▣ 네트워크 보안_방화벽 firewall, 침입차단, 스크린드 서브넷, 스크리닝 라우터, 이중 네트워크, 배스천, 단일 홈, 스크린드 호스트 게이트웨이, DPI, DMZ
■ 스크리닝 라우터 구조(Screening Router)
패킷 헤더 내용을 필터링 할 수 있는 라우터, OSI3 또는 4계층에서 동작
IP, TCP, UDP의 헤더에 포함된 내용을 분석하여 동작(IP, Port 분석)
송신지/목적지 주소와 포트번호, 제어필드의 내용을 분석하고 패킷 필터 규칙에 적용하여 트래픽 통과유무를 결정
| 장점 | 단점 |
| 필터링 속도가 빠르고 비용이 적게듬 네트워크 계층에서 동작, 클라이언트와 서버에 변화가 없음 네트워크 계층, 트랜스포트 계층에 입각한 트래픽 보호 |
패킷 내의 데이터에 대한 공격은 차단불가 인증기능 수행 불가능, 내부 구조 숨기기 어려움 실패한 접속에 대한 로깅을 지원하지 않음, 규칙 검증 어려움 |
■ 이중 네트워크 호스트 구조 (Dual-Homed Host Architecture)
두개의 인터페이스를 가진 베스천 호스트 (내부, 외부에 각각 1개씩 배치)
양 네트워크간 라우팅을 제거, 프록시 서브 기능 사용[외부]-[배스천호스트(NIC 2개)]-[내부]
| 장점 | 단점 |
| 스크리닝 라우터 방식보다 안전 정보 지향적인 공격 방어 관리, 설치, 유지보수 용이 |
서비스가 증가할수록 프록시 소프트웨어 가격 상승 사용자 정보 입력이 필요 배스천호스트 손상, 로그인 정보 유출시 네트워크 보호 불가 |
* 배스천호스트(Bastion Host) or 단일 홈 게이트웨이(Single-Homed Gateway)
침입차단 S/W가 설치되어 내/외부 네트워크 사이에서 게이트웨이 역할을 수행하는 호스트
단일 홈 게이트웨이는 스크리닝 라우터와 구조는 비슷하지만 좀더 제대로된 방화벽
접근제어, 프록시, 인증, 로깅 등 방화벽의 기본 기능을 수행
방화벽이 손상되면 내부의 공격에 대해 무방비 상태가 됨(2계층에서 우회를 통한 공격이 가능)
■ 스크린드 호스트 게이트웨이 구조 (Screened Host Gateway)
듀얼 홈드 호스트 구조 + 스크리닝 라우터
내부 네트워크에 놓여 있는 배스천호스트와 외부 네트워크 사이에 스크리닝 라우터로 구성
[외부]-[스크리닝 라우터]-[배스천호스트]-[내부]
| 장점 | 단점 |
| 다른 방화벽에 있는 모든 장점이 있으며 융통성도 뛰어남 네트워크 계층(스크리닝 라우터)과 응용 계층(배스천호스트)에서 방어하기 때문에 2단계 방어가 가능 |
서버 속도가 느리고, 배스천호스트 침해 시 내부 네트워크를 보호할 수 없음 내부자에 의해 스크린 라우터의 라우팅 테이블이 변경되면 외부 트래픽이 배스천호스트로 입력되지 않고 곧바로 내부 네트워크로 진입하여 내부 네트워크 방어가 불가 |
■ 스크린드 서브넷 구조 (Screened Subnet Architecture)
스크리닝 라우터 + 듀얼 홈드 호스트 구조 + 스크리닝 라우터 (3중 방어 체계)
외부 네트워크와 네트워크 사이에 DMZ(Demilitarized Zone)라는 서브넷을 운영하는 방식
외부에서 접속할 수 있어야 하며 보호되어야 할 시스템은 주로 DMZ 네트워크에 배치(메일서버, 웹서버)
[외부]-[라우터]-[배스천호스트]-[라우터]-[내부]
| 장점 | 단점 |
| DMZ와 같은 보안층을 가지고 있어 매우 안전 다른 방화벽에 있는 모든 장점을 포함, 융통성 또한 뛰어남 | 서비스 속도가 낮음 다른 방화벽에 비해 설치/관리가 어렵고 구축비용 높음 |
2018년 101번
정답 : 4번
DMZ(Demilitarized Zone)을 구성하는 방화벽 구성은 '스크린드 서브넷 게이트웨이'의 특징임
내부/외부 이중 라우터를 사용하며 완충지대인 DMZ를 구성하는 방식
네트워크 및 시스템보안_firewall, 침입차단시스템, 스크린드 서브넷 게이트웨이, 스크리닝 라우터, 이중 네트워크 호스트, 베스천 호스트, 단일 홈 게이트웨이, 스크린드 호스트 게이트웨이
2013년 84번
정답 : 3번
심층패킷분석(Deep Packet Inspection, DPI)은 패킷 내부의 콘텐츠까지 파악할 수 있는 기술
3) DPI를 이용하면 DDoS패킷을 차단 또는 방지할 수 있지만, 사생활 침해를 막을 수 있는 것은 아님
DPI는 패킷 내부를 보는 것이기 때문에 오히려 사생활이 침해될 가능성이 존재
2016년 103번
정답 : 4번
내부망과 외부망으로 구분 -> 방화벽
외부에 공개해야하는 웹서비스는 구분된 네트워크에서 운영 -> DMZ
외부망과 내부망으로 암호터널을 이용 -> VPN
2017년 35번
정답 : 2번
DMZ 구축을 통해 외부 인터넷망을 통해 접근하는 사용자로부터 시스템 내부 자원에 대한 접근을 제한적으로 허용할 수 있음
| 외부 공격에 대항하기 위한 사용자 인증(user authentication)목적 | OTP, PKI 등 |
| 외부 공격으로 인해 시스템이 실패한 상황에서 실패로부터 회복하기 위한 목적 | 이중화, DR, HA 등 |
| 공격자를 파악하고 그들의 행동을 추적하기 위해 사용자 및 시스템 행동을 기록하기 위한 목적 | Honey Pot, Honey Net 등 |
DMZ는 조직의 내부 네트워크와 외부 네트워크(인터넷)사이에 위치한 서브넷임. 내, 외부 네트워크간 완충장치임. 외부네트워크는 오직 DMZ내의 컴퓨터에만 접근할 수 있으며 내부 네트워크에는 접근할 수 없음.
DMZ에는 웹서버, 메일서버, DNS와 같이 주로 외부에 서비스를 제공하는 서버가 위치함