개념

인터넷과 같은 외부 네트워크에서 비인가자[1]가 내부망으로 불법적인 접근 또는 접속을 시도하는 것을 막기 위한 시스템
내부 네트워크를 방어하는 보안 경계선을 뜻한다.

원리

외부 네트워크로부터 침입 차단 시스템으로 들어오는 모든 접근 시도를 거부(deny)한 후 사전에 설정된 보안규칙에 따라 허용할 접근만 단계적으로 허용(permit)한다.

  • 접근 제어 리스트(ACL)를 토대로 패킷을 허용, 거부하여도 트래픽 제어를 한다.
  • 로깅, 감사 추적 및 무결성 체크
  • 주소 변환, 사용자 인증

기술에 따른 분류

  • 패킷 필터링 F/W (Firewall): 송수신되는 데이터 패킷의 IP Address 및 TCP/IP Header 정보를 활용한다. (높은 성능 + 낮은 수준의 보안성 제공)
    헤더 정보를 토대로 접속을 제어하므로 데이터 내용 분석이 불가능하여 IP spoofing 공격에 취약하다.

  • 상태분석형 방화벽(Stateful Inspection): 상대 테이블에 데이터 패킷의 연결정보를 저장하고 이를 참조하여 패킷 필터링을한다. (높은 성능 + 높은 수준의 보안성 제공)
    송수신 패킷을 모두 검사한다.

  • 프록시 F/W: 내외부 네트워크 사이에 위치하여 외부 공격자가 내부 네트워크로 직접 접근하는 것을 제어한다.

  • 애플리케이션 레벨 프록시: 응용계층에서 패킷 전체를 기반으로 접근 결정, 각각의 프로토콜에 대한 프록시 서버 필요 (높은 성능 + 높은 수준 보안성 제공)

  • 서킷 레벨 프록시: 클라이언트와 서버 사이에 회선 생성 후 요청 서비스로 연결, 응용 수준과는 무관하게 하나의 프록시 서버 필요

데이터 소스 따른 유형

  • 호스트 기반(HIPS): 각 호스트에 설치된 IPS Agent 가 시스템의 해킹 시도 이상 징후 탐지/차단

  • 특징: 서버의 커널 조작 등 침입 방지

  • 목적: 시스템 불법 침입 및 바이러스 해킹 대응

  • 장점: 커널 상에서 불법 응용 방지

  • 단점: 정상 응용 프로그램 방해 가능성 높음

  • 네트워크 기반(NIPS): 네트워크의 물생적 혹은 논리적 경계지점에 인라인방식으로 설치

  • 특징: 웹 디도스, 오버플로우 등

  • 목적: 네트워크의 과도한 트래픽 방지

  • 장점: 하드웨어 기반의 빠른 대응

  • 단점: 네트워크상의 단일 장애점으로 인한 가용성 문제 발

구현 방식에 따른 분류

네트워크 기반 웹 방화벽: 네트워크 구간의 인라인

  • 장점: 단일 방비로 다수 웹 서버 보안 적용, 기존 웹서버의 변경 및 수정 불필요
  • 단점: SSL 같은 암호 데이터 전송이 많을 경우 서비스 지연, 다른 기종의 운영체제 웹서버가 설치 되었을 경우 대응이 어려움

호스트 기반 웹 방화벽: 에이전트, 마스터 서버

  • 장점: 보안 모듈이 설치되므로 서버 환경별로 최적화된 보안 정책 적용 가능
  • 단점: 웹서버별로 에이전트가 설치되어 관리의 어려움, 웹서서별로 최적화된 환경 구축 비용 증가

설치 및 구성

  • 스크리닝 라우터: 라우터를 이용, 각 인터페이스에 들어오고 나가는 패킷을 필터링 -> 내부로 접근 제어
    3-4계층에서 동작하는 프로토콜(ID, TCP, UDP) 헤더에 포함된 내용을 분석하여 동작한다.

  • 장점: 필터링 속도가 빠르고 저비용이다.

  • 단점: 패킷 내부 데이터에 대한 공격의 차단이 불가능하다.

  • 베스천호스트: 응응 계층 서비스를 제공해주는 내부 네트워크와 외부 네트워크의 연결점으로 사용되는 호스트
    내외부 네트워크 사이에서 게이트웨이 역할을 수행하여 철저한 보안 방어막 구축

  • 장점: 각종 로깅 정보 생성 및 관리가 용이하다.

  • 단점: 패킷 내부 데이터에 대한 공격의 차단이 불가능하다.

  • 이중 네트워크 게이트웨이: 하나의 인터페이스 -> 외부 연결, 다른 인터페이스 -> 내부 연결
    내외부 네트워크 간 직접적인 TCP/IP 연결 불가능, 외내부 물리적으로 격리

  • 장점: 효율적인 트래픽 관리, 설치, 유지보수가 용이하다.

  • 단점: 베스천호스트가 손상되거나 로그인 정보가 누출되면 내부 네트워크 보호가 어렵다.

  • 스크린드 서브넷 게이트웨이: 스크리닝 라우터 사이에 듀얼-홈드 게이트웨이에 위치한다.
    인터넷과 내부 네트워크 사이에 DMZ 라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식

  • 장점: DMZ 같은 보안층을 가지고 있어 매우 안전하며 방어 기능 수행

  • 단점: 설치와 관리가 어려움, 고비용 및 저속의 보안 서비스

WEB

웹 방화벽: OWASP[2]의 대표적인 웹 취약 공격에 대한 탐지 및 대응 가능
OWASP Top10: A1-A10
기존 침입 차단 시스템의 한계. 삽입 취약점, 크로스사이트 스크립팅, 취약한 접근 통제

  • HTTP 특성상 80 port 연결 트래픽 차단 불가
  • URL, Header 등 웹 프로토콜에 특화된 공격에 대응 불가
  • 애플리케이션 레벨에서 트래픽 분석 및 차단 기능 수행 불가

  1. 일반적으로 특정 시스템, 정보, 시설 또는 데이터에 접근 권한이 없는 사람을 의미한다.
    비인가자의 접근을 방지하기 위해 인증(누군지 증명), 인가(인증 이후 어떤 자원에 접근할 수 있는지 결정), 암호화, 접근 제어 리스트, 방화벽을 사용한다. ↩︎

  2. Open Web Application Security Project 웹 애플리케이션 보안의 향상을 목표로 하는 비영리 단체이다.
    개발자, 보안 전문가, 기업 등이 활용할 수 있는 다양한 도구, 문서, 프레임워크 등을 제공하여 안전한 웹 애플리케이션을 개발하고 유지할 수 있도록 지원한다. ↩︎