침압차단시스템[Firewall]

우리가 말하는 `방화벽`이다.

차단 

(遮斷) [차ː단] 

[명사] 1. 액체나 기체 따위의 흐름 또는 통로를 막거나 끊어서 통하지 못하게 함.

[naver]

차단. 막거나 끊어서 통하지 못하게함이다. 이를 잘 기억해야한다

뒤에 Detection[탐지], Prevention[방지]라는 개념이 나오기 때문에 생각하면서 공부 필요하다.

외부 네트워크로부터 내부망을 안전하게 보호하기 위한 보안장치 중에 하나로 외부와 내부 네트워크의 연결점에 위치하여 네트워크 트래픽을 제어하는 시스템

--> 제어 한다는 말에서 검사하고 막는 개념이 들어 갈 것같다.

침임차단 시스템 특징

1. 외부 네트워크와 내부 네트워크의 경계선에 위치한다.

2. 내부에서 외부로, 외부에서 내부로 들어오는 패킷을 처리 및 제어한다.

--> 외부에서 내부만이 아니다. 내부에서 외부로도 중요하다.

--> 패킷을 처리도 한다

3. 내부 네트워크를 안전하게 하기 위한 보안장치

4. 내부 네트워크로 접속 자체를 방어하기 때문에 일단 내부 네트워크에서의 취약부분을 회피 할 수 있다.

5.  네트워크 통신에 대한 로깅 기능과 감사 증적을 제공

감사 증적 [audit trail] 

적절한 정책이나 표준에 따라 기록 관리가 이루어졌는지를 검사하기 위하여, 기록 관리 과정에서 기록에 대하여 행해진 조치를 처음부터 끝까지 기록하여 기록 자체와 함께 남기는 정보를 말한다

침입차단 시스템의 종류

Packet Filtering

네트워크 층[IP]와 전송층[TCP]에서 동작하는 방식이다.

비교적 낮은 층에서 작동하기 때문에 위에서의 어플리케이션과 연동이 가능하다.

--> 이미 낮은 층에서 처리하고 오기 때문에, 어플리케이션에서 고려할 필요가 없음.

장점

다른 방식에 비해 속도가 빠르다.

하드웨어 의존적이지 않다.

기존 프로그램과 연동이 쉽다.

사용자에게 투명성을 제공한다.

단점

조작된 패킷을 필터링 할 수없다.

악성 파일 필터링 할수 없다.

발달된 방화벽에 비해 로깅, 감사 기능이 떨어짐

*******통신계층 모델의 관점에서 볼 때의 투명성이란

      - 송수신 쌍방간에 중간의 복잡한 연결과정을 의식하지 않아도, 

      - 전송되는 데이터는 내용변경 없이 상대 가입자 단말기에게 그대로 전달됨

Application Gateway 방식

OSI 7 중 에서 윗 층인 Application 층에서 작동하는 차단 방식이다.

해당 방식은 Proxy 기능을 사용하여서, 높은 보안이 가능하지만

각 서비스 마다 따로 구현해야 해서 투명성이 있다고 보기 어렵다.

*Proxy: 우리가 아는 프록시 기능을 생각해보면 트래픽을 잡고, 변조해서

    네이버 순위를 변동된 것처럼 보이게 하거나.. 머 웹 디버깅?

    할 때 사용되는것을 생각한다.

    이와 유사한 기능으로 Proxy를 통해서 클라이언트의 트래픽을 잡는다.

    그러고 잡은 트랙픽을 조직의 보안 정책과 맞는지 검사한 후, 

    처리하게 하는 방식!

위의 그림과 같이 각 서비스마다 프록시가 존재하고 검사받고 통신하는 방식

장점

외부[인터넷 세상]과 내부[클라이언트]가 프록시 서버를 통해서만 연결

내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨김

--> 프록시에 잡아서 다른 주소와 내용으로 검색하고 가지고 오기

각 서비스 별로 프록시가 존재한다.

단점

응용계층에서 등작하므로 네트워크에 많은 부하를 줌

--> 기본적으로 네트워크 층은 다 거치고 응용계층으로 오기 때문

투명성제공 어렵다.

각 서비스마다 데몬이 있어야해서 구축하려면 계속 생겨야한다.

Circuit Gateway 방식   

Application 방식과는 다르게 하나의 Gateway로 모든 서비스가 처리 가능한 

방식이다. 세션레이어와 어플리케이션 레이어 사이에서 작동하는 방식이다.

장점 

투명성을 제공한다.

각 서비스별로 프록시가 존재 하지 않는다.

단점

클라이언트의 수정이 필요하다. Generic Proxy에 맞추기 위해서

그래서 지원 못하는 프로토콜이 존재 할 수도 있다.

Hybrid 방식

패킷 필터링 방식과 어플리케이션 게이트 웨이 방식을 합친 방식이다.

Stateful Inspecion 방식

상태기반 감시는 일정 시간 동안 통신 패킷을 추적함으로써 보다 강화된 보안을

제공한다. 송, 수신 패킷들이 모두 검사되는데, 특정한 형태의 수신 패킷을 요청

하는 송신 패킷들도 추적되며, 오직 적절한 응답이라고 판단되는 수신 패킷에 

대해서만 방화벽 통과가 허용된다. 패킷의 헤더만을 검사하는 정적 패킷 필터링

과는 달리, 상태기반 감시는 패킷들을 응용계층 아래에서 분석한다.