NETWORK SECURITY

NETWORK SECURITY

네트워크 보안 에센셜

ESSENTIALS

4

EDITION

11.1 침입차단시스템의 필요성 11.2 침입차단시스템 특성

11.3 침입차단시스템 유형 11.4 침입차단시스템 배치

11.5 침입차단시스템 위치와 구성

제11장 침입차단시스템

11.1 침입차단시스템의 필요성

• 정보 시스템 개발 사항

– 직접 연결된 여러 터미널을 지원하는 중앙 메인프레 임을 가진 중앙집중식 데이터 처리 시스템

– PC와 터미널을 서로 연결하고 메인프레임과도 연결 되는 LAN

– 여러 개의 LAN, 연결된 PC, 서버, 한 두 개의 메인프 레임으로 구성되는 댁내 네트워크(premises network) – 지리적으로 분산된 다수의 댁내 네트워크가 사설 광

역 네트워크(WAN)에 의해 연결된 기업 네트워크 (enterprise-wide network)

– 다양한 댁내 네트워크가 모두 인터넷에 연결되고 사 설 WAN에 의해 연결되거나 연결되지 않은 모든 인터 넷 연결성(Internet connectivity)

3

11.2 침입차단시스템 특성

• 침입차단시스템(firewall)의 설계목표

1. 안에서 밖으로 나가는 모든 트래픽과 밖에서 안으로 들어오는 트래픽 모두는 반드시 침입 차단시스템을 통과

2. 지역 보안정책에 의해 정의된 트래픽 같은 허가된 트래픽만 통과

3. 침입차단시스템 자체는 침투에 면역성을 가 지고 있어야 한다

4

접근제어와 사이트 보안정책 수행 4가지 일반적인 기술

• 서비스 제어(Service control):

• 목적지 제어(Direction control):

• 사용자 제어(User control):

• 행동 제어(Behavior control):

5

침입차단시스템 역할 범위

1. 단 하나의 길목을 두어 취약한 서비스가 네트워 크에서 나가고 들어오는 것을 금지하고, 다양한 종류의 IP 스푸핑과 라우팅 공격으로부터 보호 2. 보안관련 사건의 위치 추적과 감사와 경고를 구 3. 보호 범위 밖의 서비스 현

– 안전하지 않은 무선 LAN

– 내부 침입차단시스템으로 통제되지 않는 로컬 시스 템 사이의 무선 통신

4. 휴대장치 사용

– 랩톱, PDA 또는 휴대용 저장장치는 외부 감염 가능 – 내부에서 사용시 문제점 발생

6

11.3 침입차단시스템 유형

• 침입차단시스템 유형

• 패킷-필터링 침입차단시스템

• 스테이트풀 패킷 검사 침입차단시스템

• 응용-레벨 게이트웨이

• 회선-레벨 게이트웨이

7

패킷-필터링 침입차단시스템

• 들어오는 IP 패킷에 규칙모음을 적용하고 전달할 것은 전달하고 폐기할 것은 폐기

• 침입차단시스템은 양쪽 방향에서 들어오 는 패킷 모두를 필터링

• 필터링 규칙은 네트워크 패킷에 포함된 정 보에 기초

8

네트워크 패킷에 포함된 정보

• 발신지 IP 주소(Source IP address):)

• 목적지 IP 주소(Destination IP address):

• 발신지와 목적지 전송 계층 주소(Source and destination transport-level address):

• IP 프로토콜 필드(IP protocol field):

• 인터페이스(Interface):

9

패킷 필터

• 규칙의 모음(set)으로서 IP나 TCP 헤더 안 의 필드와 이 모음이 일치하는가를 검사

– 모음 안의 규칙 중 어느 하나와 일치

• 해당 패킷을 전달할 것인지 버릴 것인지를 결정

– 어떤 규칙과도 일치되는 것이 없으면

• 디폴트 동작(default action)을 수행

• 2가지 디폴트 동작

– 디폴트(Default) = 제거(discard): 명백하게 허용되는 것만 빼고 다른 것은 금지

– 디폴트(Default) = 전달(forward): 명백하게 금지되는 것 만 빼고 다른 것은 허용

10

침입차단시스템 유형(일반 모델)

11

침입차단시스템 유형 (패킷 필터링 모델)

12

침입차단시스템 유형

(스테이트풀 패킷 검사 모델)

