스템((방화벽방화벽)(9))(9)방화벽설치로얻는보안효과

• 기업정보의비밀성(Confidentiality)

• 기업정보의무결성(Integrity)

• 기업정보서비스의가용성(Availability)


18

침입차단시스템침입차단시스템((방화벽방화벽)(10))(10)장점

• 기업의보안정책실행에적합• 특정서비스에대한접근통제가능• 로그정보수집

단점(문제점)• 허가된접근에대한구체적통제는불가능

악의적의도를가진사용자, 신분이도용된사용자의접근

• 설정된환경에따라서만동작잘못설정된구성환경에따라보안침해상황발생가능

• 방화벽을통과하는트래픽에대해서만통제가능

10


19

방화벽을방화벽을 이용한이용한 바람직한바람직한 보안보안 실천실천(1)(1)필수서비스만제공

• 불필요한사용자계정, 서비스사용중지

• Host hardening

패치! 패치! 패치!• 버그안내및각소프트웨어제작사메일링리스트가입

• 버그에대한패치적용


20

방화벽을방화벽을 이용한이용한 바람직한바람직한 보안보안 실천실천(2)(2)단계적방어대책

• 방화벽이뚫린경우에대비한추가보안대책

• 서로다른제작사로부터의방화벽설치

• 침입탐지시스템(IDS) 설치

기업차원의보안정책수립

• 기업차원의보안정책(규칙) 수립후이를집행하기위한방화벽규칙설정

11


21

방화벽을방화벽을 이용한이용한 바람직한바람직한 보안보안 실천실천(3)(3)감시(Monitoring)과로깅(Logging)• 침입자의침입시도기록

• 침입시도기록분석을통한침입확산방지

감사(Auditing)과시험(Testing)• 설정된방화벽이원래의도대로동작하는지점검

• 무료또는상용소프트웨어를이용한점검


22

방화벽방화벽 이해를이해를 위한위한 기본기본 개념들개념들(1)(1)OSI 7-Layer• 정의및목적

• 각계층의이름및계층별기능

TCP/IP Protocol Suite• 정의및목적

• 각계층의이름및계층별기능

Ethernet, CSMA/CD• CSMA/CD 정의

• Encapsulation 및 frame 구조

12


23

방화벽방화벽 이해를이해를 위한위한 기본기본 개념들개념들(2)(2)TCP, UDP, IP 헤더구조• 각프로토콜헤더의구성요소(필드)

• 각필드별구체적기능

IP 주소• Class A, B, C, D, E

• 네트워크주소, 호스트주소, 브로드캐스트주소

IP 서브네트• 서브네트목적

• 서브네트마스크, 사용가능한서브네트/호스트개수


24

방화벽방화벽 이해를이해를 위한위한 기본기본 개념들개념들(3)(3)라우팅프로토콜

• 기능및분류방법

• 대표적인라우팅프로토콜

ARP, RARP 프로토콜• 기능및동작절차

3-way Handshaking• 기능및동작절차

13


25

방화벽방화벽 이해를이해를 위한위한 기본기본 개념들개념들(4)(4)Ping, Traceroute, Netstat프로그램• 각프로그램별기능및용도

• 각프로그램실행결과분석

Access Control List• Cisco 라우터의 ACL 종류

• 간단한예를통한 ACL 기능

26


침입차단시스템의침입차단시스템의 종류종류

14


27


Packet filtersPacket filtersApplication gatewaysCircuit-level gatewaysStateful packet-inspection engines


28

Packet Filters(1)Packet Filters(1)동작구조

• 방화벽을통과하는모든패킷(packet)들을

• 미리정의된규칙(보안정책)과비교하여

• 통과(forward)/폐기(drop)/거부(reject) 여부판단

조사하는패킷정보

• IP 헤더정보

• Port 정보(TCP, UDP segment 헤더)

• Protocol 정보(IP Packet 헤더)

15


29

Packet Filters(2)Packet Filters(2)IP 헤더


30

Packet Filters(3)Packet Filters(3)TCP 헤더

16


31

Packet Filters(4)Packet Filters(4)UDP 헤더


32

Packet Filters(5)Packet Filters(5)

MACd MACs

IPs IPd

Ps Pd

17


33


HTTP 80 HTTP 80

TELNET 23 TELNET 23SMTP 25 SMTP 25

DNS 53 DNS 53


34


18


35

Packet Filters(8)Packet Filters(8)규칙(보안정책) 구성요소• Type of protocol(IP Packet 헤더)

• Source address(IP Packet 헤더)

• Destination address(IP Packet 헤더)

