분산 방화벽
Distributed firewall방화벽은 "외부" 네트워크로부터 "내부" 네트워크를 보호하기 위해 두 네트워크 사이에 액세스 제어를 시행하기 위한 일련의 보안 규칙을 구현하는 시스템 또는 시스템 그룹(라우터, 프록시 또는 게이트웨이)이다.하드웨어 장치 또는 보안 호스트 컴퓨터에서 실행되는 소프트웨어 프로그램일 수 있다.어느 경우든, 그것은 보호하고자 하는 네트워크에 대한 것과 그것이 노출되는 네트워크에 대한 것, 둘 이상의 네트워크 인터페이스를 가지고 있어야 한다.방화벽은 두 네트워크, 대개 사설망과 인터넷과 같은 공공망 사이의 접속점이나 게이트웨이에 위치한다.
분산 방화벽의 진화
기존 방화벽은 제한된 토폴로지 및 제어 진입점의 개념에 의존하여 작동한다.더 정확히 말하면, 그들은 진입 지점의 한 쪽, 즉 방화벽의 한쪽에 있는 모든 사람을 신뢰해야 하며, 적어도 다른 쪽에 있는 사람은 적어도 잠재적으로 적이라는 가정에 의존한다.
분산 방화벽은 기업 네트워크의 서버와 최종 사용자 시스템을 원치 않는 침입으로부터 보호하는 호스트 상주 보안 소프트웨어 애플리케이션이다.그들은 인터넷과 내부 네트워크 양쪽으로부터 트래픽을 필터링하는 이점을 제공한다.이는 인터넷과 내부 네트워크 모두에서 발생하는 해킹 공격을 예방할 수 있게 해준다.가장 비용이 많이 들고 파괴적인 공격은 여전히 조직 내부에서 발생하기 때문에 이것은 중요하다.중앙 관리, 로깅 및 경우에 따라 액세스 제어 세분화와 같은 몇 가지 중요한 이점을 제공한다는 점을 제외하면 개인 방화벽과 같다.이러한 기능은 대기업에서 기업 보안 정책을 시행하기 위해 필요하다.정책은 전사적으로 정의되고 추진될 수 있다.
분산 방화벽의 특징은 중앙 집중식 관리다.서버와 최종 사용자 시스템을 채우는 기능, 일관된 보안 정책을 구성하고 "푸시 아웃"하는 기능은 제한된 리소스를 최대화하는 데 도움이 된다.보고서를 수집하고 업데이트를 중앙에서 유지하는 기능은 분산된 보안을 실용적으로 만든다.분산 방화벽은 두 가지 면에서 도움이 된다.원격 최종 사용자 시스템을 보호할 수 있다.둘째로, 보호되는 서버를 확장된 공격의 실행 창구로 이용하지 못하게 함으로써 악성 코드에 의한 침입과 기타 그러한 코드에 의한 「제일링」을 방지하는 네트워크상의 중요 서버를 확보한다.
일반적으로 전통적인 방화벽 뒤에 배치되며, 그들은 두 번째 방어막을 제공한다.그들은 그들이 보호하는 기계에 필수적인 트래픽만 가능하게 하여, 원하지 않는 침입을 막기 위해 다른 유형의 트래픽을 금지함으로써 작동한다.경계 방화벽은 네트워크의 서버를 보호하기 위해 일반론적이고 공통분모 접근방식을 취해야 하는 반면에 분산 방화벽은 전문가 역할을 한다.
분산 방화벽으로 이어지는 재래식 방화벽의 몇 가지 문제는 다음과 같다.회선 속도의 증가와 방화벽이 지원해야 하는 계산 집약적인 프로토콜 때문에 방화벽은 혼잡 지점이 되는 경향이 있다.컴퓨터(그리고 방화벽)가 빨라지는 동안, 더 복잡한 프로토콜의 조합과 방화벽을 통과해야 하는 데이터 양의 엄청난 증가가 Mo를 앞질렀고 앞으로도 계속 앞질렀을 것이다.의 법칙방화벽에서 처리하기 어려운 프로토콜이 존재하며 새로운 프로토콜이 설계된다. 방화벽은 엔드포인트에서 쉽게 사용할 수 있는 특정 지식이 없기 때문이다.FTP와 RealAudio는 그러한 두 가지 프로토콜이다.그러한 프로토콜을 처리하는 애플리케이션 수준 프록시가 존재하지만, 그러한 솔루션은 구조적으로 "깨끗하지 않은" 것으로 간주되고 어떤 경우에는 너무 침습적인 것으로 간주된다.마찬가지로, 네트워크 토폴로지에 대한 의존성 때문에 PF는 그것을 가로지르는 트래픽에만 정책을 시행할 수 있다.그러므로 보호된 네트워크에서 노드 간에 교환되는 트래픽은 제어할 수 없다.이것은 공격자에게 이미 내부자 또는 어떻게든 방화벽의 완전한 자유를 우회하여 행동할 수 있는 기회를 준다.더 나쁜 것은, 관리자가 알지 못하고 동의도 하지 않은 채, 네트워크에 대한 허가받지 않은 새로운 진입 지점을 설정하는 것은 누구에게나 사소한 일이 되었다.다양한 형태의 터널, 무선, 전화 접속 접속 방식을 통해 개인은 기존 방화벽이 제공하는 모든 보안 메커니즘을 우회하는 백도어 접속을 설정할 수 있다.방화벽은 일반적으로 내부자의 잘못된 행동을 경계하기 위한 것은 아니지만, 보다 많은 연결을 위한 내부 요구와 중앙집중식 방화벽으로 그러한 요구를 충족시키기 위한 어려움 사이에 긴장이 존재한다.
