계층별 장비 보안 관점 및 내부/외부망 연결

L2	Transparent Mode(TP mode) - 두 장비 사이에서 투명하게 자리잡음 L2 방화벽의 특성상 2개의 NIC에 같은 IP 주소 대역 할당 가능 L2 방화벽 설치시에는 기존 네트워크 디자인을 바꾸지 않아도 됨 Transparent 이름처럼 외부 네트워크나 내부망에서 방화벽이 전혀 보이지 않음 -> 보안 시스템을 L2에 설치하는 것은 TP 모드로 들어간다는 의미로, 기존 네트워크의 변동 없이 모니터링 및 제어하고자 하는 장비 사이에/같은 서브넷 대역에 끼워 넣는 것
L3	NAT과 VLAN을 이용해 여러 개의 네트워크 망을 구성 가능(VLAN은 L2부터 지원) -> 네트워크 대역을 구분할 수 있음
L4	여러 머신으로 부하를 분산하는 로드 밸런서 세션에 따라 패킷의 흐름 지정이 가능해 방화벽의 풀 인스펙션 기능을 구현할 수 있음
L7	애플리케이션 데이터를 보고 스위칭 진행

Inline: 패킷이 통과하는 문

Out of Path: 트래픽을 복제해 분석 후 결과를 보내주는 방법

(https://atgane.tistory.com/149?category=995395)

---

소프트웨어 방화벽과 어플라이언스 장비

어플라이언스 장비: 전용 하드웨어에 서버 OS와 서비스를 제공하는 소프트웨어가 처음부터 설치된 것

방화벽 어플라이언스

소프트웨어 방화벽: PC에 설치하는 소프트웨어로 내 PC의 네트워크만 제어 가능

 

방화벽

1세대 방화벽	ACL(access control list)에 따라 패킷 허용/차단 패킷 전송 시 돌아오는 패킷에 대해서도 따로 패킷을 허용해주어야 함(stateles 방화벽)
2세대 방화벽	stateful inspection - tcp 접속 시 3way handshaking을 함과 동시에 방화벽에서 페이로드를 보며 허가 룰을 자동으로 추가해줌 *통신을 하나의 커넥션으로 인식해서 해당 커넥션이 유지되는 동안에는 소스 포트가 무작위로 설정된 경우라도 허용함
3세대 방화벽	실제 패킷의 내용까지 검사해 어떤 애플리케이션이 통신하고 있는지까지 파악 가능 ex) 페이스북은 차단, 인스타그램은 허용하는 세밀한 룰 설정이 가능

 

---

망 분리

1. 외부에서 DMZ로 연결

보통 서버로 연결하기 때문에 80, 443번만 허용하는 방화벽 룰을 만듦

 

2. 내부에서 DMZ로 연결

내부망: 직원들이 사무실에서 사용하는 네트워크 환경, DMZ 영역에 있는 서버들에 대해 서버 코드 패치와 윈도우/리눅스 보안 패치 적용

보통 RDP/SSH 접속을 진행함

 

3. DMZ에서 외부로 연결(DMZ에서의 Outbound)

서버도 현재 사용하는 애플리케이션의 신규 패치를 받기 위해 인터넷 연결이 필요할 때가 존재함

But, 실제 기업에서는 DMZ에서 외부로 연결하는 경우는 거의 없음 -> 외부 인터넷이 가능한 환경에서 미리 내려받고 서버로 업로드하는 Inbound만이 존재함

 

4. 내부에서 외부로 연결

직원들이 사무실에서 인터넷을 하는 경우

악성으로 판단된 URL을 ACL에 등록함

 

---

NAT에서 발생하는 보안 취약점

NAT를 사용하는 이유

1. 공인 IP 주소 절약
2. 외부 접근이 불가능한 사설망 구축

DNAT: 외부에서 내부로 들어올 때 NAT이 Destination 주소를 내부망의 주소로 바뀌는 것

SNAT: 내부에서 외부로 나갈 때 NAT이 Source 주소를 NAT의 공인 IP 주소로 바뀌는 것

 

*내부 PC의 아운바운드를 허용하고, 주소 변환시 모든 Device에 대해 하나의 공인 IP 주소로 바뀌게 해놓았다고 가정

내부 네트워크는 4대라고 가정

 

 

 

 

-> 내부 PC의 감염이 발생해서 외부로 악성 파일을 유포하고 있을 때 해당 PC를 조사하고 싶지만 모든 Device에 대해 하나의 공인 IP로 설정하는 바람에 어떤 Device가 Malicious한 PC인지 파악하기 어려워짐