• Source port(TCP/UDP Segment 헤더)

• Destination port(TCP/UDP Segment 헤더)

• The action the firewall should take when the rule set is matched


36

Packet Filters(9)Packet Filters(9)네트워크구성예

사용자네트워크Internet

128.5.6.0/24

SSH(22) HTTP(80) SMTP(25) DNS(53) DNS(53)

129.1.5.0/24

방화벽

외부라우터

19


37

Packet Filters(10)Packet Filters(10)규칙(보안정책) 예

DenyAnyAnyAnyAnyAny6

Permit53> 1023129.1.5.153AnyUDP5

Permit53> 1023129.1.5.152AnyUDP4

Permit25> 1023129.1.5.150AnyTCP3

Permit80> 1023129.1.5.154AnyTCP2

Permit22> 1023129.1.5.155128.5.6.0/24TCP1

ActionDest.port

Sourceport

Dest.address

SourceaddressProtocolRule


38

Packet Filters(11)Packet Filters(11)장점

• 뛰어난성능

• 무료또는다른방화벽에비해저가

• 우수한트래픽조절기능

• Transparent한동작특성Packet 필드의변경없이방화벽기능수행

20


39


단점

• 외부네트워크와내부네트워크를직접연결

• 상위프로토콜데이터의내용점검기능부재

• 대규모의네트워크환경에부적합

• IP 스푸핑(spoofing) 공격에취약

• 인증기능(authentication) 부재


40


Packet filtersApplication gatewaysApplication gatewaysCircuit-level gatewaysStateful packet-inspection engines

21


41

Application Gateways(1)Application Gateways(1)

특징

• Packet filter 방식의방화벽보다높은수준의보안서비스제공

IP 헤더, TCP(UDP) 헤더외에응용프로그램의데이터검사

응용데이터검사를위한별도의전용 S/W 필요

transparency 특성상실

• 허용된데이터만을클라이언트⇔서버프로그램전달

허용되지않는데이터는폐기


42

Application Gateways(2)Application Gateways(2)특징(계속)• 클라이언트와서버프로그램사이에서데이터의중계역할기능

CC SSAGAG

CC SSCCSS

AGAG

전용 S/W

22


43

Application Gateways(3)Application Gateways(3)추가기능

• 사용자인증기능

• 상세로깅기능

• 필요에따라응용데이터의변환기능실행

다른이름들

• Bastion host

• Proxy gateway

• Proxy server


44

Application Gateways(4)Application Gateways(4)동작과정예

사용자네트워크Internet

인증된사용자

129.1.5.0/24

AGAG

외부라우터

- IP Address Authentication- Destination Port authentication- User Authentication- Logging

- IP Address Authentication- Destination Port authentication- User Authentication- Logging

TCP 연결 #2TCP 연결 #2

TCP 연결 #1TCP 연결 #1

SSH(22) HTTP(80) SMTP(25) DNS(53) DNS(53)

23


45

Application Gateways(5)Application Gateways(5)동작과정예

• 외부사용자가 AG에 SSH(port: 22) 접속AG는출발지 IP가 SSH 연결이허용되어있는지확인(IP주소를이용한 AG의인증)

• 외부사용자인증실행사용자 ID와암호를입력받아사용자인증실시(ID/PW를이용한 AG의인증)

인증과정에대한로깅실시

• 인증이성공한사용자가SSH 연결이가능한시스템정보제공

접속하려는시스템선택

최종시스템에서추가적인인증실행(목적지시스템의인증)


46

Application Gateways(6)Application Gateways(6)

단점

• Transparent한동작환경상실사용자는자신이접속하려는시스템에접속하는대신

AG에먼저접속

외부호스트↔ AG, AG ↔내부호스트간패킷정보변경

• AG에추가소프트웨어설치필요출발지 IP 인증

사용자인증

• Packet filter 방식의방화벽에비해높은 overhead성능저하

24


47


Packet filtersApplication gatewaysCircuitCircuit--level gatewayslevel gatewaysStateful packet-inspection engines


48

CircuitCircuit--level Gateways(1)level Gateways(1)

특징

• Application gateway 동작방식과유사

• 사용자인증후 CG는데이터를목적지호스트로전달하는기능만수행

• 전달과정에서출발지 IP 주소는 CG의 IP 주소로변경

• 일반적으로 outbound 트래픽만허용inbound 트래픽허용을위해서는별도의프로그램필요

• 예: SOCKS 라이브러리

25


49

CircuitCircuit--level Gateways(2)level Gateways(2)

