secureworks firewall 교육 교재

1

SECUREWORKS FIREWALL 교육 교재

2

INDEX 보안 Firewall Firewall 의 구축 Firewall 의 기능 Firewall 의 운영 Firewall 과 Network 의 관계

3

보안 정의

본래 가치가 손상되지 못하도록 자산을 적절한 방법으로 보호하는 일련의 것

가용성 ,기밀성 ,무결성

정보의 무결성 , 비밀성 , 가용성을 보장하고 정보의 정상적인 유지를 위하여 인위적 , 물리적 , 기 술 적 , 자 연 적 인 장 애 기 능 을 사 전 에 예방조치하고 사후 회복 조치를 위한 일련의 과정

4

보안 (Cont.) 비밀성 (Secrecy)

다른 사람이 그것에 대해서 아는 것을 원치 않음 소극적인 공격으로 부터의 보호

접근 통제 (Access Control), 암호화 (Encryption)

5

보안 (Cont.) 무결성 (Integrity)

다른 사람이 그것을 변경하는 것을 원치 않음 정보의 정확성 , 완전성 , 일치성을 유지하여

의도된 목적에 따라 정보가 사용되는 것

물리적 통제 (Physical Control), 회복 메커니즘 (Recovery Mechanism)

6

보안 (Cont.) 가용성 (Availability)

자신이 그것을 사용하기를 거의 확실히 원하는 것 정보 시스템이 적절한 방법으로 작동되어야 하며

정당한 방법으로 권한이 주어진 사용자에게 정보 service 가 거부되어서는 안되어야 하는 것

데이터 백업 (Backup), 중복성 (Redundancy) 유지 , 위협 (Threat) 요소 제거

7

보안 (Cont.) 필요성

정상적인 정보의 유지 자산 보호 개인 정보 보호 기업이나 조직의 안전

8

보안 (Cont.) 현재상태

중요한 정보자산의 노출에의한 공격동기 유발 인터넷 사용자의 확산에 따른 공격자의 다양화 Network 구축을 통한 정보자산으로의 접근의 용이 자동화된 tool 을 이용한 공격의 용이

지속적인 증가

9

보안 (Cont.) 현재상태

하나의 침해사고를 위해 복합적인 공격기법이 사용됨

DoS 나 Ddos 공격의 증가 Windows trojan 의 증가

10

보안 (Cont.) 보안을 위한 기술적 요소

암호 및 전자서명 인증 (Authentication) 접근제어 (Access Control) 가용성 mecahnism

11

보안 (Cont.) 보안관련 S/W, H/W

Firewall( 침입차단 시스템 ) IDS ( 침입차단 시스템 ) 취약성 분석 시스템 서버보안 software Auth software Etc…(Anti-virus, Scanner..)

12

보안관련 S/W, H/W Firewall

조직내 경계선 방어를 통한 1 차 방어선 확보 내부 / 외부의 연결을 위한 유일한 경로 제공 설정된 규칙에 따른 효과적인 접근제어 보안성 Vs 편의성을 고려한 보안정책 구현 보안 시스템 구축시 가장먼저 도입

보안 (Cont.)

13

보안관련 S/W, H/W Firewall

VPN 등과 같이 일반적이지 않은 packet 의 처리가 가능한가 ?

Firewall 에서 허용한 유형의 경로 (telnet, ftp 등 )와 관련된 취약점에 대한 효과적인 대응은 ?

물리적 보안 , WWW, Mail 등을 이용한 해킹에 대한 방안은 ?

보안 (Cont.)

14

보안관련 S/W, H/W IDS(Intrusion Detection System)

Firewall 만으로 충분한가 ? Firewall 은 내용을 검사할 수 는 없다 .

NIDS 만으로 충분한가 ? 차후 침입을 완벽하게 차단할 수 없다

HIDS 만으로 충분한가 ? 해당 호스트가 침입자에게 점령당하면

무용지물이 된다

보안 (Cont.)

15

보안관련 S/W, H/W IDS(Intrusion Detection System)

NIDS(Network based IDS) Network packet 분석에 따른 침입감지

HIDS(Host based IDS) 호스트 자원사용 분석에 따른 침입감지

모든 공격에 대한 감지가 가능한가 ? 어떠한 기준에 의해 판단을 내리는가 ?

False positive, false negative

보안 (Cont.)

16

보안관련 S/W, H/W VPN(Vitual Private Network)

Eavesdropping 으로 부터 안전할 수 있는 방법은 무엇인가 ?

평문으로 전송되는 data 에 대해서 어떻게 비밀성과 무결성을 제공할 것인가 ?

Headquater 와 branch 간의 기밀데이터에 대한 안전한 통신방법은 무엇인가 ?

보안 (Cont.)

17

보안관련 S/W, H/W VPN(Vitual Private Network)

공중망을 이용한 투자비용 감소 높은 수준의 가용성 신뢰성의 제공 지역적 한계의 극복 AH, ESP 등을 이용한 전송데이터의 무결성 ,

기밀성의 제공

보안 (Cont.)

18

보안관련 S/W, H/W Anti-Virus

Open system 상에서 다양한 경로로 제공되는 모든 binary, code, applet 등이 안전한가 ?

Firewall, IDS 등에 의해 얼마나 차단되고 감지될수 있는가 ?

개인 Pc 의 data 파괴 , Privacy 유출 , Reputation 위협으로 부터의 가장 안전한 보호는 ?

보안 (Cont.)

19

보안관련 S/W, H/W Anti-Virus

자산으로의 방역 솔루션 전방위 바이러스 방역체제

클라이언트 방역 서버방역 전사적 통합방역 관리

보안 (Cont.)

20

보안관련 S/W, H/W PKI(Public Key Infrastructure)

기존의 다양한 Application 에 보안기능을 추가할 수는 없을까 ?

다양한 Platform, 환경을 지원하는 암호화 개발도구의 필요성

도청 , 권한 위조 , 변조 , 서비스 거부 등의 위협에 대해서 효과적인 해결 방안은 ?

보안 (Cont.)

21

보안관련 S/W, H/W PKI(Public Key Infrastructure)

특정 계층에 속하지 않음 인트라넷에서 전자상거래에 이르는 그

자체가 기본 인프라 PKI 기반의 신뢰고리 형성

보안 (Cont.)

22

보안관련 S/W, H/W Vulnerability Scanner

실제로 공격자가 노리는 곳은 어디인가 ? 어떠한 문제가 존재하는가 ? Firewall 과 IDS 로 모든 위험에 대처할 수 있는가 ? 관리자는 전산자원에 존재하는 모든 위험성에

대해서 이를 감지하고 효과적으로 대처할 수 있는가 ?

보안 (Cont.)

23

보안관련 S/W, H/W Vulnerability Scanner

존재할 수 있는 위험에 대한 점검 Misconfiguration, Poor architecture 에 대한 사전

점검 History 관리와 Prediction 앞으로 우리에게 필요한 보안조치는 ?

보안 (Cont.)

24

보안 (Cont.) 보안관련장비간의 관계

초기 독립적인 제품군으로 구축 및 활용 MSS(Managed Security Service), ESM(Enterprise Se

curity Management) 등의 통합화 각 제품간 상호보안적인 기능으로 동작 각 제품간 연동

Firewall + IDS, Firewall + VPN…..)

25

FIREWALL

26

Firewall 정의

네트워크를 흐르는 packet 을 미리 정해 놓은 규칙에 따라서 차단하거나 전달하는 기능을 수행하는 sofware 또는 hardware

27

Firewall 왜 Firewall 을 사용하는가

network 의 보안 수준은 가장 약한 link 수준의 보안수준

기밀정보가 외부로 나가는 것과 외부의 불법적인 침입 차단

network 간 통신의 자세한 logging 이 가능하고 통계등의 유용한 정보 제공

대부분의 성공적인 공격의 형태가 내부에서 수행

28

Firewall 왜 Firewall 을 사용하는가 (Cont.)

29

Firewall Firewall 의 종류

Packet filtering ApplicationGateway Circuit Gateway Hybrid

30

Firewall Firewall 의 종류

무엇을 기준으로 분류하는가 ?

동작 layer S/W, H/W 동시 session 등의 처리능력

31

Firewall Packet Filtering

IP Packet

32


TCP Packet

33


OSI 모델중 네트웍 층 (IP프로토콜 ) 과 전송 층 (TCP 프로토콜 ) 에서 동작

출발지 주소 , 목적지 주소 service 의 Port 번호 , TCP Sync 비트 등의 Flag 를 이용한 접속제어

34


가능한 것 모든 사람이 SMTP 를 통해 메일을 보낼 수 있다 . 그 컴퓨터는 NNTP 를 이용해서 뉴스를 읽을

수있다 . 불가능한 것

이 사용자만 telnet 을 사용할 수 없다 . 이 파일은 다운로드만 가능하다 .

35


장점 OSI model 에서 network layer(IP Protocol) 과 tra

nseport 계층에서 동작 다른 방식에 비해서 처리속도가 빠르다 사용자에게 투명성 (Transparency) 을 제공한다 . 낮은 layer 에서 동작하므로 기존 Application

과의 연동이 용이하다 하드웨어에 의존적이지 않다 .

36


단점 TCP/IP Header 의 조작이 용이 잠재적으로 위험한 data 의 분석이 불가 잘못된 규칙순서 등에 의한 부하 유발 강력한 logging 및 사용자 인증기능 불가

37


Source Address forgery

38


한계 충분한 보안 강도를 제공하는가 ? Connectionless Protocol 의 처리 Dynamic port 를 사용하는 Application

Session Base 의 filtering 필요성

39

Firewall SI(Stateful Inspection)

Session 에 대한 상태 정보 출발지 , 목적지 , port 번호 , protocol

Communication Information Communication Derived Inormation Application-Derived State Information Manipulation

40

Firewall SI(Stateful Inspection)

Session List

41

Firewall Application Gateway

지능적 PROXY

42


OSI 모델 중 Application layer 에서 동작 해당 서비스 별로 별도의 gateway 존재 Packet filtering 및 packet 의 data 영역까지

제어가 가능 매우 높은 보안정책의 실현 바이러스 검사 등의 부가적인 기능 제공

43


서비스별 전용의 gateway 가 제공

44


장점 Firewall 의 Proxy 를 이용한 연결 ( 직접연결 불가 ) 외부망에 대한 경계선 방어 보다 높은 수준의 보안 정책 구현 높은 수준의 Auditing, Logging 가능 S/Key, SecureID 등의 강력한 인증 기능 제공

45


단점 동작에 따른 부하 유발 Application, User 에 대한 투명성 제공의 어려움 전용 gateway 에 따른 application 의 유연성 부족 하드웨어에 의존적

