http://www.zdnet.co.kr/techupdate/lecture/network/0,39024995,39134096,00.htm
Steven Warren (TechRepublic)
2005/03/02
보안을 희생하지 않아도 되는 네트워크 구조를 택하라.
네트워크 보안이 뜨거운 이슈로 부각되면서, 방화벽과 네트워크 보안 설정에 관해 정밀 조사를 받아봤을 것이다. 심지어 방화벽 설계를 실행하거나 또는 재사정하는 작업에 배치된 적이 있을지도 모른다.
각 경우에 있어 담당자들은 보편적인 방화벽 설계와 이로 인해 향상되는 보안 요소에 대해 잘 숙지하고 있어야 한다. 이 글에서는 몇 가지 일반적인 방화벽 설정과 안전한 네트워크 구조 설계에 있어 베스트 사례들을 기술하겠다.
1. 방화벽 보안 전략 수립
가장 기초적인 수준의 방화벽은 사내 네트워크와 인터넷 사이의 트래픽을 걸러내는 하드웨어/소프트웨어를 말한다. 많은 수의 해커들이 인터넷을 배회하며 손쉽게 해킹 툴을 다운로드 할 수 있는 요즘, 모든 네트워크에는 반드시 방화벽 설계 등 보안 정책을 갖고 있어야 한다.
만약 관리자가 강력한 방화벽이 제대로 설치돼있는지 확인하고 네트워크 보안을 강화하라고 주문한다면, 무엇을 해야 할까? 이 때 수립될 전략에는 다음과 같은 두가지 측면이 고려돼 있어야 한다.
- 네트워크를 점검하고 접근 허용 목록이 작성된 라우터와 IDS 등 현존 보안 메커니즘을 보안 계획의 한 부분에 포함시켜라.
- 새로운 설비 또는 소프트웨어를 구매하거나 현재의 시스템을 업그레이드함으로써 방화벽 전용 솔루션이 존재한다는 사실을 명확히 하라.
잘 설계된 방화벽 구조에는 단순히 네트워크 트래픽을 걸러내는 것 이상의 기능이 포함돼야 한다는 점을 명심하도록 하라. 여기에는 다음과 같은 요소들이 포함된다.
- 굳건한 보안 정책
- 트래픽 체크포인트
- 활동 접속
- 내부 네트워크에 대한 노출 제한
방화벽을 구매하거나 업그레이드하기 이전에 굳건한 보안 정책을 갖추고 있어야만 한다. 방화벽은 보안 정책을 강화시켜 줄 것이며, 또한 이를 문서화함으로써 방화벽을 설계할 때 의문점을 제기하지 않게 만들 수 있다. 방화벽에 대한 어떠한 수정사항도 반드시 보안 정책 내에서 수정돼야만 한다.
구축이 잘된 방화벽은 체크 포인트를 통해 트래픽 경로를 좁혀낼 수 있다. 내/외부지향 트래픽이 방화벽 내의 특정 지점을 통해 나가도록 설정한다면 의심스러운 활동에 대한 로그 기록을 손쉽게 모니터링하고 관찰할 수 있다.
보안 정책과 체크포인트를 설정했다면, 이제 어떻게 방화벽을 모니터할 것인가? 알람 기능을 활용하고 방화벽 로그온 기능을 활성화시킴으로써 네트워크에 대한 허용/비허용 접속에 대해 손쉽게 관찰할 수 있다. 심지어는 필요하지 않은 메시지를 걸러내주는 써드 파티 유틸리티도 구매해 사용할 수 있다.
이 방법은 또한 내부 네트워크 주소 체계를 외부에 숨길 수 있는 좋은 방안 중 하나다. 외부에서 사내 네트워크 구성도를 볼 수 있도록 하는 것은 절대로 현명한 행동이 아니다.
2. 방화벽과 관련된 전문용어들
특정 방화벽 설계를 살펴보기 전에 반드시 익혀야만 하는 몇 가지 기초적인 방화벽 전문용어를 알아보자.
▲게이트웨이 : 게이트웨이는 내부 네트워크에서 다른 네트워크, 즉 인터넷이나 WAN으로의 연결지점으로 작동하는 컴퓨터를 지칭한다. 방화벽 게이트웨이는 내부 네트워크와 인터넷 사이에서 반드시 전달되거나 또는 전달되면 안 되는 데이터를 결정하며, 여기에 덧붙여 내부 네트워크에서 인터넷으로 정보를 전송할 수도 있다.
▲네트워크 주소 변환(NAT) : NAT는 외부 네트워크(인터넷)에 대해 내부 주소를 숨겨준다. 만약 방화벽이 NAT를 활용하고 있다면 모든 내부 주소는 내부 네트워크를 떠날 때 원래 정체를 숨기면서 공적인 IP 주소로 변환된다.
▲프록시 서버 : 프록시 서버는 네트워크 IP 주소를 대체하며, 실제 IP 주소를 인터넷상에서 효과적으로 숨겨준다. 프록시 서버의 종류에는 웹 프록시, 회선/애플리케이션 수준 게이트웨이 등이 있다.
▲패킷 필터링 방화벽 : 이것은 대체로 패킷을 걸러내는 라우터에 기반한 간단한 방화벽 솔루션이다. 네트워크 패킷의 헤더는 방화벽을 통과할 때 정밀 검사되며 규정에 따라 해당 패킷은 받아들여지거나 거부된다.
대부분의 라우터가 패킷을 걸러낼 수 있기 때문에 이것은 패킷을 수용하든지 또는 거부하든지 하는 방화벽 규칙을 재빨리 설정할 수 있는 손쉬운 방법이 된다. 하지만 패킷 필터링 방화벽으로 우호적인 패킷과 악성 패킷 사이에 차별화를 두기는 상당히 어렵다.
▲유해 감시 라우터 : 2개의 네트워크 인터페이스 카드를 갖춘 패킷 필터링 라우터를 말한다. 두 네트워크를 연결하는 이 라우터는 네트워크 사이의 트래픽을 제어하기 위해 패킷 필터링을 실행하며 보안 관리자는 패킷 필터링이 어떻게 이뤄지는지를 정의하는 규칙을 설정한다. 이러한 유형의 라우터를 외부 라우터 또는 엣지 라우터라고 부르기도 한다.
▲애플리케이션 수준 게이트웨이 : 이 유형의 게이트웨이에서는 패킷 필터링 라우터보다 복잡한 정책을 설정할 수 있다. 이 게이트웨이는 방화벽을 거쳐 지나가야 하는 애플리케이션이나 서비스의 각 유형에 대한 특별 프로그램을 활용한다.
▲바스티언 호스트 - 바스티언 호스트는 인터넷과 같이 믿을 수 없는 네트워크에서 내부 네트워크와 같이 믿을 수 있는 네트워크로 접속할 수 있도록 허용해 주는, 보안 장치가 실장된 컴퓨터를 말한다. 이 솔루션은 대개 두 네트워크 사이에 위치하며 흔히 애플리케이션 수준 게이트웨이가 사용되고 있다.
▲비무장지대(DMZ) : DMZ 솔루션은 내부 네트워크와 외부 사이에 위치하며 공적 서버를 위치시키기에 가장 적합한 장소다. DMZ에 위치하는 시스템으로는 웹서버, FTP 서버 등이 있다.
지금까지 몇 가지 기초 사항을 알아봤다. 이제 보편적인 방화벽 설계에 대해 논의해보자.
▲감시 라우터
감시 라우터는 가장 간단하게 실행할 수 있는 방화벽 전략 중 하나다. 특히 대다수 기업들이 이미 이에 해당하는 하드웨어를 보유하고 있기 때문에 인기 있는 설계 방법 중 하나로 꼽힌다.
감시 라우터는 방화벽 전략에 있어 최전방에서 침임을 잘 차단하는 역할을 맡는다. 이 라우터의 기능이란 IP 주소와 UDP, TCP 등에 기반한 외/내부지향 트래픽을 유해 감시할 수 있도록 필터를 결부시킨 것 뿐이다. <그림 A>는 감시 라우터의 사례를 보여주고 있다.
<그림 A> 감시 라우터를 이용한 방화벽 |
이 전략을 실행하기로 결심한다면, TCP/IP와 라우터에 필터를 올바르게 설정하는 방법을 제대로 숙지하고 있어야 한다. 전략을 적절하게 수행하지 못한다면 위험한 트래픽이 필터를 통과해 사설 LAN에까지 전달될 수 있다.
만약 이것이 유일한 방어막인데 해커가 통과해버린다면 그 해커는 무제한의 통제력을 쥘 수 있게 된다. 또한 이 설정법은 내부 네트워크 IP 주소를 숨기지 못하며, 대개 모니터링과 로그 기록 능력이 떨어진다는 점을 기억해야 한다.
만약 보안 전략에 투자할 비용이 적거나 아예 없는데 급하게 방화벽을 설정해야 한다면 현재 갖고 있는 라우터를 활용하는 이 방법론이 적절할 수도 있을 것이다. 감시 라우터 방화벽은 보안 전략에 있어 괜찮은 출발점이 되며 다른 보안 툴을 사용하고 있는 네트워크에서 활용하기에도 좋다.
▲유해 감시되는 호스트 방화벽
유해 감시되는 호스트 방화벽 설정은 유해 감시 라우터와 함께 단일한 바스티언 홈 호스트를 활용한다. 이 설계 방법은 패킷 필터링과 바스티언 호스트를 보안 기제로 활용하며 네트워크와 애플리케이션 수준의 보안을 모두 병합하고 있다.
라우터는 패킷 필터링을 수행하며 바스티언 호스트는 애플리케이션 측면의 보안을 수행한다. 이 설계 방법은 상당히 탄탄하며 내부 네트워크에 침입하려는 해커는 반드시 라우터와 바스티언 호스트 둘다를 통과해야 한다.
또한 이 설정법을 애플리케이션 게이트웨이(프록시 서버)로 활용함으로써 NAT 변환을 활용해 내부 네트워크 설정을 숨길 수 있다. <그림 B>는 이러한 방화벽 설계의 사례를 보여주고 있다.
<그림 B> 바스티언 호스트를 갖춘 감시 라우터 |
위의 설계는 바스티언 호스트를 통과하는 모든 송/수신 정보들을 설정하는 것이다. 감시 라우터는 정보가 전달되면 내부 네트워크로 전달하기 이전에 바스티언 호스트를 통해 모든 데이터를 걸러낸다.
여기에 듀얼 홈 바스티언 호스트 방화벽을 만듦으로써 한 발짝 더 나아갈 수도 있다. 이 설정은 2개의 네트워크 인터페이스를 갖추고 있으며, 네트워크 내에 완전한 물리적 간격을 만들기 때문에 상당히 안전하다고 할 수 있다. <그림 C>는 이러한 방화벽 설계의 사례를 보여주고 있다.
<그림 C> 감시 라우터가 설치된 듀얼 홈 바스티언 호스트 |
▲DMZ
DMZ 솔루션은 가장 흔하고 안전한 방화벽 구조로 감시된 하부 네트워크라고도 일컬어진다.
<그림 D> DMZ 구조 |
DMZ 솔루션에는 보통 아래 사항들이 포함된다.
- 웹 서버
- 메일 서버
- 애플리케이션 게이트웨이
- 전자상거래 시스템(여기에는 반드시 프론트-엔드 시스템만 포함돼야 한다. 백-엔드 시스템은 어떤 경우에서라도 내부 네트워크에 있어야 한다.)
DMZ 솔루션은 공적 서버를 호스팅할 안전한 장소를 제공하는 것에 덧붙여 네트워크/애플리케이션 수준의 보안을 지원하기 때문에 매우 안전하다. 단일한 바스티언 호스트(프록시), 모뎀 풀, 그리고 모든 공적 서버가 DMZ 내에 위치한다.
더 나아가 외부 방화벽은 외부에서 오는 공격을 방어하며 DMZ에 대한 모든 인터넷 접속을 관리한다. 내부 방화벽은 DMZ의 내부 네트워크에 대한 접속을 관리하며 만약 외부 방화벽이 뚫렸다면 2차 방어선을 제공한다.
이에 덧붙여, 인터넷에 대한 LAN 트래픽은 내부 방화벽과 DMZ의 바스티언 호스트가 관리한다. 이런 유형의 설정에서 해커가 내부 네트워크에 접속하려면 외부 방화벽, 내부 방화벽, 그리고 바스티언 호스트 등 3개의 분리된 영역을 저해시켜야만 할 것이다.
많은 기업들이 DMZ에 침입 탐지 시스템(IDS)도 추가함으로써 한 걸음 더 나아가고 있다. IDS를 추가하면 작은 침입이 큰 사건으로 증폭되기 이전에 문제점들을 재빨리 모니터할 수 있다.
3. 결론
오늘날 비즈니스 세계에 일상적인 것이 되버린 기초적인 방화벽 설계를 검토해봤다. 물론 완벽한 방화벽 설계란 없다. 모든 네트워크는 그 비즈니스 모델의 측면에 있어서 고유한 것이며, 해당 회사의 특정 목적에 최적화된 방화벽을 갖고 있어야만 한다.
방화벽을 설계할 때는 반드시 비용, 교육훈련, 보안, 기술적 전문지식, 그리고 실행 기간 등을 포함해 수많은 요소들을 고려해야만 한다. 일단 이런 모든 요소들을 고려하고 훌륭한 보안 정책을 수립했다면 이제 방화벽 구조를 실행할 수 있을 것이다.
여기서 선보인 다이어그램은 다운로드할 수 있으며 각자의 네트워크 보안 구조도를 설계할 때 템플릿으로 활용할 수 있다. @
댓글 없음:
댓글 쓰기