단점

• 모든응용데이터에대한보안검사없음사용자인증후 TCP 연결단위로데이터전달기능만수행

보안취약성문제

• 클라이언트프로그램의수정필요SOCKS 라이브러리이용

SOCKS 라이브러리를지원하지못하는클라이언트존재


50


Packet filtersApplication gatewaysCircuit-level gatewaysStatefulStateful packetpacket--inspection enginesinspection engines

26


51

StatefulStateful Packet Inspection(SPI)(1)Packet Inspection(SPI)(1)

특징

• Packet filter의 동작속도동작속도와 flexibilityflexibility장점을Application gateway의 응용응용 수준수준 보안보안 강도강도결합

packet filter: OSI 3 layer(network layer)

application gateway: OSI 7 layer(application layer)

• 주어진규칙(보안정책)에따라 SPI 방화벽을통과하는모든패킷을검사

패킷의헤더

패킷의내용(contents)


52

StatefulStateful Packet Inspection(SPI)(2)Packet Inspection(SPI)(2)동작절차

방화벽 인터페이스에패킷 도착

방화벽 인터페이스에패킷 도착

패킷의 정보와규칙과 비교

패킷의 정보와규칙과 비교

이미 설정된연결의 패킷?

이미 설정된연결의 패킷?

패킷내에 특징패턴이 있는지 검사

패킷내에 특징패턴이 있는지 검사

해당 패킷의전달이 허용?

해당 패킷의전달이 허용?

규칙에 의해허용?

규칙에 의해허용?

패킷의 폐기/거부,로깅

패킷의 폐기/거부,로깅

패킷 전송,관련 자료 갱신

패킷 전송,관련 자료 갱신

Y

N

Y

Y

Y

N

TCP connection table

27


53


장점

• TCP connection table을참조하므로 spoofing 공격위협감소

packet filter의경우 TCP connection table 등의정보를참조하지않으므로 spoofing 공격에취약

packet filter의경우 TCP 패킷헤더내의 SYN 비트의값으로TCP 연결여부판단

packet filter의경우 TCP 헤더의 SYN값이 0이면이미연결된 TCP connection으로판단

• 응용데이터의내용분석이미알려진보안공격의패턴(signature) 조사


54


단점

• Application Gateway 정도의보안을제공하지못함

• 패킷의데이터에포함된잘알려진공격패턴이나취약점에대한제한된점검기능수행

• Application Gateway와같이 2개의서로다른TCP connection을만들지않음

Transparent packet transfer

28


55

침입차단시스템별침입차단시스템별 구조구조(1)(1)Packet filter


56

침입차단시스템별침입차단시스템별 구조구조(2)(2)Application gateway

29


57

침입차단시스템별침입차단시스템별 구조구조(3)(3)Circuit-level gateway


58

침입차단시스템별침입차단시스템별 구조구조(4)(4)Stateful packet inspection

30


59

Packet FiltersPacket Filters의의 TCP TCP 세션세션 처리처리(1)(1)TCP 세션에대한일반적처리• 일반적인 packet filter는새로연결되는 TCP 연결시도에대해보안규칙적용

출발지/목적지 IP, 프로토콜, 출발지/목적지 Port

• 이미연결이설정된세션의 TCP segment에대해서는보안규칙을적용하지않는경우가대부분임

이미연결된세션에소속된패킷: SYN bit = 0


60

Packet FiltersPacket Filters의의 TCP TCP 세션세션 처리처리(2)(2)TCP 세션에대한일반적처리(계속)• TCP 연결설정단계(3-way handshaking)

- SYN bit이 1인경우아래의정보점검

- Source/Destination IP- Protocol- Source/Destination Port


- Source/Destination IP- Protocol- Source/Destination PortSYN=1

31


61

Packet FiltersPacket Filters의의 TCP TCP 세션세션 처리처리(3)(3)TCP 세션에대한일반적처리(계속)• TCP 연결설정후데이터전송단계

• 문제점

- SYN bit이 0인패킷은통과(이미점검을마친연결)

- SYN bit이 0인패킷은통과(이미점검을마친연결)

- SYN bit이 0이므로통과

- SYN 비트만점검하므로Spoofing 확인불가

- SYN bit이 0이므로통과

- SYN 비트만점검하므로Spoofing 확인불가

Hacker

SYN=0

SYN=0


62

SPISPI의의 TCP TCP 세션세션 처리처리(1)(1)연결이설정된 TCP 세션에대한처리• TCP 연결설정단계(3-way handshaking)


- Source/Destination IP- Protocol- Source/Destination Port


- Source/Destination IP- Protocol- Source/Destination PortSYN=1

TCP Connection Table

Source/Destination IPSource/Destination PortSequence Number…


저장

32


63

SPISPI의의 TCP TCP 세션세션 처리처리(2)(2)TCP 세션에대한일반적처리• TCP 연결설정후데이터전송단계(정상패킷)

- SYN bit이 0인경우TCP Connection Table 참조

- IP, Port, Sequence Number점검


- IP, Port, Sequence Number점검SYN=0




조회


64

SPISPI의의 TCP TCP 세션세션 처리처리(3)(3)TCP 세션에대한일반적처리• TCP 연결설정후데이터전송단계(조작된패킷)



- Sequence Number가정확할가능성낮음



- Sequence Number가정확할가능성낮음




조회Hacker

SYN=0

33


65

Demilitarized Zone(DMZ)(1)Demilitarized Zone(DMZ)(1)외부, 내부네트워크를분리하기위해두개의라우터설치

• External 라우터↔ bastion host

• bastion host ↔ Internal 라우터간통신만가능

Bastion 호스트에서 proxy server 수행

InternetInternetCorporateCorporateNetworkNetwork

InternalInternalScreening Screening RouterRouter

ExternalExternalScreening Screening RouterRouter

Bastion Hosts (WWW, FTP, Bastion Hosts (WWW, FTP, ……))

DMZDMZ


66

Demilitarized Zone(DMZ)(2)Demilitarized Zone(DMZ)(2)

특성

• 내부라우터는내부네트워크와 bastion host만연결

• 외부라우터는외부네트워크와 bastion host만연결

• 내부와외부네트워크간직접연결차단





DMZDMZ

34


67

Demilitarized Zone(DMZ)(3)Demilitarized Zone(DMZ)(3)특성(계속)• bastion host는외부, 내부라우터에서전달되는패킷만처리

• 외부, 내부라우터는 NAT 기능수행NAT: Network Address Translation





DMZDMZ


68

Demilitarized Zone(DMZ)(4)Demilitarized Zone(DMZ)(4)특성(계속)• 외부, 내부라우터는 bastion host를출발지또는목적지로하는패킷만처리





DMZDMZ

35


69

Demilitarized Zone(DMZ)(5)Demilitarized Zone(DMZ)(5)영화 JSA 주인공을형상화(파주시)• 세계적인관광상품으로만들어갈계획

• 한국군민정경찰, 중립국감독위원회, 북한군중사캐릭터화


70

Proxy Server Proxy Server 설정설정 예예(1)(1)웹브라우저예

• [도구]-[인터넷옵션] 환경설정

36


71

Proxy Server Proxy Server 설정설정 예예(2)(2)Proxy Service• 대리, 대리권

• 사용자는목적지대신프락시서버로접근

• 프락시서버는사용자대신목적지로접근

• 목적지에접근한 IP는프락시서버의 IP

실습

• http://www.publicproxyservers.com/• [도구]-[인터넷옵션]-[연결]-[LAN설정]-[프락시서버]

/ColorImageDict > /JPEG2000ColorACSImageDict > /JPEG2000ColorImageDict > /AntiAliasGrayImages false /DownsampleGrayImages true /GrayImageDownsampleType /Bicubic /GrayImageResolution 300 /GrayImageDepth -1 /GrayImageDownsampleThreshold 1.50000 /EncodeGrayImages true /GrayImageFilter /DCTEncode /AutoFilterGrayImages true /GrayImageAutoFilterStrategy /JPEG /GrayACSImageDict > /GrayImageDict > /JPEG2000GrayACSImageDict > /JPEG2000GrayImageDict > /AntiAliasMonoImages false /DownsampleMonoImages true /MonoImageDownsampleType /Bicubic /MonoImageResolution 1200 /MonoImageDepth -1 /MonoImageDownsampleThreshold 1.50000 /EncodeMonoImages true /MonoImageFilter /CCITTFaxEncode /MonoImageDict > /AllowPSXObjects false /PDFX1aCheck false /PDFX3Check false /PDFXCompliantPDFOnly false /PDFXNoTrimBoxError true /PDFXTrimBoxToMediaBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXSetBleedBoxToMediaBox true /PDFXBleedBoxToTrimBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXOutputIntentProfile () /PDFXOutputCondition () /PDFXRegistryName (http://www.color.org) /PDFXTrapped /Unknown

/Description >>> setdistillerparams> setpagedevice

침입차단시스템 방화벽cfs7.blog.daum.net/upload_control/download.blog?fhandle... · 2015....

Documents