1. 스크린 라우터(screen router) •라우터는 패킷 전달뿐만 아니라 패킷을 필터링(스크린)할 수 있는 장비이다.(헤더 참조) •IP 계층의 데이터그램에서는 출발지 및 목적지 주소에 의한 스크린을 실시한다.(3계층) •TCP 계층의 세그먼트에서는 포트(port) 번호에 의한 스크린을 실시한다.(4계층) •스크린 라우터만으로 어느 정도의 보안 접근제어가 가능하다. •스크린 라우터만으로 완벽한 방화벽을 구축할 수 있다.(복잡한 정책 구현은 불가) •라우터에서 구현된 펌웨어 수준만으로는 보안 취약점이 많다. •해서, 일반적으로 스크린 라우터와 배스천 호스트를 같이 운영한다.
3, 듀얼 홈드 게이트웨이(dual-homed gateway) •듀얼 홈드 게이트웨이는 2개의 네트워크 인터페이스를 가진 배스천 호스트이다. •듀얼 홈드 게이트웨이는 2개의 랜카드를 가진 배스천 호스트 구조를 의미한다. → 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며, → 다른 하나의 네트워크 인터페이스는 보호하고자 하는 내부 네트워크에 연결된다. •듀얼 홈드 게이트웨이는 양 네트워크간의 라우팅은 존재하지 않는다. → 해서, 양 네트워크간의 직접적인 접근은 허용되지 않는다. •듀얼 홈드 게이트웨이는 → 배스천 호스트를 기준으로 물리적인 네트워크 구분을 형성한다. → 배스천 호스트를 기준으로 논리적인 네트워크 구분이 아니다.
4. 스크린 호스트 게이트웨이(screened host gateway) •스크린 호스트 게이트웨이 = 스크린 라우터 + 배스천 호스트(혼합 방식) 또는 스크린 호스트 게이트웨이 = 스크린 라우터 + 듀얼 홈드 게이트웨이 •스크린 라우터에서 필터링한 트래픽을 배스천 호스트에서 검사하는 방식이다. •트래픽에 대해 3∼4층에서 1차 방어를 하고, 응용층에서 2차 방어한다. •2단계 보안을 거치므로 보안성은 우수하지만, 방화벽 구축비용이 많이 든다. •트래픽이 스크린 라우터와 배스천 호스트를 모두 거치므로 보안이 우수하다. •네트워크층과 응용층에서 방어함으로 외부 공격이 어렵다. •하지만, 방화벽 시스템 구축비용이 늘어나게 된다. •장애 발생시 속도가 지연되고, 네트워크가 마비될 수 있다.
5. 스크린 서브넷 게이트웨이(screened subnet gateway) •방화벽을 구성할 때, 외부와 내부 네트워크를 분리된 네트워크를 만들 수 있다. •스크린 서브넷 게이트웨이 = 스크린 라우터 + 배스천 호스트 + 스크린 라우터 •배스천 호스트가 곧 듀얼 홈드 게이트웨이가 될 수 있다. •스크린 서브넷 게이트웨이 구조를 DMZ이라고도 한다. •한번 필터링한 정보를 배스천 호스트에서 검증하고, 다시 필터링 한다. •다중 보안시스템들을 통과하여야 하므로 침입이 어렵다.(복잡한 구조만큼 강력한 보안 제공). •다양한 보안 정책구현이 가능하여 융통성이 뛰어나다. •하지만, 설치 및 관리가 어렵고 시스템 구축비용이 많이 든다. •다수의 패킷 통과점이 존재하여 서비스 속도가 느려질 수 있다.