13

침입차단시스템 유형 (응용 프록시 모델)

14

침입차단시스템 유형 (회로-레벨 프록시 모델)

15

패킷 필터링 단계

A. 들어오는 메일은 허용(포트 25번은 SMTP 수 신에 이용)하지만 오직 게이트웨이 호스트 (OUR-GW)로 가는 것만 허용

– 특정 외부 호스트 스피것(SPIGOT)으로부터 오는 메일은 차단

– 왜냐하면 그 호스트는 과거에 전자메일을 통해 서 대량 파일을 보낸 적이 있기 때문

B. 이것은 디폴트 정책의 본질을 나타내는 선언

– 모든 규칙모음에는 이 규칙이 마지막 규칙으로 서 암묵적으로 포함

16

패킷 필터링 단계

C. 모든 내부 호스트가 밖으로 메일을 보낼 수 있다는 것을 나타낼 목적으로 사용

– 목적지 포트번호가 25인 TCP 패킷은 목적지 기 계의 SMTP 서버로 라우트

– 이 규칙의 문제점은 목적지 기계가 SMTP 수신 을 할 수 있는 유일한 방법이 오직 포트 25만 사 용해야 한다는 것이 디폴트라는 것

– 밖에 있는 기계는 포트 25에 다른 응용 프로그램 을 연결해서 사용할 수도 있음

– 이 규칙에 명시된 대로 공격자는 TCP 소스 포트 번호를 25로 가지고 있는 패킷을 보내어 내부 기 계에 대한 접근허가를 받을 수 있음

17

패킷 필터링 단계

D. 이 규칙 모음은 C에서 드러난 문제점을 해결

– 이 규칙은 TCP 연결의 기능을 이용

– 일단 연결이 설정되면 TCP 단편의 ACK 플래그를 상 대방이 보낸 확인응답 단편(acknowledge segments) 로 설정

– 이 규칙모음이 선언하는 것은 발신지 IP 주소가 지정 된 내부 호스트 주소 중의 하나이고 목적지 TCP 포 트 번호가 25인 IP 패킷의 통과를 허용한다는 것

– 들어오는 패킷의 발신지 포트 번호가 25이고 TCP 단 편 안에 ACK 플래그를 갖고 있으면 그 패킷을 허용 – 이 규칙을 정확히 정의하기 위해서 발신지와 목적지

시스템을 정확하게 지정한다는 점에 유의

18

패킷 필터링 단계

• 이 규칙모음은 FTP 연결을 처리하는 한 가지 방법

– FTP에서는 두 개의 TCP 연결이 필요

• 파일전송을 설립하기 위한 제어연결

• 실제로 파일전송을 위한 데이터 연결

– 대부분의 서버는 번호가 낮은 포트를 이용하므로 쉽게 공 격 목표물이 된다

– 대개 외부 호출은 주로 1023번 이상의 높은 번호 포트를 사용하므로 이 규칙모음은 다음과 같은 패킷을 허용

• 내부에서 나온 패킷

• 내부 기계에 의해 개시된 연결에 대한 응답 패킷

• 내부 기계의 포트번호가 높은 포트로 가는 패킷

– 이 구조에서는 시스템 구성시 오직 적합한 포트번호만 사 용

19

패킷-필터링 예

20

패킷-필터링 예

21

패킷필터 침입차단시스템의 약점

1. 패킷필터 침입차단시스템은 상위계층 데 이터를 검사하지 않기 때문에 특정 응용 프로그램마다 가지고 있는 취약점이나 기 능을 이용하는 공격을 막을 수가 없다.

2. 침입차단시스템이 알 수 있는 정보가 제 한적이기 때문에 패킷필터 침입차단시스 템의 기록(logging) 기능은 제한적

22

패킷필터 침입차단시스템의 약점

3. 대부분의 패킷필터 침입차단시스템은 고 급 사용자 인증 구조를 지원 않음

4. 패킷필터 침입차단시스템은 일반적으로 네트워크 계층 주소 스푸핑(network layer ad-dress spoofing) 같은 TCP/IP 명세와 프로토콜 스택 안의 문제점을 이용하는 공격이나 그것을 악용하는 데 대해 취약

23

패킷필터 침입차단시스템의 약점

5. 접근제어 결정에 사용하는 변수의 개수가 적기 때문에 패킷필터 침입차단시스템은 구성을 잘못하게 되면 보안에 허점이 생 길 수 있음

24

패킷-필터링 라우터에 대한 공격과 적합한 대응방법

• IP 주소 스푸핑(IP address spoofing):

