2.시스템보안

Page 216.

2. 시스템 보안

(1) 시스템 보안의 개념

네트워크에 연결된 시스템의 운영체제(Operating System), 응용 프로그램, 서버 등의 취약점을 이용해 해커들이 침입해서 컴퓨터 시스템을 이용하는 것을 방지하는 것을 말하는데, 침입을 방지하는 것으로 시스템 보안을 위해서 방화벽을 사용하는 것이 일반적이다.

(2) 방화벽(Firewall)

① 방화벽의 개념

방화벽은 공용 네트워크와 개인 네트워크 사이에 위치해서 외부의 신뢰할 수 없는 해커(hacker) 등이 개인 네트워크에 침입하는 것을 방지하고 외부로부터 유해한 정보의 유입을 차단하기 위한 시스템이다.

▶방화벽
외부로부터 내부망을 보호하기 위한 네트웍 구성요소 중의 하나로써 외부의 불법 침입으로부터 내부의 정보자산을 보호하고 외부로부터 유해정보 유입을 차단하기 위한 정책과 이를 지원하는 H/W 및 S/W를 총칭.

▶주요기능
방화벽은 외부망과 연동하는 유일한 창구로서 외부로부터 내부망을 보호하기위해 각 서비스(예: ftp, telnet)별로 서비스를 요구한 시스템의 IP 주소 및 port 번호를 이용하여 외부의 접속을 차단하거나 또는 사용자 인증에 기반을 두고 외부접속을 차단한다. 또한 상호 접속된 내외부 네트웍에 대한 트래픽을 감시하고 기록.

인터넷은 주로 웹 서버를 이용해 구축하고 일반에게 공개하는데 앞단에 방화벽을 두고 웹 마저도 막아버린다면 그건 정말 담장을 쌓고 주인조차도 드나들지 못하는 꼴이 되고 마는 것이다. 방화벽 시스템에는 이러한 문들이 많이 존재하는데, 이런 것들이 바로 보안상 허점이 되고 있다.

② 방화벽 구축시 장점

첫째, 취약한 서비스로부터 네트워크 보안을 증가시킨다. 선택된 프로토콜만이 방화벽을 통과할 수 있기 때문에, 서브넷(subnet) 네트워크 환경은 위험에 덜 노출된다.

둘째, 호스트 시스템으로의 액세스를 컨트롤할 수 있으므로 원하지 않는 액세스는 효과적으로 차단해준다.

셋째, 수정 또는 추가되는 보안 소프트웨어를 많은 호스트에 분산시키지 않고 방화벽에 설치할 수 있어 보안의 집중효과가 있다.

넷째, 사이트 시스템에 관한 DNS 정보를 막아줌으로써 사이트의 이름과 IP 주소를 인터넷 호스트에서 유출되지 않게 한다.

다섯째, 인터넷상의 모든 액세스가 방화벽을 통과함으로써 액세스 정보를 기록할 수 있고 네트워크 사용에 관한 유용한 통계자료를 제공한다.

여섯째, 방화벽에 의해 네트워크 액세스 정책을 실행한다.

③ 방화벽 시스템 설계시 고려 사항

방화벽 시스템을 설계할 때 다음과 같은 사항을 고려하여 보다 효과적으로 해커 등과 같은 불법 침입자로부터 내부 네트워크를 보호할 수 있도록 해야 한다.

첫째, 보호하고자 하는 하드웨어, 소프트웨어, 각종 중요한 정보, 시스템 사용자, 시스템 관리에 관한 문서 등을 정의한다.

둘째, 보호하고자 하는 자원의 중요성과 정보들에 대한 위협이 어떤 것들이 있는가를 분석한다.

셋째, 사용자 계정을 가진 사용자만이 네트워크를 사용하도록 할 것인지 비인가자라도 제한된 자원에만 사용하도록 할 것인지를 결정하고, 보호하고자 하는 네트워크에서 사용 가능한 응용 및 서비스들이 어떤 것들이 존재하는지를 분석한다.

넷째, 비용 대 효과 측면에서 파일이나 디렉토리 등은 액세스 제어에 의해 보호하고, 네트워크 장비 및 호스트의 보호는 방화벽 시스템 사용 등의 보호기법을 고려한다.

다섯째, 불법 침입자가 시스템 내부에 침입했을 때 취해야 할 대응책을 마련해야 한다.

여섯째, 정기적으로 시스템을 점검한다.

1. 방화벽 시스템 설계시 고려 사항 인터넷 등의 외부 전산망에 연결된 내부 네트워크를 보호하기 위해서 방화벽 시스템을 구축하고자 할 경우 고려해야 할 사항은 다음과 같다.

1) 어떤 자원을 보호할 것인가 ?
보호하고자 하는 하드웨어, 소프트웨어, 각종 중요한 정보, 시스템 사용자, 시스템 관리에 대한 도큐먼트 등을 정의하고, 방화벽 시스템 구축시 이를 고려하여야 한다.

2) 어떤 위협이 존재하는가 ?
보호하고자 하는 자원 및 정보들에 대한 위협이 어떤 것들이 있는가를 분석한다.