IPsec은 최근 IETF에 의해 표준화 된 프로토콜 스위트로, 패킷 기밀성, 인증, 데이터 무결성, 재생 보호, 자동화된 키 관리 등의 네트워크 계층 보안 서비스를 제공한다.이것은 방화벽 배포의 인공물이다: 방화벽에 의해 보이지 않는 내부 트래픽은 필터링될 수 없다. 결과적으로, 내부 사용자는 방화벽이 개입할 수 없이 다른 사용자와 네트워크에 대한 공격을 할 수 있다.오늘날의 대형 네트워크는 (성능, 페일오버 및 기타 이유로) 진입점이 많은 경향이 있다.게다가, 많은 사이트들은 구획화의 어떤 형태를 제공하기 위해 내부 방화벽을 사용한다.이는 통일적이고 포괄적인 관리 메커니즘이 존재하지 않기 때문에, 실질적인 관점에서나 정책 일관성과 관련하여 행정이 특히 어렵게 만든다.
엔드투엔드 암호화는 필터링에 필요한 패킷 필드를 보지 못하게 하기 때문에 방화벽에도 위협이 될 수 있다.방화벽을 통한 엔드투엔드 암호화를 허용한다는 것은 관리자를 대신하여 사용자에 대한 상당한 신뢰를 의미한다.마지막으로, 표준 방화벽이 복잡성과 처리 요건을 크게 증가시키지 않고는 쉽게 수용할 수 없는 보다 세분화된 접근 제어에 대한 필요성이 증가하고 있다.
분산 방화벽은 원치 않는 침입, 즉 서버 및 최종 사용자 컴퓨터로부터 엔터프라이즈 네트워크의 중요 엔드포인트를 보호하는 호스트 상주 보안 소프트웨어 애플리케이션이다.이 개념에서 보안 정책은 중앙에서 정의되고 정책의 시행은 각 엔드포인트(호스트, 라우터 등)에서 이루어진다.일반적으로 전통적인 방화벽 뒤에 배치되며, 두 번째 보호 계층을 제공한다.
내부의 모든 호스트는 동등하게 신뢰되기 때문에 이러한 시스템 중 하나라도 하위 변환된 경우 다른 호스트, 특히 rlogin과 같은 프로토콜에 대해 신뢰할 수 있는 호스트에 대한 공격을 개시하는 데 사용할 수 있다.따라서 산업 보안 조직은 데스크톱 방화벽의 모든 측면을 갖추고 있지만 분산 방화벽과 같은 중앙 집중식 관리를 갖춘 시스템으로 전환하려는 노력을 기울이고 있다.
분산된 호스트 거주 방화벽은 PC와 PC를 기업 네트워크에 진입점으로 사용하는 것을 방지한다.손상된 PC는 네트워크 전체를 공격에 취약하게 만들 수 있다.해커는 기업 네트워크를 무차별 침입해 기업 자산을 도용하거나 부패시킬 수 있다.