– 공격

• 침입자는 밖에서 발신지 IP 주소필드에 내부 호스 트의 주소를 가지는 패킷을 전송

• 공격자가 노리는 것은 이 가짜 주소를 사용하여 특 정 신뢰 내부 호스트로부터 오는 패킷을 허용하는 초보적인 근원지 주소 보안규칙을 적용하는 시스 템에 침투하는 것

– 방어

• 패킷이 외부 인터페이스에 도착했을 때 내부 발신 자 주소를 갖고 있으면 그 패킷을 제거

25

패킷-필터링 라우터에 대한 공격과 적합한 대응방법

• 발신지 경로배정 공격(source routing attacks):

– 공격

• 발신 지국은 패킷의 발신지 경로배정 정보를 분석 당하지 않도록 보안기능이 있는 곳을 피해가기 위 해 패킷에 인터넷을 통과할 때 따라 가야 할 경로 (라우트)를 지정

– 방어

• 이 옵션을 이용하는 패킷을 모두 삭제

26

패킷-필터링 라우터에 대한 공격과 적합한 대응방법

• 소형 단편 공격(Tiny fragment attacks):

– 공격

• 침입자는 IP 단편 옵션을 이용해서 아주 작은 단편을 만 들고 TCP 헤더 정보를 별개의 따로 떨어진 패킷 단편으 로 만든다.

• 이 공격은 TCP 헤더 정보에 의존하는 필터링 규칙을 교 묘하게 피하도록 설계

• 공격자는 필터링 라우터가 첫 번째 단편만 검사하고 나 머지는 그냥 통과시키기를 바란다

– 방어

• 프로토콜 유형이 TCP이고 IP 단편 오프셋(IP Fragment Offset)2)의 값이 1인 모든 패킷을 제거

27

스테이트풀 패킷 검사 침입차단시스템

• 패킷필터링 침입차단시스템에서와 마찬가지로 동 일한 패킷 정보를 검토하지만 TCP 연결에 관한 정 보를 기록

• 스테이트풀 침입차단시스템은 또한 TCP 순서번호 를 추적해서 순서번호를 이용한 세션하이재킹 같 은 공격을 차단

• 어떤 스테이트풀 침입차단시스템은 제한적으로 응 용 데이터를 조사해서 FTP, IM 또는 SIPS 명령어 같은 잘 알려진 프로토콜을 찾기도 한다.

• 이를 찾는 이유는 연관된 연결을 식별하거나 추적 하기 위한 것

28

스테이트풀 침입차단시스템 연결상태 표 예

29

응용-레벨 게이트웨이

• 응용-레벨 게이트웨이(Application-Level Gateway)는 프록시서버라고 한다

• 응용-레벨 트래픽의 중개자 역할을 한다

• 패킷 필터보다 더 안전

• 허용되지만 TCP와 IP 레벨에서 금지할 다양 한 모든 조합을 검사하려고 노력하는 것보다 는, 응용-레벨 게이트웨이는 몇 개 되지 않는 응용만 자세히 검사하면 된다.

• 거기에다 더해서 응용 레벨에서 들어오는 트 래픽을 기록하고 감사하는 것은 별로 어려운 일이 아니다.

30

회선-레벨 게이트웨이

• 종단-대-종단 TCP 연결을 허용하지 않는다.

• 오히려 이 게이트웨이는 두 개의 TCP 연결 을 설정한다

– 자신과 내부 호스트의 사용자 사이의 연결 – 자신과 외부 호스트의 TCP 사용자 간 연결

• 일단 두 연결이 설정되면 게이트웨이는 일 반적으로 내용에 대한 검사를 하지 않고 한 연결에서 다른 연결로 TCP 단편을 중개 해서 전달

31

SOCKS

• 회선-레벨 게이트웨이 구현의 한 예

– SOCKS 패키지

– SOCKS 구성 요소

• SOCKS 서버

– UNIX-기반 침입차단시스템에서 구동

• SOCKS 클라이언트 라이브러리

– 침입차단시스템에 의해 보호되는 내부 호스트에서 구동

• FTP와 TELNET 같은 여러 표준 클라이언트 프로그램의 SOCKS-ified 버전.

