Day 55 (Governance)

<목록>

1. 침입차단 시스템

  1) 베스천호스트(Bastion host)

  2) 스크린 라우터

  3) 침입차단시스템 소프트웨어

2. 침입차단시스템의 표준 시스템

---

1. 침입차단 시스템

침입 차단 시스템은 일반적으로 말하는 방화벽의 정식 명칭이다.

침입 차단 시스템의 구성요소는 베스천호스트, 스크린 라우터, 침입차단시스템 소프트웨어 3가지가 있다. 하지만 구성요소들이 전부 있어야 하는 것은 아니며 부분집합으로 존재 할 수 있다.

방화벽과 라우터는 네트워크를 구분하기 위해 사용하는데 구분 기준이 다르다.

명칭	목적	구분기준
방화벽	내부 네트워크와 외부 네트워크를 구분하기 위해 사용	정보보안 정책의 유무
라우터		네트워크 IP주소

 

1) 베스천호스트(Bastion host)는 침입탐지 소프트웨어가 설치된 장치를 의미한다. 여기서 장치는 PC또는 공유기 등을 의미하지만 일반적으로 PC라고 생각한다. 내부 네트워크 전면에서 보안을 책임지는 호스트 이기 때문에 해커의 공격 목표가 된다. 보안에서는 공격에 대한 구체화가 가능해야 한다. 여기서 말하는 공격은 자원고갈공격 혹은 가용성 공격으로 막을 방법이 없다. 발생시 ISP에 트래픽차단등을 요청해야 한다.

 

통제 명칭	목적	예시
예방 통제	나타날 위험을 차단하기 위해 사용한다.	방화벽
적발 통제	나타난 위험을 확인하기 위해 사용한다.	침입탐지 시스템
교정 통제	위험으로 인한 피해를 최소화 하기 위해 사용한다.	BCP

2) 스크린 라우터는 외부 방화벽으로 생각이 가능하다. 내부와 외부 네트워크의 물리적인 연결점으로 라우터로 생각해도 무방하다. Network 레벨에서 방어를 수행하며 패킷필터링이나 접근제어 (IP, Port), NAT를 이용해 구현한다.

 

3) 침입차단시스템 소프트웨어는 보편적으로 생각하는 방화벽을 말한다. 베스천호스트에 설치하는 방화벽 소프트웨어라고 할 수 있다. 일부 기능이 스크린 라우터와 중복되며, Application 레벨의 서비스 proxy서버)와 다양한 로그 정보를 리포트한다.

 

 

2. 침입차단시스템의 표준 시스템

1) Bastion Host 시스템

 

  네트워크 내부로 유입되는 트래픽은 인바운드 트래픽과 네트워크 외부로 유출되는 트래픽은 아웃바운드 트래픽이라고 한다.

아웃바운드 트래픽은 전송되지만 인바운드 트래픽을  Bastion Host에서 패킷을 분석하여 구분한다. 구분된 패킷 Allow, Deny, Drop으로 정의된다. Allow는 패킷을 허용한다는 것이고, Deny는 패킷의 목적지 주소를 확인하는 등의 분석을 통해 거부하는것, Drop은 패킷의 목적지 주소등을 확인하지 않고 버리는 것이다. 이렇게 구성된 이유는 과거에는 PC장치 구성 비용이 비싸기도 했지만 침입차단시스템 소프트웨어만을 판매했었다. 이러한 구성의 단점으로는 라우터를 통해 들어온 인바운드 트래픽이 Bastion Host를 통해 한번 더 네트워크안에서 전송되는 것이다. 또한 Bastion Host가 네트워크 트래픽 공격을 받게 된다면 Bastion Host가 라우터 내부에 있기 때문에 사용하는 네트워크가 마비 될수있다.

 

2) Dual Homed Gateway 시스템

일반적인 침입 차단 시스템으로서 Bastion Host시스템의 단점을 보완한 것이다. Bastion Host를 이용해 네트워크 구분이 가능하게 하여 Bastion Host에 네트워크 트래픽 공격을 받더라도 업무의 연속성이 유지 가능하게 한다. 일반적으로 라우터는 Bastion Host와 외부 네트워크 사이에 위치한다. 단점은 내부 네트워크의 Gateway를 어디로 지정하느냐에 따라서 네트워크 구성이 달라진다. Bastion Host로 구성하는 경우에는 내부 네트워크를 NAT로 구성한다는 의미인데 이때는 내부 네트워크가 Real IP가 아닌 사설 IP가 되기때문에 방화벽으로서의 가치가 사라지게 된다. Gateway를 라우터로 구성하는 경우에는 Bastion Host를 투명 방화벽으로서 구성하겠다는 의미이다. 따라서  Bastion Host을 사용하지 않는 네트워크 우회 통신이 가능한 것이다.

 

3) Screened Host Gateway 시스템

라우터와 Bastion Host가 방화벽 기능을 분업하는 것이다. 라우터는 Network core부분을 담당하며 패킷필터 방화벽 기능을 수행하고, Bastion Host는 Network edge부분을 담당하여 Application 방화벽 기능을 수행한다. Bastion Host는 Router내부에 위치하기만 하면 된다. 이 경우에는 Bastion Host가 방화벽 기능의 일부만 사용하지만 네트워크 통신에 대한 정보는 얻을 수 있다.

 

4) Screened Subnet Gateway 시스템

라우터를 2개 사용하여 시스템을 구성하는 것이다. 내부에 있는 라우터는 보안 정책에 따라 네트워크가 구분된다. 

① 라우터를 이용해 네트워크를 구분한다. 네트워크에는 ② 라우터와 외부 서비스를 제공하는 서버들이 존재한다.

② 라우터 내부 네트워크에는 업무용 네트워크가 있다. 따라서 외부에서는 ② 라우터 내부 네트워크에 접속이 불가능 하다. 

또한 ① 라우터 내부 네트워크와 ② 라우터 내부 네트워크는 서로 통신이 불가능 하다. 라우터가 방화벽역할만 한다고 하면 네트워크 주소가 다르기 때문에 통신이 당연히 불가능하고, 라우터가 라우팅 기능도 한다 하더라도 OS자체에서 무시한다. ICMP redirect패킷은 현재 OS에서는 보안상 무시하기 때문이다. <참조 : Day 51 (네트워크) : ICMP redirect>