> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
방화벽 초보자, 이렇게 하라!
2002년 08월 21일 00:00:00 Network Computing
차를 차고에 주차시켜 두었는데, 엔진에 불이 붙었다고 상상해보라. 불타는 차와 당신의 집 사이에 방화벽이나 완충 공간이 있다면 당신은 안전할 것이다(어찌됐건 이론상으로는). 네트워크의 경우도 마찬가지다. 인터넷은 부당이용이 가능한 시스템을 계속해서 주시하는 공격자들이 가득한 하나의 전장이다. 방화벽과 DMZ(Demilitarized Zones)는 네트워크 트래픽을 제어할 수 있게 해주기 때문에, 사용자에겐 인터넷 액세스를 주면서 공격자는 막을 수 있다. 물론, 이 또한 이론적으로는 그렇다는 얘기다.

문제는, 방화벽과 DMZ는 반드시 정확하게 셋업돼야 한다는 것이다. 간단하게 들리고, 숙련된 관리자라면 그렇게 되겠지만, 네트워크를 지키는 책임을 맡고 있는 모든 사람이 이런 기술을 갖고 있는 것은 아니다. 이 입문서를 쓸 때 우리가 염두에 둔 사람들은 경험이 부족한 관리자들이다. 기본적인 것들을 갖추고 있는 사람이라면, 이 기사는 뛰어넘어도 좋다.


액세스 제어가 전부다

규칙 1: 방화벽은 액세스 제어에 대한 모든 것이다. 당신은 어떤 포트를 열어두어야 할지, 어떤 것을 금지해야 할지, 그리고 어떤 IP 어드레스나, 혹은 전체 네트워크를 차폐해야할지를 지정하는 규정 세트를 만들게 된다. 네트워크 에지에 있는 방화벽은 적절히 구성되었을 경우에만 효력을 발휘한다. 그리고 내부의 트래픽을 잊어서는 안 된다. 즉, 방화벽은 단순히 인터넷 접속용만이 아니다. 이들은 내부 네트워크의 한쪽 편에서 다른 쪽으로의 액세스를 제어하는 데도 사용돼야만 한다. 아마 당신은 바로 앞 책상에 있는 순진한 인턴 사원이 당신의 결제 시스템을 공격하려 시도할 수도 있다는 사실을 결코 알지 못할 것이다.

방화벽에는 다음과 같은 세 가지 종류가 있으며, 보안과 성능에 있어 각각 장단점을 갖고 있다:

■ 패킷 필터 방화벽

가장 간단한 방화벽은 패킷 필터며, 패킷 필터 방화벽은 라우터, 광대역 모뎀, NAT 박스, 고급 스위치, 트래픽 쉐이퍼 등의 장비에 탑재돼 있는 경우가 많다. 이것은 패킷 필터 방화벽이 업체들로서는 개발이 쉽고 CPU를 거의 필요로 하지 않으며 금전적 부담이 많지 않기 때문이다.

패킷 필터는 이전 패킷에 대한 어떠한 정보도 없이 한 번에 하나의 패킷씩, 각 트래픽이 당신의 규정 세트에 맞는지에 대해 조사한다. 보통, 규정들은 소스 어드레스와 포트, 혹은 목적지 어드레스 및 포트를 기반으로 한다. 일부 패킷 필터 방화벽은 SYN 패킷과 같은 TCP 플래그를 살펴볼 수 있게 해주지만, 이것은 특히 수동으로 해야 할 경우 시간이 많이 걸릴 수 있다. 패킷 필터 방화벽은 특정 트래픽 유형을 걸러내는 데 유용하다.

하지만 패킷 필터에는 몇 가지 중요한 보안 약점이 있다. 이들은 IP 스푸핑의 여지가 있다. 이들은 TCP 시퀀싱 수를 볼 수가 없다. 가장 큰 약점은 접속이 내부에서 이루어졌는지 외부에서 이루어졌는지를 판단할 수가 없다. 외부의 누구든지 공통 소스 포트인 53(DNS)이나 80(HTTP)을 가진 패킷을 보낼 수 있으며, 전체 내부 네트워크를 효과적으로 스캐닝할 수 있다.
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr