침입차단시스템(FIREWALL)의 동작방식에 따른 종류에 패킷필터링, 어플리케이션 레벨 방화벽, 서킷 게이트웨이 , Stateful Inspection, 동적패킷필터링, 커널프록시, 하이브리드 가 있다고 합니다.[정보보호 핵심지식 p313].
이중에 Stateful Inspection, 동적패킷필터링, 커널 프록시 는 인포 강의에 없었었는데, 잘 알고 계신분 있으면 설명 부탁드립니다.
저도 이 부분 공부하던 중이었는데요...저는 방화벽 구축형태가 잘 안외워져서 고민하던 차입니다.
정리된 것을 올려보자면,(커널 프록시는 몰르겠어요)==> 좀더 찾아봐야겠네요
1) 방화벽의 종류 ( Firewall Type )
패킷 필터링 방식 ( Packet-filtering ), 응용 게이트웨이 방식 ( Application Gateway ), 서킷 게이트웨이 ( Circuit Gateway ), 상태 정밀 검사 ( Stateful Inspection ),
하이브리드 방화벽 ( Hybrid Firewall )
◑ 패킷 필터링 방식 ( Packet-filtering )
OSI 모델에서 네트워크 계층(IP 프로토콜)과 전송 계층(TCP 프로토콜)에서(3,4계층) 작동하며,
미리 정해진 규칙에 따라 패킷의 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어를 합니다.
◑ 응용 게이트웨이 방식 ( Application Gateway )
응용 게이트웨이는 OSI 7계층 네트워크 모델의 어플리케이션 계층에 방화벽 기능이
들어있습니다. 이 게이트웨이는 각 서비스별로 프락시 데몬(Proxy Daemon)이 있어 프락시 게이트웨이라고도 합니다.
응용 게이트웨이 방식은 클라이언트로부터 요청(Request)을 접수한 후, 방화벽이 클라이언트 대신 서버로부터 응답(Reply)을 받아 이를 다시 해당 클라이언트에게로 보냅니다. 이때 세션(Session)이 형성됩니다. 이 방식의 방화벽은 사용자 및 응용 서비스에서 접근 제어를 제공하며 응용 서비스 프로그램의 사용을 기록하여 감시 추적에 사용될 수 있습니다.
◑ 서킷 게이트웨어 ( Circuit Gateway )
서킷 게이트웨이(Circuit Gateway)방식은 OSI 모델의 5계층에서 7계층 사이에 존재합니다. 어플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 어플리케이션도 이용할 수 있는 일반적인 프락시가 존재합니다.
방화벽을 통해서 내부 시스템으로 접속하기 위해서는 먼저 클라이언트측에 서킷 프락시를 인식할 수 있는 수정된 클라이언트 프로그램(예: SOCKS)이 필요합니다. 따라서 수정된 클라이언트 프로그램이 설치되어 있는 클라이언트만 Circuit 형성이 가능합니다.
◑ 상태 정밀 검사 ( Stateful Inspection )
상태 정밀 검사(Stateful Inspection) 방화벽은 기본적으로 Packet Filtering의 기술을 사용하여 클라이언트/서버 모델을 유지시키면서 모든 계층의 전후상황에 대한 문맥(Context) 데이터를 제공함으로써 이전 방화벽의 한계를 극복하였습니다.
Packet Filtering 방식에 비해 세션(Session) 추적 기능 추가 ,데이터에 대한 좀 더 완벽한 검사 기능을 제공,
- 상태를 검사함으로써 UDP 및 RPC같은 Connectionless의 프로토콜 (protocol)까지 점검하는 기능 제공
|
패킷 필터링 방식 (Packet-filtering) |
- 네트워크 계층과 전송 계층에서 작동하여 패킷의 IP Address와 port만을 참조하여 접속 제어를 실시 - 강력한 로깅(logging)과 사용자 인증은 제공하지 않음 |
|
응용 게이트웨이 방식 (Application Gateway) |
- 프락시 게이트웨이라고도 하며 사용자 및 응용 서비스에서 접근 제어를 제공하여 응용 프로그램 사용을 기록하여 감시 추적에 사용할 수 있음 - 보안성이 뛰어나지만, 성능이 떨어지고, 유연성이 없음 |
|
상태 정밀검사 (Stateful Inspection) |
- 모든 계층의 전후 상황에 대한 문맥 및 상태를 검사함으로서 UDP나 RPC 같은 Connectionless protocol까지 점검하는 기능을 제공 |
방화벽의 구축형태(Firewall Architecture)에는 다음과 같은 것들이 있습니다.
네트워크수준: 베스천, 스크린호스트, 스크린 서브넷
응용수준 : 프록시 서버 호스트, 서킷 게이트웨이
혼합형 : 응용수준과 네트워크수준의 혼합형
|
스크리닝 라우터(Screening Router) |
- IP, TCP, UDP의 헤더부분에 포함된 내용만 분석하여 동작하며 네트워크 계층에서 동작하므로 속도가 빠름 - 상위 계층의 공격에 방어할 수 없고 로깅 관리가 부족하다는 단점이 있음 |
|
베스천 호스트(Bastion Host) |
- 베스천 호스트에서 접근 제어와 인증 및 로그 기능을 제공하는 구조 - 스크리닝 라우터보다는 안전하지만, 베스천 호스트가 손상되거나, 로그인 정보가 누출되면 내부 네트워크를 보호할 수 없어지는 단점이 있음 |
|
듀얼 홈드 호스트(Dual-Homed Host) |
- 베스천 호스트에서 IP 패킷 라우팅을 하지 않고 프락시(Proxy) 기능을 부여하여, 패킷이 외부망(untrustnetwork)과 내부망 (trust network)간에 직접으로 전달되지 않도록 함 - 보안성은 향상되지만 투명한 서비스는 제공하지 못한다는 단점이 있음 |
|
스크린드 호스트(Screened Host) |
- 내부와 외부 네트워크 시스템에 대한 시스템, 사용자 및 서비스 인증을 하며, 네트워크 계층과 응용 계층에서 방어하기 때문에 보안성과 융통성이 뛰어남 - 침입자에 의해 스크리닝 라우터의 라우팅 테이블이 변경되면 방어할 수 없다는 단점이 있음 |
|
스크린드 서브넷(Screened Subnet) |
- 가장 보안성이 뛰어나지만, 구축과 관리가 어렵고 서비스 속도가 느리다는 단점이 있음 |
방화벽은 방화벽을 통과하지 않는 패킷에 대해서는 전혀 대응할 수 없으며, 허용된 패킷 안의 데이터를 변조하는 공격에 대해서는 무방비 상태가 됩니다.
침입 탐지 시스템은 침입 탐지 모델에 의해 오용 탐지(Misuse Detection)와 변칙 탐지(Anomaly Detection), 데이터 소스에 따라 호스트 기반과 네트워크 기반의 침입 탐지
시스템으로 나눌 수 있습니다.
|
침입 탐지 모델에 의한 구분 |
오용 탐지 시스템 |
- 이미 알려진 취약점 패턴을 이용하여 침입을 탐지하는 방식 - 알람이 규격화 되어 이해하기 쉽고 오탐이 적다는 장점이 있지만, 새로운 패턴은 탐지할 수 없어서 지속적인 관리가 요구되는 단점이 있음 |
|
변칙 탐지 시스템 |
- 네트워크 상의 사용자들의 패턴을 수집하고 분석하여 통계적인 분석에 의해 감지하는 방식 - 새로운 패턴을 탐지할 수 있고, 관리가 용이하지만, 오탐이 많이 발생하고 사용자의 사용패턴이 불규칙적이면 구현이 어려움 | |
|
데이터 소스에 따른 구분 |
호스트 기반 침입 탐지 시스템 |
- 해당 시스템의 파일들에 대한 무결성을 점검 - 네트워크 환경에 대해 구애 받지 않지만 시스템별로 호환성의 문제가 발생함 |
|
네트워크 기반 침입 탐지 시스템 |
- 네트워크상의 모든 패킷을 검사 및 분석 - 호스트 공격 전에 탐지를 지원하며, 대규모 네트워크 효과적인 침입 탐지 환경을 갖출 수 있으나 콘솔 작업자에 대한 탐지는 불가능함 |