– SOCKS 프로토콜의 구현은 SOCKS 자료집에 있는 적절한 캡 슐화 루틴을 사용하기 위해 보통 TCP-기반 클라이언트 응용 을 재컴파일하거나 재링크하는 것

32

11.4 침입차단시스템 배치

• UNIX나 Linux 같은 일반적인 운영체계 시 스템을 쓰는 독립된 머신에 침입차단시스 템을 배치

• 침입차단시스템 기능은 라우터나 LAN 스 위치 안에서 소프트웨어 모듈 형태로 구현

33

배스천 호스트

• 배스천 호스트(bastion host)는 침입차단시 스템 관리자에 의해 네트워크 보안에서 아 주 중요한 핵심(보안측면에서)으로 인식되 는 시스템

• 보통 배스천 호스트는 응용-레벨 혹은 회 선-레벨 게이트웨이를 위한 플랫폼으로 이 용

34

배스천 호스트의 일반적 특징

• 배스천 호스트 하드웨어 플랫폼은 신뢰시스 템이 되기 위해 운영체제로 안전한 운영체제 버전을 사용

• 네트워크 관리자가 필수라고 생각하는 서비 스만 배스천 호스트에 설치

– TELNET 같은 프록시 응용, DNS, FTP, SMTP, 사용 자 인증

• 배스천 호스트는 프록시 서비스에 사용자 접 근허용을 하기 전에 추가적인 인증을 요구

– 추가로 각 프록시 서비스는 사용자에게 접근을 허 가하기 전에 자체 인증을 요구

35

배스천 호스트의 일반적 특징

• 각 프록시 모듈은 네트워크 보안용으로 설계된 아 주 작은 소프트웨어 패킷

– 모듈이 상대적으로 단순하기 때문에 보안 결함을 찾 기 위해 이런 모듈을 검사하는 것이 용이

• 배스천 호스트의 각 프록시는 다른 프록시와 독립 적

– 어떤 프록시의 운영에 문제가 있다거나 미래에 취약 점이 발견된다고 하더라도 다른 프록시 응용의 운영 에 영향을 주지 않고 해당 프록시만 제거 가능

– 사용자 계층에서 새로운 서비스에 대한 지원을 요청 하게 되면 네트워크 관리자는 배스천 호스트에 그 요 구된 프록시를 쉽게 설치

36

배스천 호스트의 일반적 특징

• 프록시는 일반적으로 디스크의 초기 구성 파일을 읽는 것 이외에는 디스크에 접근하 지 않는다

– 침입자가 트로이 목마 침입자(sniffer)나 다른 위험한 파일을 배스천 호스트에 설치하는 것 이 어렵다.

• 각 프록시는 배스천 호스트의 개인적이고 안전한 디렉터리 안에서는 특권이 없는 사 용자로서 실행

37

호스트-기반 침입차단시스템

• 개별적인 호스트를 안전하게하기 위한 소 프트웨어 모듈

• 이런 모듈은 많은 운영체제에서 사용할 수 있고 추가적 패키지로 제공

• 전통적 독립 침입차단시스템처럼, 호스트- 기반 침입차단시스템은 패킷을 필터링하 고 패킷 흐름을 제어

• 이런 침입차단시스템 설치 장소는 서버

38

호스트 기반의 장점

• 필터링 규칙을 호스트 환경에 따라 맞춤형 으로 제작 가능

• 토폴로지에 상관없이 보호 가능

• 독립적 침입차단시스템과 병합해서 사용 하면 호스트-기반 침입차단시스템은 추가 적인 보안계층 제공 가능

39

개인 침입차단시스템

• 한쪽이 개인 컴퓨터나 워크스테이션이고 다 른 한쪽이 인터넷이거나 엔터프라이즈 네트 워크일 경우 이들 사이의 트래픽을 통제

• 개인 침입차단시스템 기능을 가정용 환경이 나 회사 인트라넷 환경에 활용 가능

• 전형적으로 개인 침입차단시스템은 개인용 컴퓨터상의 소프트웨어 모듈

• 가정용 환경에서는 침입차단시스템 기능을 라우터에 내장

40

개인 침입차단시스템 예

• Mac OS X 운영체제에 내장된 기능

– 사용자가 Mac OS X 안의 개인 침입차단시스 템을 활성화시키면, 사용자가 구체적으로 허 가한 패킷만 제외하고 모든 내부로 향하는 연 결을 거부