46

Firewall Circuit Gateway

Session ~ Application Layer 에서 동작 전용 gateway 가 아닌 하나의 일반 gateway 로

모든 서비스 처리 가능

47

Firewall Circuit Gateway

장점 내부의 IP 주소를 숨기는 것이 가능 수정된 Client module 을 이용하는 경우 Applica

tion, User 에게 투명성을 제공 단점

Gateway 의 사용을 위해 수정된 Client Module 이 필요

지원 불가능 Protocol 의 존재 가능성

48

Firewall Hybrid

대부분의 상용 Firewall 의 채택 방식 Packet filtering + Application Gateway 내부의 보안정책 , Application 등에 맞추어

선택적인 보안 설정이 가능 Service 에 따른 구축 및 관리의 어려움이 증대

49

Firewall Firewall 이 제공해 주는 기능

접근제어 (Access Control) 로깅 및 감사 추적 (Logging & Auditing0 인증 (Authentication) 암호화 (Encryption) 기타 … .. (Integrity Check, Virus Filtering, Dual DNS)

50

Firewall Firewall 의 한계

악의 적인 사용자 경유되지 않는 접속 요구 능동적 대응 (Active Response)

51

FIREWALL 의 구축

52

Firewall 의 구축 기존의 Network

Network 설계 당시 보안을 염두에 두지 않음 동일한 Architecture, Protocol 의 확산 특정 Application 의 확대 관리자 및 사용자의 보안의식 결여

53

Firewall 의 구축 위험성의 증가

Unix 및 TCP protocol 의 공개 접속의 용이 Application Bug 관리자의 보안 의식 부족

54

Firewall 의 구축 Data 전송 위험의 유형

Tape-In Piggy Backing : Session Hijacking Interruption : Dos Interception : Sniffing Modification : Man in the middle Fabrication : IP Spoofing

55

Firewall 의 구축 구입할 것인가 구축할 것인가

TCPWrapper, IPChain 등으로 충분한가 ? 조직에 맞는 Fireawall Customizing?

조직의 모든 Service 에 대해서 충분한 접근제어 가가능한가 ?

우리에게 정말 필요한 것이 무엇인가 ?

56

Firewall 의 구축 Firewall 을 위한 Network

Firewall 기능 수행을 위한 별도의 network 구성 잘못된 network 와 위치 선정은 예기치 못한 동작

유발 Screened Host, Screened Subnet, Multi-Homed

등의 network 구조 고가용성의 시스템은 일반적인 시스템에 비해 구현이 어렵고 비용이 많이 소요됨

57

Firewall 의 구축 일반적인 Network

58

Firewall 의 구축 발생가능한 문제점

내부 서버군 등으로 임의의 접근이 가능 내부 데이터의 불법적인 외부 유출 대형 네트워크의 경우 관리 부담 증가 Traffic 관리 , network 구성과 performance 에 대한 측정 , 최적화 , 예상 등이 불가능

59

Firewall 의 구축 Screened Host

하나의 bastion host 와 하나의 screening router 로 구성

bastion host 는 각 service 에 대한 proxy 를 제공 내부 , 외부의 모든 접속요구가 bastion host 를

경유함 여러가지 변형된 형태 가능

60


61


장점 적은 비용으로 구축이 가능 Application level 에서 동작하는 bastion host 가 존재하므로 제공된 서비스의 높은 접근제어 logging 등이 가능하다 .

Outbounding 이 많은 경우에 적당하다 .

62


단점 Router 의 지능적 logging 이 불가 packet level

의 공격에 대해서는 대응하지 못할 수 있음 특정 network application 에 대한 지능적 filterin

g 불가 (FTP 의 dynamic session 등… . ) Bastion host 가 침해되는 경우 더 이상의 보안은

없다 .(Zone of Risk)

63

Firewall 의 구축 Screened Subnet

비공인 네트워크의 구성에도 외부에 서비스를 제공해야 하는 server 군이 존재

복수개의 screening router 와 복수개의 bastion host 로 구성

Bastion host 의 침해가 전체 네트워크로의 확산 방지

경계선 네트워크의 존재

64


65


장점 경계선 네트워크를 통한 보안성 증대 단일한 손상 지점의 제거

단점 설치 및 관리의 어려움 증대 Firewall 의 구축비용 증대 전체 network 성능의 저하 가능성

66


경계선 네트워크 또 다른 보안 계층 – 별도의 네트워크 Bastion host 의 침해 및 network 도청이 전체 네트워크의 침해나 도청으로 확산되지 않음

내부 보호

부가적인 보호 계층의 제공

67

Firewall 의 구축 변형된 구조

여러대의 bastion host 사용 수행능력 여분성 보안성 증대

68

Firewall 의 구축 변형된 구조

내 , 외부 라우터의 병합 In/Outbound

서비스의 구별 경계선 네트워크

의 유지

69

Firewall 의 구축 Multi-homed Gateway

두 개 이상의 인터페이스를 가지는 host Routing method 에 의한 동작 우회경로를 제공하지 않는 높은 보안 강도 제공 대부분의 상용 firewall 이 사용하는 방식

70


71


장점 Firewall 을 제외한 우회 경로가 제공되지 않음 2 개 이상의 network 구성이 가능 가장 좋은 보안성 제공 상용 firewall 대부분이 채택하는 방식