기본 작업
분산 방화벽은 종종 운영 체제의 OSI 스택 하단에 위치하는 커널 모드 애플리케이션이다.그들은 인터넷이나 내부 네트워크 등 그것의 출발지에 관계없이 모든 트래픽을 필터링한다.그들은 인터넷과 내부 네트워크 모두를 "친절하지 않은" 것으로 취급한다.그들은 경계 방화벽이 전체 네트워크를 보호하는 것과 같은 방법으로 개별 기계를 보호한다.분산 방화벽은 세 가지 개념으로 유지됨:
- 어떤 종류의 연결이 허용되거나 금지되는지 설명하는 정책 언어,
- Microsoft의 SMS 또는 ASD와 같은 다양한 시스템 관리 도구
- IPSEC, 인터넷 프로토콜용 네트워크 수준 암호화 메커니즘(TCP, UDP 등)
기본적인 생각은 간단하다.컴파일러는 정책 언어를 내부 형식으로 변환한다.시스템 관리 소프트웨어는 방화벽에 의해 보호되는 모든 호스트에 이 정책 파일을 배포한다.그리고 수신 패킷은 각 "내부" 호스트에 의해 각 송신자의 정책 및 암호화된 검증 ID에 따라 승인되거나 거부된다.
정책들
네트워크 보안과 특히 분산 방화벽의 경우에 가장 자주 사용되는 용어 중 하나는 정책이다.정책에 대해 아는 것은 필수적이다."보안 정책"은 시스템의 보안 규칙을 정의한다.정의된 보안 정책이 없으면 어떤 액세스가 허용되거나 차단되는지 알 수 없다. 방화벽의 간단한 예는 다음과 같다.
- 웹 서버에 대한 모든 연결 허용
- 다른 모든 액세스를 거부하십시오.
정책의 분포는 다를 수 있고 이행에 따라 달라질 수 있다.그것은 엔드 시스템으로 직접 밀거나 필요할 때 당겨질 수 있다.
당기기법
호스트는 중앙 관리 서버로 ping을 부팅하는 동안 중앙 관리 서버가 작동 중이고 활성 상태인지 점검하십시오.중앙 관리 서버에 등록하고, 자신이 실행해야 할 정책에 대한 요청을 한다.중앙 관리 서버는 호스트에 보안 정책을 제공한다.예를 들어, License Server나 Security Laintenance Server에 대해 특정 통신을 허용해야 하는지 여부를 물을 수 있다.재래식 방화벽도 같은 역할을 할 수 있지만, 요청의 맥락에 대한 중요한 지식이 부족하다.최종 시스템은 어떤 파일이 관련되는지, 보안 수준이 어떤지를 알 수 있다.그러한 정보는 네트워크 프로토콜을 통해 전달될 수 있지만 복잡성을 가중시킴으로써만 전달될 수 있다.
푸시 기법
푸시 기법은 네트워크 관리자가 중앙 관리 측면에서 정책을 업데이트하고 호스트를 즉시 업데이트해야 할 때 채택된다.이 푸시 기술은 호스트가 항상 업데이트된 정책을 항상 가지고 있음을 보장한다.정책 언어는 네트워크 정책 도메인의 구성 요소에서 허용되는 인바운드 및 아웃바운드 연결을 정의하며, 특정 패킷을 거부 또는 전달하거나 애플리케이션 계층에서 정책을 시행하는 네트워크 계층의 정책 결정에 영향을 줄 수 있다.
분산 방화벽의 구성 요소
- 정책 설계를 위한 중앙 관리 시스템.
- 이러한 정책을 전송하기 위한 전송 시스템.
- 클라이언트 끝에서 설계된 정책의 구현.
중앙 관리 시스템
분산 방화벽의 구성요소인 Central Management는 전사적 서버, 데스크톱, 랩톱 및 워크스테이션의 보안을 실용적으로 보장한다.중앙 관리는 더 큰 통제와 효율성을 제공하며, 글로벌 보안 설비를 관리하는 데 드는 유지보수 비용을 절감한다.이 기능은 정책을 중앙에서 구성, 배포, 모니터링 및 업데이트할 수 있도록 하여 네트워크 보안 리소스를 최대화할 필요성을 해결한다.단일 워크스테이션에서 분산 방화벽을 검색하여 현재 운영 정책을 이해하고 업데이트가 필요한지 여부를 확인할 수 있다.
정책배분
정책 배포 체계는 양도 중에 정책의 무결성을 보장해야 한다.정책의 분포는 다를 수 있고 이행에 따라 달라질 수 있다.그것은 엔드 시스템으로 직접 밀거나 필요할 때 당겨질 수 있다.
호스트 엔드 구현
중앙 관리 서버에서 전송되는 보안 정책은 호스트에 의해 실행되어야 한다.분산 방화벽의 호스트 엔드 부분은 네트워크 관리자가 정책 구현을 제어하는 모든 관리 제어를 제공한다.호스트는 구현한 보안 규칙에 따라 트래픽을 허용한다.