41

서비스 목록과 포트번호

• Personal file sharing(548, 427)

• Windows sharing(139)

• Personal Web sharing(80, 427)

• Remote login - SSH(22)

• FTP access(20-21, 1024- 64535 from 20-21)

• Remote Apple events(3031)

• Printer sharing(631, 515)

• IChat Rendezvous(5297, 5298)

• ITunes Music Sharing(3869)

• CVS(2401)

• Gnutella/Limewire(6346)

• ICQ(4000)

• IRC(194)

• MSN Messenger(6891-6900)

• Network Time(123)

• Retrospect(497)

• SMB(without netbios-445)

• Timbuktu(407)

• VNC(5900-5902)

• WebSTAR Admin(1080, 1443

42

개인 침입차단시스템 인터페이스 예

43

11.5 침입차단시스템 위치와 구성

• 침입차단시스템은 보통 신뢰받지 못하는 트래픽 출처인 외부 네트워크와 내부 네트 워크 사이에 위치해서 보호된 방어막을 제 공한다

• 이러한 일반적 원칙을 가지고, 보안 관리 자는 필요한 침입차단시스템의 개수와 설 치할 장소를 결정해야만 한다

44

침입차단시스템 구성의 예

45

DMZ 네트워크

• 내부 침입차단시스템과 외부 침입차단시스템 사이에는 DMZ(demilitarized zone) 네트워크 라고 하는 영역 안에 한 개 이상의 네트워크 된 장치가 존재

• 외부에서 접속할 수 있어야 하며 보호되어야 할 시스템은 주로 DMZ 네트워크에 배치

• 보통 DMZ 안에 있는 시스템은 회사의 웹사 이트, 이메일 서버 또는 DNS 서버와 같이 반 드시 외부로 연결할 수 있어야 함

46

내부 침입차단시스템의 3가지 목적

1. 내부 침입차단시스템은 외부 침입차단시 스템보다 더 엄격한 필터링 능력 보유 2. 내부 침입차단시스템은 DMZ 관점에서

보면 양방향 보호

3. 다수의 내부 침입차단시스템을 사용해서 내부 네트워크의 일부를 서버로부터 보호

47

가상사설네트워크

• 가상사설네트워크(VPN: virtual private network)는 상대적으로 안전하지 않은 네 트워크를 이용해서 상호 연결되고 보안을 제공하기 위한 암호와 특별한 프로토콜을 사용하는 컴퓨터로 구성

48

VPN

• 안전하지 않은 네트워크인 인터넷을 통한 안 전한 연결을 위해 하위 프로토콜 계층에서 암 호와 인증을 사용

• VPN은 전용선을 사용하지만 양단에서 동일 한 암호화 인증 시스템에 의존하는 사설 네트 워크보다는 일반적으로 저렴

• 암호는 침입차단시스템 소프트웨어나 라우터 에 의해 수행

• 이 목적으로 사용되는 가장 보편적인 프로토 콜 메커니즘은 IP 레벨에서 수행되는 IPsec

49

VPN 보안 시나리오

50

분산 침입차단시스템

• 분산 침입차단시스템(distributed firewalls) 구성

• 독립된 침입차단시스템 장치

• 중앙관리통제하에 함께 동작하는 호스트-기반 침입차 단시스템

• 관리자는 수 백 개의 서버와 워크스테이션상의 호스트 -상주 침입차단시스템을 구성할 수 있을 뿐만 아니라 로컬과 원격 사용자 시스템상의 개인 침입차단시스템 을 구성할 수 있다

• 네트워크 관리자는 도구를 가지고 전체 네트워크 전반 에 걸쳐 정책을 세팅하고 보안을 모니터링할 수 있다.

• 독립 침입차단시스템은 침입차단시스템과 외부 침입 차단시스템을 포함한 전체를 보호

51

침입차단시스템 위치와 토폴로지 요약

• 호스트-상주 침입차단시스템(Host-resident firewall):

• 스크리닝 라우터(Screening router):

• 단일 배스천 인라인(Single bastion inline):

• 단일 배스천 T(Single bastion T):

• 이중 배스천 인라인(Double bastion inline):

• 이중 배스천 T(Double bastion T):

• 분산 침입차단시스템 구성(Distributed firewall configuration):

52

침입차단시스템 분산 구성 예

53