72


단점 Network delay 의 발생 가능성 Single Point of Failure

73

Firewall 의 구축 보안성 순위

Multi-Homed Gateway Screened Subnet Screened Host

74

Firewall 의 구축 Multi-Homed Firewall 의 구축

어디에 구축할 것인가 ? 모든 traffic 의 경유지에 구축 Internet router 와 내부 Backbone Switch 사이에

구축 하는 것이 가장 일반적

75


In/Out bouding 서비스의 Firewall 경유

강력한 접근제어와 logging 우회경로의 제거

76


내부 사용자의 접근 ? 경유되지 않는 traffic

에 대한 제어 불가능 경유되지 않는

어떠한 제어도 지원 불가

77


Service Zone, DMZ 의 필요성 인터넷 서비스 제공 서버의 접근에 대해서 내부와

외부 사용자의 효과적인 접근제어 Multi-Homed firewall 의 추가 network 구축 Server grouping 에 따른 관리 용이

78


Service Zone 의 구축

79


정보 자산에 따른 전산 자원의 분리 내부의 보안 정책에

따른 위치 선정 서비스의 대상에 따른

분류

80


Network 의 분리 여러 개의 network 를 동시에 연결하는 Multi-Ho

med gateway 서로 다른

A, B, C network 으로의 분리

81


Network 의 분리

Subnetting 서로 다른 공인 IP 의 사용 비 공인 IP 의 사용

82


Subnetting 을 이용한 방법 할당된 공인 IP 의 일부를 논리적으로 분리 2 의 지수승으로 분리

장점 많은 양의 IP 를 필요로 하지 않음 공인 IP 사용으로 Application 의 장애를

유발하지 않음

83


단점 A, B, C network 에 낭비되는 IP 가 발생 Subnetting 으로 IP 를 할당할 수 없는 경우 의도적으로 Subnetting 이 되지 않는 경우

84


서로 다른 IP 대역의 사용 각 network 에 서로다른 IP 대역을 사용

장점 Subnetting 의 어려움이 존재하지 않음 공인 IP 사용으로 Application 의 장애를

유발하지 않음 구성이 용이

85


단점 IP 의 낭비가 심할 수 있다 . 여러 개의 공인 IP 대역을 사용하는 경우 routing

관련 설정이 복잡하거나 관리상의 어려움이 증대

86


비 공인 IP 의 사용 관리자의 의도에 의해 IP 부여 RFC 1918 에 정의된 비 공인 IP 대역 사용을

권고

87


장점 할당 받은 공인 IP 대역이 적은 경우 효과적 관리자의 의도에 따른 조직적인 network 구성이

가능 보안성 우수 ( 내부네트워크에 대한 직접적인

접근이 불가 )

88


단점 Routing 에 따른 문제 야기 NAT 를 지원하지 않는 Application 존재

문제 해결을 위한 전용 Application Gateway 및 NAT(Network Address Translation) 기능 지원

89


가장 좋은 형태의 IP 할당

A network : 공인 IP B network : 공인 IP C network : 비공인 IP

90


가용성을 높이기 위한 firewall 의 변형 Firewall 의 부하가

전체 network 의 부하 Single Point of

Failure

91

Firewall 의 구축 High-Availability 구조

필요성 Critical Business Network Intranet + Extranet 업무 환경 Internet Shopping Mall ISP(Internet Service Provider)

92

Firewall 의 구축 High-Availability 구조

Primary-Backup Load Sharing Service Sharing

93

Firewall 의 구축 High-Availability 구조 : Primary Backup

동일한 firewall 로 구성 Active, Stand-by system Primary System 에 장애 발생시 Backup System 이

Primary 의 역할을 대행

94


P rimary Bac kup

내 부 망

외 부 망

P rimary Bac kup

내 부 망

외 부 망

P rimary Bac kup

내 부 망

외 부 망

Standby

Active

Active

Down

Standby

ActiveServer Down

Normal Recovery

95


IP Take Over

P rimary Bac kup

192.168.1.10

외 부 망

210.110.10.10 210.110.10.20

192.168.1.20

192.168.1.10

210.110.10.10

96


MAC Address Take OverIP MAC192.168.1.10192.168.1.20

08:00:20:8C:94:D508:00:24:4D:00:81

P rimary Bac kup

192.168.1.10

외 부 망

210.110.10.10

192.168.1.10192.168.1.20

R outer

MAC address broadcasting

"ARP 192.168.1.10 is 08:00:24:4d:0081"

IP MAC192.168.1.10192.168.1.20

08:00:24:4D:00:8108:00:24:4D:00:81

=>

97


Heartbeat Connection

1.

2.

3.

Server Up

P rimaryAc tive

Bac kupStandby

No Signal

P rimaryDow n

Bac kupAc tive

X

Server Up

P rimaryAc tive

Bac kupStandby

Network Status

Active Service ListC onnec tion/ Established

List

Network Status

Active Service ListC onnec tion/ Established

List

98


No Heartbeat Connection Primary System 복귀 후 IP duplicate 문제 해결

P rimary Bac kup

192.168.1.10

IP duplicate

192.168.1.10

R outer

UPActive

99


장점 비교적 구축이 용이 , 추가장비 없이 구축 가능 비교적 안정적인 서비스 제공 가능

단점 특정 서비스만 중단되는 경우 감지 불가 과부하로 인한 서비스 중지 감지 불가

100

Firewall 의 구축 High-Availability 구조 : Load Sharing

복수개 이상의 firewall 이 부하를 분산 Primary Backup 의 기능 제공 Dynamic Routing 을 이용하는 방법

NAT 를 이용하는 방법 Source Address Routing 을 이용하는 방법

L4 Switch 등의 외부 장비를 이용하는 방법

101

Firewall 의 구축 High-Availability 구조 : Load Sharing Dynamic Routing 의 이용 Firewall 간 OSPF 를 이용한