2, 배스천 호스트(bastion host) •배스천 호스트는 네트워크 보안에서 가장 중요한 위치를 차지한다. •배스천 호스트는 일반 호스트 시스템에 방어 기능을 강화한 시스템을 말한다. •배스천 호스트 구성은 외부와 내부 네트워크를 단순히 논리적으로 구분한다. •배스천 호스트가 공격을 당하면 모든 내부 네트워크 자원은 보호받지 못한다. •배스천 호스트는 응용층에서 동작한다. •배스천 호스트의 주요 기능 : 인증, 접근제어, 각종 로그 생성, 역추적 등
◈ 스크린 서브넷(screened gateway)이란? •인터넷 불특정 다수에게 내부 정보를 공개할 필요가 있는 경우가 있다. •이런 경우는 내부 네트워크와 공개용 네트워크를 구분해야 한다. •즉, 외부와 내부 네트워크 사이에 별도의 subnet을 만들어 운용할 수 있다. •스크리닝 라우터는 외부와 내부 네트워크 사이에 설치된다. •스크린 서브넷에는 공개용 서버들과 더불어 배스천 호스트를 설치한다. •배스천 호스트는 내부 네트워크로 허용된 서비스에 대해 gateway 역할을 한다. •이러한 구조를 스크린 서브넷이라 한다.
6. SOCKS •먼저, SOCKS는 회로수준방화벽(circuit-level firewall)이다. •SOCKS 서버는 Sun Java System Web Proxy Server에 포함되어 있다. •SOCKS는 클라이언트-서버 환경에서 이용되는 프록시 접속 프로토콜이다. •클라이언트는 SOCKS가 탑재한 프록시 서버와 통신하고 •프록시 서버는 외부망의 외부 호스트와 통신한다. → 2개의 TCP 연결이 설정된다. •SOCKS 서버는 중간에서 데이터를 중계한다. •SOCKS 서버는 클라이언트 요청을 인증/승인하고, 프록시 연결을 수립한다.
1. 침입차단시스템에 대한 설명으로 가장 옳은 것은? [2019년 서울 9급] ① 스크린드 서브넷 구조(screened subnet architecture)는 DMZ와 같은 완충지역을 포함하며 구축비용이 저렴하다. ② 스크리닝 라우터 구조(screening router architecture)는 패킷을 필터링하도록 구성되므로 구조가 간단하고 인증기능도 제공할 수 있다. ③ 이중 네트워크 호스트 구조(dual-homed host architecture)는 내부 네트워크를 숨기지만, 베스천 호스트가 손상되면 내부 네트워크를 보호할 수 없다. ④ 스크린드 호스트 게이트웨이 구조(screened host gateway architecture)는 서비스 속도가 느리지만, 베스천 호스트에 대한 침입이 있어도 내부 네트워크를 보호할 수 있다.
// 회로 수준 프록시, 응용 프록시 방화벽 비교 ① 회로 수준 프록시는 응용 프록시 게이트웨이 방화벽보다 신속하게 작동한다. •응용 프록시는 클라이언트-서버 간의 패킷 내용을 분석한다. 성능이 떨어진다. •회로 수준 프록시는 데이터 검증 절차가 단순하다. 내용을 검증하지 않는다. ② 회로 수준 프록시는 데이터 내용을 검증하지 않으므로 사용자의 신뢰를 요구한다. •회로 수준 프록시는 세션층에서 동작한다.(응용층이 아니다) ③ 응용 프록시는 http, ftp 등 개별 서비스마다 프록시가 개별적으로 존재해야 한다. •http는 http 프록시, ftp는 ftp 프록시가 존재해야 한다. ④ 회로 수준 프록시는 클라이언트-서버 사이에 가상회로를 생성하여 데이터를 전달한다. •회로 수준 프록시는 Socks 등을 이용하여 하나의 회로를 만들 뿐이다. •회로 수준 프록시는 대부분의 프로토콜을 지원하고 있다. ⑤ 현재, 대부분의 웹 브라우저에서는 응용 프록시를 기본으로 하고 있다. ⑥ 응용 프록시 방화벽의 부하를 줄이려면, 전용 프록시 서버를 이용하면 된다. •응답시간에 덜 구애 받는 이메일 같은 서비스는 전용 프록시 서버로 처리한다. •전용 프록시 서버는 트래픽에 대한 통제를 하지만, 방화벽 기능은 제외된 것이다. •전용 프록시 서버는 트래픽에 대한 특화된 필터링과 로깅 작업에 널리 사용된다. •특화된 필터링과 로깅 작업은 방화벽이 직접 처리하기 어려운 것이다. •로그(log)는 시스템에 접속한 사용자들의 행위들을 저장해 놓은 기록들이다.
