선릉역 1번 출구
계층별 장비 보안 관점 및 내부/외부망 연결 본문
L2 | Transparent Mode(TP mode) - 두 장비 사이에서 투명하게 자리잡음 L2 방화벽의 특성상 2개의 NIC에 같은 IP 주소 대역 할당 가능 L2 방화벽 설치시에는 기존 네트워크 디자인을 바꾸지 않아도 됨 Transparent 이름처럼 외부 네트워크나 내부망에서 방화벽이 전혀 보이지 않음 -> 보안 시스템을 L2에 설치하는 것은 TP 모드로 들어간다는 의미로, 기존 네트워크의 변동 없이 모니터링 및 제어하고자 하는 장비 사이에/같은 서브넷 대역에 끼워 넣는 것 |
L3 | NAT과 VLAN을 이용해 여러 개의 네트워크 망을 구성 가능(VLAN은 L2부터 지원) -> 네트워크 대역을 구분할 수 있음 |
L4 | 여러 머신으로 부하를 분산하는 로드 밸런서 세션에 따라 패킷의 흐름 지정이 가능해 방화벽의 풀 인스펙션 기능을 구현할 수 있음 |
L7 | 애플리케이션 데이터를 보고 스위칭 진행 |
Inline: 패킷이 통과하는 문
Out of Path: 트래픽을 복제해 분석 후 결과를 보내주는 방법
(https://atgane.tistory.com/149?category=995395)
소프트웨어 방화벽과 어플라이언스 장비
어플라이언스 장비: 전용 하드웨어에 서버 OS와 서비스를 제공하는 소프트웨어가 처음부터 설치된 것
소프트웨어 방화벽: PC에 설치하는 소프트웨어로 내 PC의 네트워크만 제어 가능
방화벽
1세대 방화벽 | ACL(access control list)에 따라 패킷 허용/차단 패킷 전송 시 돌아오는 패킷에 대해서도 따로 패킷을 허용해주어야 함(stateles 방화벽) |
2세대 방화벽 | stateful inspection - tcp 접속 시 3way handshaking을 함과 동시에 방화벽에서 페이로드를 보며 허가 룰을 자동으로 추가해줌 *통신을 하나의 커넥션으로 인식해서 해당 커넥션이 유지되는 동안에는 소스 포트가 무작위로 설정된 경우라도 허용함 |
3세대 방화벽 | 실제 패킷의 내용까지 검사해 어떤 애플리케이션이 통신하고 있는지까지 파악 가능 ex) 페이스북은 차단, 인스타그램은 허용하는 세밀한 룰 설정이 가능 |
망 분리
1. 외부에서 DMZ로 연결
보통 서버로 연결하기 때문에 80, 443번만 허용하는 방화벽 룰을 만듦
2. 내부에서 DMZ로 연결
내부망: 직원들이 사무실에서 사용하는 네트워크 환경, DMZ 영역에 있는 서버들에 대해 서버 코드 패치와 윈도우/리눅스 보안 패치 적용
보통 RDP/SSH 접속을 진행함
3. DMZ에서 외부로 연결(DMZ에서의 Outbound)
서버도 현재 사용하는 애플리케이션의 신규 패치를 받기 위해 인터넷 연결이 필요할 때가 존재함
But, 실제 기업에서는 DMZ에서 외부로 연결하는 경우는 거의 없음 -> 외부 인터넷이 가능한 환경에서 미리 내려받고 서버로 업로드하는 Inbound만이 존재함
4. 내부에서 외부로 연결
직원들이 사무실에서 인터넷을 하는 경우
악성으로 판단된 URL을 ACL에 등록함
NAT에서 발생하는 보안 취약점
NAT를 사용하는 이유
- 공인 IP 주소 절약
- 외부 접근이 불가능한 사설망 구축
DNAT: 외부에서 내부로 들어올 때 NAT이 Destination 주소를 내부망의 주소로 바뀌는 것
SNAT: 내부에서 외부로 나갈 때 NAT이 Source 주소를 NAT의 공인 IP 주소로 바뀌는 것
*내부 PC의 아운바운드를 허용하고, 주소 변환시 모든 Device에 대해 하나의 공인 IP 주소로 바뀌게 해놓았다고 가정
내부 네트워크는 4대라고 가정
-> 내부 PC의 감염이 발생해서 외부로 악성 파일을 유포하고 있을 때 해당 PC를 조사하고 싶지만 모든 Device에 대해 하나의 공인 IP로 설정하는 바람에 어떤 Device가 Malicious한 PC인지 파악하기 어려워짐
'Computer > Network' 카테고리의 다른 글
IPS, 방화벽의 위치 (0) | 2022.12.08 |
---|---|
방화벽 고가용성 (0) | 2022.12.08 |
[Packet Tracer] 같은 네트워크 통신 (2) | 2022.11.28 |
충돌 도메인과 브로드캐스트 도메인 (0) | 2022.11.20 |
네트워크 정리(계층별 장비) (0) | 2022.11.20 |