Routing 정보의 교환 Gated 의 사용

102


OSPF 를 이용한 Load Sharing 설정 예

103

Firewall 의 구축 High-Availability 구조 : Load Sharing Policy Routing 을

이용한 방법

R outer

R outer

System-1A c tive

System-2A c tive

192.168.1.0192.168.2.0

192.168.3.0192.168.4.0

104


Policy Routing 을 이용한 방법

Internal Router Outbouding packet 에 대해서 출발지 주소에

의한 firewall 선정 External Router

Inbounding packet 에 대해 Internal router 의 policy 와 동일한 routing 경로를 설정

105

Firewall 의 구축 High-Availability 구조 : Load Sharing NAT 를 이용한 방법 출발지 주소를 변경한

목적지 선정

R outer

R outer

System-1A c tive

System-2A c tive

106

Firewall 의 구축 High-Availability 구조: Load Sharing L4 Switch 를 이용한 방법

L 4 Sw itc h

L 4 Sw itc h

System-1A c tive

System-2A c tive

107


L4 Switch 를 이용한 방법 외부 L4 Switch 와 내부 L4 Switch 간의 ping

을 이용한 health check Firewall 이 down 되거나 busy 한 경우 다른 Fir

ewall 로 packet forwarding(Active Session 유지 )

Src/Dst 주소에 대한 hash 알고리즘을 이용한 대상 선정

108


L4 Switch 를 이용한 방법 장점

내부 정책에 따른 여러가지 형태의 load 분산이 가능

부하 분산에 따른 전체 network performance 향상

무정지 시스템의 구축

109


L4 Switch 를 이용한 방법 단점

구성에 따른 추가 비용의 소요 Network 구성이 복잡해 질 수 있으며 구성이

용이하지 않다 .

110

Firewall 의 구축 High-Availability 구조 : Service Sharin

g

Firewall 시스템 구성시 시스템의 부하가 많은 서비스들을 별도의 시스템으로 구성

Log, 인증 , Applicaton Proxy 등의 분리가 가능

111

Firewall 의 구축 High-Availability 구조 : Service Sharin

g Cache Service 의 분리

112

FIREWALL 의 기능

113

Firewall 의 기능 Firewall 의 운영

보안 요구 사항 ( 정책의 수립 ) 접근 통제 보증 로깅 가용성 기능

114

Firewall 의 기능 Firewall 의 운영을 위한 기본 설정

115


Dynamic 한 대응의 불가 관리자의 설정 여부에 따른 동작 무용지물 Vs 경계선 방어의 최고

116


객채의 생성 관리자의 보안 정책에 따른 접근 제어 접근 대상의 객체화 서로 구별될 수 있는 모든 것 (IP, 사용자 , 시간 ..) 객채의 혼합을 통한 보다 높은 보안정책의 구현

117


객채의 생성

118


접근제어 규칙의 생성 : 낮은 수준

생성된 객채의 mixing 을 통한 packet filtering 규칙 설정

실제 보안정책의 구현

119



120



ACL5 : 내부망의 모든 Client 는 모든 network 로의 접근이 가능하며 모든 service 를 시간에 관계없이 이용할 수 있다 .

ACL6 : 전체인터넷 ( 일반적으로 이것은 외부의 불특정 다수를 지칭한다 ) 에서 FireWall 의 외부 interface 까지 Mail, Dns, Pop, Updateserv 의 서비스를 위해 접근하는 것이 가능하다 .

ACL8: 본사 사설 network 에서는 내부망으로 모든 서비스를 위해 항상 접근하는 것이 가능하다 .

121


잘못된 설정

Firewall 이 설치되지 않은 것과 같음

122


접근제어 규칙의 생성 : 높은 수준

Application Gateway 의 이용 Internet Service 별 전용의 gateway 가 존재 Application 을 위한 작은 Firewall

123


Application Gateway 의 사용

높은 수준의 보안유지 정상적인 Service 의 제공 Gateway 가 제공해 주는 부가적인 기능 이용

사용자의 편의와 보안성의 안배

124



FTP : 내부 사용자에게 정상적인 서비스 제공 SMTP : 높은 보안성과 부가적인 기능 이용 Pop : 정상적인 서비스의 제공

125


Application Gateway 의 사용 각 서비스별 전용의 gateway 존재 각 서비스별로 보안성을 높이기 위한 방법이나

동작방식에 따른 설정의 다양화 일반적인 TCP Common Gateway 의 존재

126



127



128



129



130

Firewall 의 기능 Firewall 의 특성상 제공해 주는 기능

대부분의 상용 Firewall 이 제공해 주는 기능 물리적인 network 구성에 따른 불이익 최소화 구성의 특이함으로 인해 제공되는 기능

131


NAT(Network Address Translation) Routing 문제의 해결

132


NAT(Network Address Translation) 비 공인 IP 의 routing 불가 정상적인 network service 의 제공이 불가 Firewall 설정의 경우 대다수의 내부망 PC 등의

서비스 제공 불가

Firewall 또는 전용의 NAT 장비를 이용 routing 문제의 해결

133


NAT(Network Address Translation)

134


NAT(Network Address Translation)

135


NAT(Network Address Translation) NAT 내부 사용자의 인터넷 서비스 제공 정당한 외부 사용자의 내부로의 접근은 ?

136


NAT(Network Address Translation) 목적과 용도에 따른 여러가지 종류의 NAT 지원

Normal NAT Reverse NAT Redirect NAT Exclude NAT….

보안성을 높이거나 투명성을 제공하기 위함

137


NAT(Network Address Translation) 외부에서의 응답패킷에 대한 내부로의 연결

NOTICE: SECUREWORKS Session InformationNOTICE: SECUREWORKS (TM) v3.0 R1DTotal NAT Session : 6HV TYPE PROT SRC ADDR PORT NAT ADDR PORT DST ADDR PORT AGE PKTS BYTES---- ------- ---- --------------- ----- --------------- ----- --------------- ----- ------- 15 NORMAL TCP 192.168.2.190 1706 210.122.83.57 37962 211.174.51.104 80 299 49 26KB271 NORMAL TCP 192.168.2.190 1707 210.122.83.57 37964 211.174.51.104 80 27 21 10KB426 NORMAL UDP 192.168.2.55 0 210.122.83.57 0 211.63.87.17 0 191 332 90KB952 REDIR TCP 192.168.2.190 1671 192.168.2.254 21 211.174.51.104 21 268 260 16KB1721 NORMAL UDP 192.168.2.55 500 210.122.83.57 10000 211.63.87.17 500 172 26513 13417KB1855 NORMAL UDP 192.168.2.68 500 210.122.83.57 37898 211.63.87.17 500 168 8606 6315KB

138


VPN(Virtual Private Network)

공중망 (Internet) 을 이용하여 내부 Intranet 을 확장시킬 수 있는 방법

Tunneling + Encryption 여러가지 VPN 구성 방법중 대부분의 Firewall 의

경우 Gateway to Gateway 방법을 지원

139



지정된 network 의 접근에 대하여 VPN 기능 제공 Tunnel Mode or Transfer Mode 의 지원 전송되는 데이터의 압축 , 무결성 , 기밀성 등의

제공

140



141



일반적으로 복수개의 동일한 Firewall 로 구성 사용 알고리즘 등의 다양화 , 복잡성에 의해 호환이

어려움

142


Logging & Auditing Firewall 을 경유 , 접속을 시도하는 모든 event

에 대한 기록 독자적인 DB 체계 구축 저장된 data 를 가공하여 보다 유용한 정보제공 통계자료 생성 , SMS 메시지 전송 , Log Analyzing

143


Logging & Auditing : Log Category Ex:Error, Warning, Notice, Account…

144


Logging & Auditing : Log Category

145


Logging & Auditing : Log Serch

146


Logging & Auditing : Statistics

147


Logging & Auditing :Statistics

보안성과 편의성 모두를 만족시켜야 함 발생되는 Log 의 지속적 관찰과 분석 우리 network 에서 무슨일이 발생하고 있는가 ? 지속적인 Feedback 과 정책 , 구성의 수정

148


기타기능 : 무결성검사 (Integrity Check)

불법적인 Security Policy 의 변경 Firewall 의 침해는 전체 network 로의 확산 관리자의 지정사항 검사 & 보안 Default

149


기타기능 : 무결성검사 (Integrity Check)

150


기타기능 : ALARM

Firewall 의 24 시간 관리가 불가능 보안정책에 위배 또는 관리자의 정의한 event

발생시 mail, SMS 을 이용한 message 전송 , 정의된 script 수행

151


기타기능 : BACKUP

Firewall 에 저장되는 Log 를 자동으로 저장하기 위한 방법 제공

Local Disk, DAT 등의 device 이용 Default Backup, 사용자 지정 backup Tar, ufsdump command 이용

152

FIREWALL 의 운영

153

Firewall 의 운영 Packet Filtering

Incomming Packet Processing

154


Outgoing Packet Processing

155


Packet Processing 전달된 packet 의 정보 조사 관리자가 설정해 놓은 packet filtering 규칙의 순차적인 조사

해당 규칙발견시 바로 적용 나머지 남은 규칙에 대한 검사 없음

156


잘못된 보안 정책의 구현“내부 사용자의 유해사이트로의 접근을 차단한다”

157


잘못된 보안 정책의 구현“내부 사용자의 유해사이트로의 접근을 차단한다”

내부망의 접속요구시 순차적인 packet filtering 규칙 참조

내부에서의 모든 접속요구는 ACL3 규칙에 의해서 모두 처리됨

관리자의 정책 ACL4 은 절대 적용받지 않음

158


Packet Filtering Priority 좀더 제한 적이고 세부적인 규칙이 우선함 Deny 규칙이 Allow 규칙에 우선함

159


Object 의 혼용 : Time Object 지정된 시간에만 특정한 보안정책 적용“모든 유해 사이트로의 접근은 거부된다 . 그러나 일요일에 한하여 허용한다”

160


Client 인증

Firewall 의 모든 접근은 객체간 접근에 근거 Network, 단일 Host, Host group 을 객채로

만들어서 사용 지정된 객채를 만들 수 없는 경우라면 ? ( 유동 IP

사용자 , 양이 너무 많아서 grouping 이 불가능 )

161


실제 Client 인증 설정

계정추가 인증 설정 Packet Filtering 규칙 설정

162

Firewall 의 운영 N.A.T(Network Address Translation)

주소지 정보의 조작을 통한 routing 문제의 해결 목적에 따른 서로 다른 주소 조작

비공인 IP – 공인 IP 공인 IP – 비공인 IP 공인 IP – 공인 IP

163


제공되는 서비스는 어떠한 것들이며 어떠한 방향으로 움직이는가 ? 제공되는 서비스에 대한 정의 동작 방향등의 결정

전송되는 packet 의 출발지 , 목적지 주소를 지정된 주소로 변경

164


Normal NAT : 비공인 IP – 공인 IP 비공인 IP 의 Routing 문제를 해결하기 위해 출발지

주소를 지정된 공인 IP 로 변경

165


비공인 IP 를 공인 IP 로 어떻게 변경하는가 ? 1 : 1 변환 M : 1 변환 M : N 변환

어느 것이 가장 좋은가 ?