3) 자원이 얼마나 중요한가 ?
보호하고자 하는 자원의 중요성이 어느 정도인가를 분석한다.

4) 어떤 사용자를 인가할 것인가 ?
사용자 계정을 가진 사용자만이 네트워크를 사용하도록 할 것인지 비인가자라도 제한된 자원에만 사용하도록 할 것인지를 결정한다.

5) 요구되는 응용 및 서비스는 무엇인가 ?
보호하고자 하는 네트워크에서 사용 가능한 응용 및 서비스들이 어떤 것들이 존재하는지를 분석한다.

6) 비용 대 효과 측면에서 보호하기 위해 실현될 수 있는 기법은 무엇인가 ?
화일이나 디렉터리 등은 액세스 제어에 의해 보호하고, 네트워크 장비 및 호스트의 보호는 방화벽 시스템 사용 등의 보호 기법을 고려한다.

7) 해커 등의 불법 침입 감지시 취해야 할 행동은 무엇인가 ?
해커 등과 같은 불법 침입자가 시스템 내부에 침입했을 때 취해야 할 대응책을 마련해야 한다.

8) 정기적으로 시스템을 점검한다.
   보호하고자 하는 네트워크 및 자원들에 변화가 일어났는지 정기적으로 점검하고 기록한다. 이러한 행위는 시스템 관리자 및 네트워크 관리 시스템에 의해 자동적으로 실행한다. 방화벽 시스템을 설계할 때 상기와 같은 사항을 고려하여 보다 효과적으로 해커등과 같은 불법 침입자로부터 내부 네트워크를 보호할 수 있도록 해야 한다. 일반적으로 방화벽 시스템을 설계할 때 사용하는 패러다임은 두가지로 구분되는데
  첫째로는, 내부 네트워크로의 진입을 명확하게 허용하지 않는 트래픽은 내부 네트워크로의 진입을 방지하는 것이고,
  둘째로는 첫번째 패러다임의 반대 개념으로 명확하게 내부 네트워크로의 진입이 방지되지 않는 트래픽은 네트워크로의 진입을 모두 허용한다.

2. 방화벽 시스템이 방어할 수 있는 것

방화벽 시스템은 인터넷과 같은 외부 네트워크와 내부 네트워크 사이에 놓이며, 외부 네트워크로부터 내부 네트워크로의 침입을 감지하여 정보 및 자원들을 보호한다. 즉, 외부 네트워크에서 내부 네트워크로 액세스하 기 위해서는 방화벽 시스템을 통과하여야만 내부 네트워크로 진입할 수 있도록 하여 내부 네트워크에 존재하는 정보 및 자원들에 대한 트래픽을 사전에 방어하는 것이다.

3. 방화벽 시스템이 방어하지 못하는 것 방화벽 시스템은 내부 사용자가 내부 네트워크에 존재하는 중요한 정보를 디스크 혹은 테이프와 같은 매체를 통해 가지고 나가는 것은 방어하지 못한다. 또한 외부 네트워크로부터 내부 네트워크로 비인가된 다이얼 모뎀을 통한 접근을 방어하지 못하며, 바이러스 혹은 정보 지향적인 공격에 대해서는 방어하지 못한다. 따라서 방화벽 시스템은 보호하고자 하는 네 트워크의 자원이나 정보들을 완벽하게 불법 침입자로부터 보호할 수 없으며, 다만 외부 네트워크에서 내부 네트워크로의 진입을 1차로 방어해주는 기능을 수행 한다.

④ 방화벽 시스템의 종류

(가) 네트워크 레벨(Network Level) 방화벽

네트워크 레벨의 시스템은 IP 패킷의 소스/목적지 주소(source/destination address)와 포트 번호(port number)에 의해 결정하게 되며, 현대의 네트워크 레벨 방화벽은 매우 복잡해져서 허용된 접속들의 상태와 데이터 내용 등을 관리할 수 있다.

네트워크 레벨 방화벽은 라우터를 직접 제어할 수 있으며, 할당된 IP 블록을 정당하게 사용할 수 있도록 해주고, 속도가 매우 빠르며, 사용자에게 투명한 서비스를 보장한다.

(나) 응용 레벨(Application Level) 방화벽

응용 레벨 방화벽은 두 개의 네트워크간에 항상 직접적인 트래픽(traffic)을 막고, 트래픽에 대해 로그, 감사(audit)기능 등이 지원되는 프록시를 실행하는 기계를 말하는 것으로, 어드레스 번역기로서 사용될 수 있다.

최근의 응용 레벨 방화벽은 투명성이 보장되며, 보다 상세한 감사 보고와 네트워크 레벨 방화벽보다 온전한 보안 모델을 제공하고 있다.

응용 레벨 방화벽의 사례로는 프록시를 실행하는 고도의 보안이 제공되는 시스템인「이중 네트워크 게이트웨이(Dual-Homed Gateway)」가 있다. 이것은 두 개의 네트워크 인터페이스를 가지고 하나의 네트워크 인터페이스에 대해서는 모든 트래픽이 그냥 통과되는 것을 막는다.

▶ 참고자료 : 인터넷 보안 방화벽( Firewall) 시스템