위협비교
분산 방화벽은 기존 방화벽과 비교할 때 장단점이 모두 있다.물론 가장 큰 차이점은 위상에 대한 그들의 의존이다.네트워크 토폴로지가 전통적인 방화벽 기법에 대한 의존을 허용하지 않는다면 선택의 여지가 거의 없다.더 흥미로운 질문은 폐쇄적인 단일 입력 네트워크에서 두 유형이 어떻게 비교되는가 하는 것이다.즉, 만약 어느 한쪽이 효과가 있다면, 다른 한쪽보다 하나를 선택해야 할 이유가 있는가?
서비스 노출 및 포트 검색
두 유형의 방화벽 모두 부적절한 서비스에 대한 연결 요청을 거부하는 데 탁월하다.기존 방화벽은 국경에서 요청을 삭제하며 분산 방화벽은 호스트에서 요청을 삭제한다.더 흥미로운 질문은 연결을 시도하는 호스트가 무엇을 알아차리는가이다.오늘날, 그러한 패킷은 통지가 없이 일반적으로 폐기된다.분산 방화벽은 그것의 법적 동료들이 IPSEC를 사용하는 것을 알고 있다는 가정 하에 패킷을 폐기하는 것을 선택할 수 있다. 또는 대신에 그것은 연결의 인증을 요청하는 응답을 다시 보낼 수 있고, 이는 다시 호스트의 존재를 통지한다.순수 패킷 필터에 구축된 방화벽은 일부 "스틸스 스캔"을 매우 잘 거부할 수 없다.예를 들어, 한 기술은 포트 번호가 첫 번째 조각에 없기 때문에 미연방되지 않은 패킷을 통과할 수 있는 조각화된 패킷을 사용한다.분산 방화벽은 패킷을 재조립한 다음 패킷을 거부한다.한편, 이러한 종류의 위협에 대해 두 방화벽 유형은 최소한 유사하다.
IP 주소 스푸핑
네트워크상에서 주소는 선호되는 개념이 아니다.암호 메커니즘을 사용하면, 필요한 모든 자격 증명을 포함하는 신뢰할 수 있는 리포지토리가 그 자체로 절충의 대상이 되지 않았다는 가정 하에 위조된 소스 주소에 기초한 공격을 방지할 가능성이 높다.이러한 문제는 네트워크 경계에서 패킷을 폐기하는 해당 규칙을 가진 재래식 방화벽으로 해결할 수 있지만, 네트워크 정책 도메인 내부에서 발생하는 공격을 막지는 못할 것이다.
악성 소프트웨어
CORBA와 같은 분산 객체 지향 시스템의 보급, 클라이언트측 자바 이용, 메일 리더의 약점 등에 의해, 어플리케이션이나 중간 레벨의 통신 트래픽에 있어서의 위협은 매우 다양하다.경계에서의 방화벽 메커니즘은 알려진 악성 코드 지문이 있는지 수신 전자우편을 검사함으로써 유용할 수 있지만, 복잡하고, 따라서 자바와 같은 다른 코드를 결정할 때 자원을 많이 소모하는 상황에 직면할 수 있다.분산 방화벽의 프레임워크를 사용하고 특히 애플리케이션 수준에서 정책 결정을 허용하는 정책 언어를 고려하는 것은 이러한 통신 패킷의 내용이 정책 검증 메커니즘에 의해 의미론적으로 해석될 수 있다는 조건 하에서 이러한 문제들 중 일부를 회피할 수 있다.패킷에 대한 상태 저장 검사는 이러한 요건에 쉽게 적응할 수 있으며 의사결정에 있어 보다 세밀한 세분화가 가능하다.더욱이 악성코드 콘텐츠는 가상 사설망 이용에 따라 네트워크 경계에서 선별부대로 완전히 위장하고 일반적으로 암호화된 통신 트래픽을 암호화할 수 있으며, 재래식 방화벽에서 그러한 정책 집행을 완전히 비활성화할 수 있다.
침입 탐지
많은 방화벽들이 침입 시도를 탐지한다.그러한 기능이 분산 방화벽에 의해 제공되어야 하는 경우, 각 개별 호스트는 프로브를 알아차리고 그것들을 처리와 상관관계를 위해 중앙의 어떤 위치로 전송해야 한다.이전의 문제는 어렵지 않다; 많은 호스트들은 이미 그러한 시도를 기록한다.그러한 탐지는 어떤 경우에도 행해져야 한다는 좋은 사례를 만들 수 있다.특히 중앙 사이트와의 연결이 좋지 않은 시기에는 수집이 더욱 문제가 된다.또한 조정된 공격이 유효하여 중앙 기계에 대한 서비스 거부 공격을 발생시킬 위험도 있다.