실제 Normal NAT 의 설정

166


Reverse NAT : 공인 IP – 비공인 IP 비공인 IP 의 routing 문제 해결 비 공인 IP 에 대한 외부에서의 직접 접근 시도

Normal NAT 와 Reverse NAT 를 혼용해서 사용하는 경우

167


Reverse NAT : 공인 IP – 비공인 IP

5번 규칙에 의한 내부로의 request 를 4번규칙에 의해 response 를 보낸다면 ?

168


Reverse NAT : 공인 IP – 비공인 IP Normal NAT 와의 Priority Proxy ARP

실제 Reverse NAT 의 설정

169


Redirect NAT : 공인 IP – 공인 IP Traffic Redirection 내부 보안정책에 의한 접속요구의 방향 재 지정 Networ 구성에 대한 변경 최소화

170


Redirect NAT : 공인 IP – 공인 IP Port Redirection : Service 의 redirection

실제 Redirect NAT 의 설정

171


172


H.A 구조의 Service Sharing 과의 연동 Application, 로그 , 인증 등의 방향 전환

173


Redirect NAT 의 한계 Firewall 을 경유하는 접속요구에 대한 redirection 반드시 port 지정 (Host 의 모든 접속요구를 다른

Host 로 redirection 하는 것은 불가능 )

Gateway 를 사용하여 해결

174


Exclude NAT : 부분적 NAT 제한 내부 보안정책에 의한 NAT 기능 제한 특정 객채로의 접근 시도 시 전달되는 packet 정보

수정 금지 출발지 주소 Check Application(Billing, Account Mana

gement S/W)

175


176


주로 VPN 을 위해 이용

실제 Exclude NAT 의 설정

177


NAT 설정시 의문 점

Normal NAT 사용시 IP 낭비는 막을 수 없는가 ? Proxy ARP Duplication

178

Firewall 의 운영 VPN(Virtual Private Network)

무엇을 위해서 사용할 것인가 ? 정말 필요한가 ? 타 장비의 도입과 Firewall 을 이용하는 방법중

어느것을 이용할 것인가 ?

179


Transfer mode Vs Tunnel Mode Firewall 의 물리적 구성상 주로 Tunnel mode 로

사용

항목 설명

180


181


+ NAT

182


Firewall 의 기능으로서의 VPN Encryption/Decryption 의 부하 복잡한 VPN 의 충분한 Software 구현의 어려움

IPSEC, PPTP, L2TP, ISAKMP 전용 VPN 장비의 등장 다른 VPN 장비와 호환이 가능한가 ?

183

Firewall 의 운영 Application Gateway

Intelligent PROXY Proxy + Function Add on

184


Transparent Gateway

가장 진보된 형태의 Gateway User, Application 의 투명성 제공 Firewall 을 경유하는 지정된 서비스에 대해서

자동으로 보안정책 적용 Redirect NAT 의 이용

185


Transparent Gateway 전달된 packet 의 수정

186


Transparent Gateway Client 와 Dest Host 간의 연결이 아닌 Firewall

과 Dest Host 간의 연결로 변경

187


Transparent Gateway

현재 모든 서비스에 대해서 tranparent gateway 가 동작하는 것은 아님

SQL*NET, StreamWorks

188


Normal Gateway

비공인 IP 로 인해 Routing 이 되지 않는 Host 로의 접근을 위해 사용

추가적인 인증 기능의 사용 Gateway 로 접속후 원래의 목적지로 접속

189


Normal Gateway 전달된 packet 의 수정

190


Interface 와의 관계

Interface 와 Gateway 가 무슨 관계가 있나 ? Gateway 설정시 어떤 Interface 를 선택하는가

일반적으로 Firewall 과 가장 먼저 만나는 Interface 로의 설정

191


Gateway 의 보안 정책

Gateway 는 특정 서비스를 위한 작은 Firewall 각 서비스에 해당 하는 독립적인 보안정책의 존재 Packet Filtering Vs Gateway Security Policy

192


Ftp Gateway

193


Ftp Gateway

서비스에 대한 부분적 제어 인증 서비스

194


Ftp Gateway 서비스에 대한 부분적 제어 Raw Command 제어

실제 서비스 제어

195


Ftp Gateway 인증 서비스 사용자 Host 구분을 위한 구분자를 이용한 입력

실제 인증 서비스

196


HTTP Gateway 유해 Site 로의 접근 차단 Web Cache Web 인증 Method, Contents 제어

197


HTTP Gateway

Http Gateway 설정 Http 보안 정책 설정

실제 Http Gateway 설정

198


HTTP Gateway 유해 Site 로의 접근차단

URL Parsing, 유해정보 Database 의 이용

199


HTTP Gateway Web Cache Cache Vs Proxy

실제 HTTP Cache 의 설정 Cache 된 data 의 저장

200


HTTP Gateway Web 인증

특별한 경우 과연 내부 사용자가 인증 관련 설정을 변경할 것인가 ? Packet Filtering 규칙의 이용

201


HTTP Gateway Web 인증

실제 HTTP 인증의 설정 인증을 위한 Client 의 Web 설정 변경

202


HTTP Gateway Contents & Method 제어

다양한 표현 및 높은 기능성 정보제공 악성 Applet, Script 의 존재 가능성 Java 등의 동작 특성 (Resource 전송 )

203


HTTP Gateway Contents & Method 제어

GET, POST, PUT, CONNECT, HEAD…..