1. 스크린 라우터(screen router)
•라우터는 패킷 전달뿐만 아니라 패킷을 필터링(스크린)할 수 있는 장비이다.(헤더 참조)
•IP 계층의 데이터그램에서는 출발지 및 목적지 주소에 의한 스크린을 실시한다.(3계층)
•TCP 계층의 세그먼트에서는 포트(port) 번호에 의한 스크린을 실시한다.(4계층)
•스크린 라우터만으로 어느 정도의 보안 접근제어가 가능하다.
•스크린 라우터만으로 완벽한 방화벽을 구축할 수 있다.(복잡한 정책 구현은 불가)
•라우터에서 구현된 펌웨어 수준만으로는 보안 취약점이 많다.
•해서, 일반적으로 스크린 라우터와 배스천 호스트를 같이 운영한다.
3, 듀얼 홈드 게이트웨이(dual-homed gateway)
•듀얼 홈드 게이트웨이는 2개의 네트워크 인터페이스를 가진 배스천 호스트이다.
•듀얼 홈드 게이트웨이는 2개의 랜카드를 가진 배스천 호스트 구조를 의미한다.
→ 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며,
→ 다른 하나의 네트워크 인터페이스는 보호하고자 하는 내부 네트워크에 연결된다.
•듀얼 홈드 게이트웨이는 양 네트워크간의 라우팅은 존재하지 않는다.
→ 해서, 양 네트워크간의 직접적인 접근은 허용되지 않는다.
•듀얼 홈드 게이트웨이는
→ 배스천 호스트를 기준으로 물리적인 네트워크 구분을 형성한다.
→ 배스천 호스트를 기준으로 논리적인 네트워크 구분이 아니다.
4. 스크린 호스트 게이트웨이(screened host gateway)
•스크린 호스트 게이트웨이 = 스크린 라우터 + 배스천 호스트(혼합 방식)
또는
스크린 호스트 게이트웨이 = 스크린 라우터 + 듀얼 홈드 게이트웨이
•스크린 라우터에서 필터링한 트래픽을 배스천 호스트에서 검사하는 방식이다.
•트래픽에 대해 3∼4층에서 1차 방어를 하고, 응용층에서 2차 방어한다.
•2단계 보안을 거치므로 보안성은 우수하지만, 방화벽 구축비용이 많이 든다.
•트래픽이 스크린 라우터와 배스천 호스트를 모두 거치므로 보안이 우수하다.
•네트워크층과 응용층에서 방어함으로 외부 공격이 어렵다.
•하지만, 방화벽 시스템 구축비용이 늘어나게 된다.
•장애 발생시 속도가 지연되고, 네트워크가 마비될 수 있다.
5. 스크린 서브넷 게이트웨이(screened subnet gateway)
•방화벽을 구성할 때, 외부와 내부 네트워크를 분리된 네트워크를 만들 수 있다.
•스크린 서브넷 게이트웨이 = 스크린 라우터 + 배스천 호스트 + 스크린 라우터
•배스천 호스트가 곧 듀얼 홈드 게이트웨이가 될 수 있다.
•스크린 서브넷 게이트웨이 구조를 DMZ이라고도 한다.
•한번 필터링한 정보를 배스천 호스트에서 검증하고, 다시 필터링 한다.
•다중 보안시스템들을 통과하여야 하므로 침입이 어렵다.(복잡한 구조만큼 강력한 보안 제공).
•다양한 보안 정책구현이 가능하여 융통성이 뛰어나다.
•하지만, 설치 및 관리가 어렵고 시스템 구축비용이 많이 든다.
•다수의 패킷 통과점이 존재하여 서비스 속도가 느려질 수 있다.
2, 배스천 호스트(bastion host)
•배스천 호스트는 네트워크 보안에서 가장 중요한 위치를 차지한다.
•배스천 호스트는 일반 호스트 시스템에 방어 기능을 강화한 시스템을 말한다.
•배스천 호스트 구성은 외부와 내부 네트워크를 단순히 논리적으로 구분한다.
•배스천 호스트가 공격을 당하면 모든 내부 네트워크 자원은 보호받지 못한다.
•배스천 호스트는 응용층에서 동작한다.
•배스천 호스트의 주요 기능 : 인증, 접근제어, 각종 로그 생성, 역추적 등
◈ 스크린 서브넷(screened gateway)이란?
•인터넷 불특정 다수에게 내부 정보를 공개할 필요가 있는 경우가 있다.
•이런 경우는 내부 네트워크와 공개용 네트워크를 구분해야 한다.
•즉, 외부와 내부 네트워크 사이에 별도의 subnet을 만들어 운용할 수 있다.
•스크리닝 라우터는 외부와 내부 네트워크 사이에 설치된다.
•스크린 서브넷에는 공개용 서버들과 더불어 배스천 호스트를 설치한다.
•배스천 호스트는 내부 네트워크로 허용된 서비스에 대해 gateway 역할을 한다.
•이러한 구조를 스크린 서브넷이라 한다.
6. SOCKS
•먼저, SOCKS는 회로수준방화벽(circuit-level firewall)이다.
•SOCKS 서버는 Sun Java System Web Proxy Server에 포함되어 있다.
•SOCKS는 클라이언트-서버 환경에서 이용되는 프록시 접속 프로토콜이다.
•클라이언트는 SOCKS가 탑재한 프록시 서버와 통신하고
•프록시 서버는 외부망의 외부 호스트와 통신한다. → 2개의 TCP 연결이 설정된다.
•SOCKS 서버는 중간에서 데이터를 중계한다.
•SOCKS 서버는 클라이언트 요청을 인증/승인하고, 프록시 연결을 수립한다.
1. 침입차단시스템에 대한 설명으로 가장 옳은 것은? [2019년 서울 9급]
① 스크린드 서브넷 구조(screened subnet architecture)는 DMZ와 같은 완충지역을 포함하며 구축비용이 저렴하다.
② 스크리닝 라우터 구조(screening router architecture)는 패킷을 필터링하도록 구성되므로 구조가 간단하고 인증기능도 제공할 수 있다.
③ 이중 네트워크 호스트 구조(dual-homed host architecture)는 내부 네트워크를 숨기지만, 베스천 호스트가 손상되면 내부 네트워크를 보호할 수 없다.
④ 스크린드 호스트 게이트웨이 구조(screened host gateway architecture)는 서비스 속도가 느리지만, 베스천 호스트에 대한 침입이 있어도 내부 네트워크를 보호할 수 있다.
// 회로 수준 프록시, 응용 프록시 방화벽 비교
① 회로 수준 프록시는 응용 프록시 게이트웨이 방화벽보다 신속하게 작동한다.
•응용 프록시는 클라이언트-서버 간의 패킷 내용을 분석한다. 성능이 떨어진다.
•회로 수준 프록시는 데이터 검증 절차가 단순하다. 내용을 검증하지 않는다.
② 회로 수준 프록시는 데이터 내용을 검증하지 않으므로 사용자의 신뢰를 요구한다.
•회로 수준 프록시는 세션층에서 동작한다.(응용층이 아니다)
③ 응용 프록시는 http, ftp 등 개별 서비스마다 프록시가 개별적으로 존재해야 한다.
•http는 http 프록시, ftp는 ftp 프록시가 존재해야 한다.
④ 회로 수준 프록시는 클라이언트-서버 사이에 가상회로를 생성하여 데이터를 전달한다.
•회로 수준 프록시는 Socks 등을 이용하여 하나의 회로를 만들 뿐이다.
•회로 수준 프록시는 대부분의 프로토콜을 지원하고 있다.
⑤ 현재, 대부분의 웹 브라우저에서는 응용 프록시를 기본으로 하고 있다.
⑥ 응용 프록시 방화벽의 부하를 줄이려면, 전용 프록시 서버를 이용하면 된다.
•응답시간에 덜 구애 받는 이메일 같은 서비스는 전용 프록시 서버로 처리한다.
•전용 프록시 서버는 트래픽에 대한 통제를 하지만, 방화벽 기능은 제외된 것이다.
•전용 프록시 서버는 트래픽에 대한 특화된 필터링과 로깅 작업에 널리 사용된다.
•특화된 필터링과 로깅 작업은 방화벽이 직접 처리하기 어려운 것이다.
•로그(log)는 시스템에 접속한 사용자들의 행위들을 저장해 놓은 기록들이다.