내부자 공격
네트워크 토폴로지의 재래식 방화벽이 내부와 외부로 구성되는 것으로 보는 자연적인 관점을 고려할 때, 일단 정책 네트워크 도메인의 하나 이상의 구성원이 손상되면 문제가 발생할 수 있다.경계 방화벽은 구별되는 네트워크 사이에만 정책을 시행할 수 있으며 위에서 논의된 상황에서 발생하는 문제를 회피할 수 있는 옵션을 보여주지 않는다.위상학적 제약조건에 대한 분산 방화벽 독립성이 주어진 경우, 호스트가 전체 정책 영역의 구성원이든 외부인이든 정책의 시행을 지원하고 이들의 의사결정은 네트워크 레이아웃의 고유한 특성이 아닌 메커니즘의 인증에 기초한다.더욱이, 가상 사설망 구축이 공격받은 기계가 관여하지 않는 통신 트래픽의 냄새를 방지한다는 사실을 감안할 때 합법적인 사용자나 침입자에 의한 엔드포인트의 타협은 다른 시스템의 타협으로 직접 이어지는 방식으로 전체 네트워크를 약화시키지 않을 것이다.다른 한편으로, 종단점 자체도 재래식 방화벽에서와 거의 동일한 문제가 발생한다: 기계가 적에게 인계되었다고 가정하면, 정책 집행 메커니즘이 스스로 고장날 수 있다는 결론을 이끌어 내야 한다.이 기계에 백도어 설치는 일단 보안 메커니즘에 결함이 있고 경계 방화벽이 없는 경우, 손상된 호스트로 임의의 트래픽이 들어오거나 나가는 것을 막을 수 있는 신뢰할 수 있는 실체가 더 이상 존재하지 않게 되면 아주 쉽게 이루어질 수 있다.또한 SSH 등의 도구를 추가로 사용하면 다른 애플리케이션 통신의 터널링을 허용하고 암호 해독 자격 증명에 대한 적절한 지식이 없으면 막을 수 없으며, 공격이 성공적으로 나타난 경우 그 자체에서 검증 메커니즘을 더 이상 신뢰할 수 없을 수 있다.언뜻 보기에 분산 방화벽의 가장 큰 약점은 사용자들의 협력 부족에 대한 민감성이 크다는 점이다.정책 파일을 다른 사용자가 직접 변경하면 어떻게 되는가?분산 방화벽은 소규모 사용자 그룹을 쉽게 설정함으로써 내부자에 의한 실제 공격의 위협을 줄일 수 있다.따라서, 파일 서버 접근은 회사 내의 누군가가 파일 서버를 두들겨 패게 하는 것이 아니라, 필요한 사용자로만 제한할 수 있다.또한 일상적인 정책 전복 방지를 위한 노력을 아끼지 않을 가치가 있다.정책이 단순한 ASCII 파일에 저장되는 경우 예를 들어 게임을 원하는 사용자는 보호를 쉽게 해제할 수 있다.비록 메커니즘이 이론적으로 불충분하더라도 비협조적인 사용자에게 더 많은 문제를 일으키도록 요구하는 것은 아마도 가치 있는 일일 것이다.예를 들어, 정책은 디지털 서명될 수 있고 교체하기 어려운 위치에서 자주 변경되는 키로 검증될 수 있다.보다 엄격한 보호를 위해, 정책 시행은 변조 방지 네트워크 카드에 통합될 수 있다.
참조
책들
- 싱가포르의 Building Linux 및 OpenBSD Firewalls, Building Linux 및 OpenBSD Firewalls, Wes 및 Tom Yates:애디슨 와일리
- Zwicky, D. Elizabeth, Simon Cooper, Brent D.채프먼, 인터넷 방화벽 구축 오라일리 출판물
- Strebe, 방화벽 24, BPB 출판사
백서 및 보고서
- 벨로빈, M. 스티븐 "분산 방화벽", 로그인, 1999년 11월, 페이지 39-47 http://www.usenix.org/publications/login/1999-11/features/firewalls.html
- Hancock 박사, Bill "호스트 레지던트 방화벽: 네트워크 공격으로부터 Windows NT/2000 서버 및 데스크톱 방어"
- 벨로빈, S.M. W.R.체스윅 "방화벽과 인터넷 보안:'윌리 해커 퇴치' 애디슨-웨슬리, 1994.
- 서기 2000년 11월, S.와 Keromytis, 그리고 Bellovin, S.M.과 J.M. Smith, "분산 방화벽 구현", 컴퓨터 통신 보안(CCS), 페이지 190–199, 아테네, 2000년 11월.