실제 Contents & Method 제어의 설정

204


SMTP Gateway Store and Forwarding

자체 MTA or Redirect Sendmail Security 적용 (MAPS RBL…) 기타 부가 기능 (local copy, Virus Filtering) 다중 Domain, Keyword 처리

205


SMTP Gateway

실제 SMTP Gateway 의 설정 SMTP Gateway 의 보안 정책

206


SMTP Gateway Mail Relay 방지

Mail From, RCPT to 에 의한 filtering Transparent Gateway 로 동작시 전송되는 모든 mail

에 대한 security policy 적용

207


SMTP Gateway Virus Filtering

Mail 본문 자체 또는 첨부파일의 감염 검사 V3Warp 등의 전용 Virus Engine 감염 여부에 따른 여러가지 대응

실제 Virus Filtering 설정

208


SMTP Gateway Virus Filtering : Alarm Mail

209


SMTP Gateway Mime / UUE 제거와 Keyword Filtering

Binary File 전송 Mime, UUEncoding Mail 본문 중의 특정 keyword 의 filtering

실제 keyword filtering 설정

210


SMTP Gateway Mime / UUE 제거와 Keyword Filtering

211


Pop & IMAP Gateway

Service 의 동작 특성에 따른 다른 Gateway 의 설정

212


Gateway 가 존재하지 않는 Service 는 어떻게 하나 ?

내부 보안 정책 또는 동작 특성상 Gateway(Proxy) 를 사용해야 하는 경우

일반적인 TCP 서비스를 위한 Common Gateway 의 지원

Transparent Vs Forward

213

Firewall 의 운영 Log

Log Category Error Warning Notice Account…….

214


내부 보안정책에 따른 Log 의 생성 특정 객체간 접근에 대한 Log 제어

215


Log 의 분산 저장 Firewall 자체 기능 이용 OS 의 syslog 를 이용 3rd party product 의 이용

Log 의 redundancy 제공 침해 발생 시 근거자료의 보존

216


Log Analyzer 와의 연동 3rd party product 의 이용

보다 유용한 정보로의 가공

217


NMS 와의 연동

기존 network 의 관리와의 Firewall 과의 연동 SNMP Method 의 이용 Polling Method 가 과연 안전한가 ? Trap Method 를 이용한 Alarm 발생

218

Firewall 의 운영 Alarm

Firewall 의 24 시간 Monitoring ? 보안정책의 위배 , 중요한 Event

219

Firewall 의 운영 Statistics

통계자료의 효과적 이용

우리 network 에서 무슨일이 일어나고 있는가 ? 특정 서비스에 대한 사용량이 얼마나 되는가 ? 우리의 보안 정책이 잘 실현되고 있는가 ? 앞으로의 계획은 ?

220

Firewall 의 운영 기타

Routing 정보의 이용

Routing Table 의 관리 신규 network 의 추가 , IP 의 변경

Boot Script Firewall 의 UI Route command

221


High-Availability : Primary Backup

Activity Time out Heartbeat Connection

222


Secure(Dual) DNS

URL 을 이용한 비공인 IP Host 로의 접근 공인 IP 를 가지는 DNS 서버에서 비 공인 IP 정보를

전달해 주는가 ?

기관의 웹서버가 비공인 IP 로 설정되어 내부망에 존재하는 경우 URL 을 이용하여 모두 접속할 수 있는 방법은 ?

223


Secure(Dual) DNS WWW.OURDOMAIN.CO.KR 로의 접속요구

224


Secure(Dual) DNS

서로 분리된 DNS 의 운영 동일 Host 에 대해서 서로다른 network 에서 name query 시 서로다른 IP 로 응답

외부 Domain 에 대한 정상적인 Name query 실제 Secure DNS 의 설정

225


ARP 관리

ARP 도 관리대상인가 ? ARP 에 대해서 어떠한 위험성이 존재하는가 ? Switch Jamming

Static 과 Dynamic update

226


ARP 관리

ARP 를 이용한 내부 Client 의 관리 라우터와 L3 Switch 가 구성된 network 에서도

가능한가 ? 이것이 왜 필요한가 ?

227

FIREWALL 과 NETWORK 의 관계

228

Firewall 과 network 의 관계 Network 의 물리적 변화

무엇이 달라졌는가 ?

229

Firewall 과 network 의 관계 관리상의 변화

Network Application 의 장애 예전에 잘 동작했는데 Firewall 도입 후 동작하지

않네요… . 보안정책에 따른 사용자의 불편함 증가 관리자의 관리영역 확대

230

Firewall 과 network 의 관계 Network Application

Firewall 의 접근제어 Multi Session Application 의 처리 Dynamic Port 의 이용

무조건 모두 Open 해야 하는가 ?

231

Firewall 과 network 의 관계 Network Application

NAT 의 장애 Data 영역의 주소지 정보 전달 NAT 를 지원하지 않는 Application, Protocol

FTP 의 예

secureworks firewall 교육 교재

Documents