3. DMZ, NAT & PAT

01 개요[DMZ, NAT&PAT, VPN, OWASP 10, 정보보호 장비 개요]

 

DMZ(Demilitarized Zone) 개요

 ▶ 내부 네트워크에 있는 서버에서 외부에 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에서 접근 제한을 수행하는 영역.

 ▶ 외부에 서비스를 제공해야 하는 상황에서 내부 자원을 보호하기 위해 내부 네트워크와 분리시킨 공간.

 - 방화벽, NAT(Network Address Translation), PAT(Port Address Translation), 기술 등을 활용하야 구성한다.

 

네트워크 보안 토폴로지(Security Topologies)

 

DMZ 특징

• 웹 서버는 외부에서 접속이 가능하지만 DB서버는 별도의 방화벽을 구축하여 접근을 제한함
• 외부에서는 DB서버로 직접 접근할 방법이 존재하지 않는다.
• 외부망에 꼭 노출 시켜야 하는 장비만 보안장비로 보호된 망에 설치해야 함

 

NAT(Network Address Translation) 개요

 ▶ 네트워크 주소 변환은 내부망의 사설 IP 주소를 외부망의 공인 IP 주소로 바꿔주는 기술이다.

NAT는 IPv4의 주소 부족 문제를 해결하기 위한 방법으로 고려되었으며, 주로 사설 네트워크 주소를 사용하는 망에서 외부와의 통신을 위해서 네트워크 주소를 변환하는 것을 의미한다.

 

NAT의 종류

• static NAT(1:1 NAT) - 내부 IP 주소에 대해 외부 IP 주소가 1:1로 각각 대응함
• Dynamic NAT(N:N NAT) - 여러 내부IP주소에 대해 여러 개의 외부 IP 주소를 동적으로 할당함, 외부 IP 주소가 모두 사용 중일 경우에는 외부에서의 연결을 제한함
• PAT(Port Address Translation, 1:N NAT) - 하나의 외부 iP주소를 다수의 내부 IP 주소가 Port 번호로 구분하여 사용함

 - PAT

 ▶ 왼쪽은 NAT | 오른쪽은 외부

    웹서버 입장에서 63.63.63.1이라는 1개와 통신 중이지만 실제로는 3대의 노트북과 통신중이다.

1번의 8000번 포트에서 웹 서버로 갈때는 NAT를 통해서 63.63.63.1로 ip가 변환되서 통신한다.

문제는 반대로 웹서버에서 63.63.63.1로 데이터를 보낼때 3대의 노트북 중 누구에게 보내야 하는지 모른다.

-> 이때 Port 주소를 기준으로 각각의 데이터로 전송해준다.

포트포워딩 기술

 

VPN(Virtual Private Network)개요

 ▶ 사설망이나 인터넷과 같은 공용 네트워크의 지점 간 연결

• VPN 클라이언트는 터널링 프로토콜이라는 특별한 TCP/IP 기반 프로토콜을 사용하여 VPN 서버의 가상 포트에 대해 가상 호출을 수행한다.

         - 지점 간 링크를 에뮬레이팅하기 위해 데이터는 헤더와 캡슐화를 한다.

         - 헤더는 데이터가 공유 또는 공용 네트워크를 통과하여 끝점에 도달할 수 있도록 하는 라우팅 정보를 제공함

 

VPN 구성도

 - L2TP Tunnel VPN 구간

172.16.1.2, 172.16.1.1 / Laptop / Workstation 1,2,3은 모두 사설 IP로 사설끼리는 통신을 할 수 없다. 하지만 VPN 터널링 기술로 통신이 가능하다. 어떻게?

 

VPN 터널링(Tunneling)

 ▶ 프로토콜 호환이 되지 않는 망을 통해 다른 망으로 데이터를 전달하기 위해 사용되는 네트워크 트래픽 전송 기술이다.

• 라우팅이 되지 않는 비 표준 프로토콜 패킷을 터널링을 사용해 원격지의 컴퓨터로 전달할 수 있다.
• 평문 프로토콜에 암호화 기능을 추가하기 위해 사용 -> 암호화 프로토콜이 없는 패킷을 SSH Tunneling을 이용해 암호화한다.

 

  ■ Tunnneling 3요소

• passenger Protocol - 전송하고자 하는 데이터를 담고 있는 프로토콜
• Encapsulating Protocol - 패킷을 Encapsulating/Decapsulating 하기 위한 프로토콜 예)GRE, PPTP, L2TP, L2F, IPSec
• Carrier Protocol - Encapsulating된 패킷을 운반하기 위한 프로토콜, 전송 구간에 있는 네트워크 장비들이 이해할 수 있는 프로토콜(일반적으로 IP 프로토콜을 사용한다)

 -> 프로토콜을 계속 감싸서 보낸다.

 

OWASP(Open Web Application Security Project)

 ▶ 웹 애플리케이션에서 발생할 수 있는 위험들에 대해 연구하는 오픈 소스 프로젝트로 2004년 owasp top10취약점 발표 후 3~4년마다 업데이트된다.

2017년과 2021년이 어떻게 바뀌었는지 트렌드의 변화를 보면 좋다.

 - 차이

 

정보보호 장비 구성

tcp wrapper - 초기 서비스를 하고 있는 백그라운드에서 제공되는 프로세스들의 취약점을 이용한 접근 제어를 위해 개발.

접근 가능한 목록들의 ip를 allow와 deny로 접근을 제어했지만 한계가 있어 방화벽을 개발.

 

1세대 방화벽

접근 제어를 위해 패킷을 필터한다. 그리고 서비스 데몬(ssh..)의 포트가 4계층(L4)이기 때문에 4계층의 접근을 제어해서 L4 방화벽이라고도 한다.

 

한계

IP & Port를 필터링

룰과 정책으로 allow/deny하기 시작 했지만 한계가 발생 -> 모든 다수의 사용자에게 공개가 되어야 하는 HTTP, HTTPS, DNS.. 같은 포트들이 많이 생기기 시작했다.

1세대는 4계층 프로토콜로 접근제어를 했지만 http, https 같은 것들은 7계층에서 동작하는 프로토콜이기 때문에 제어가 유효하지 않았다.

+ 웹 애플리케이션 해킹의 발달

 

2세대는 조사

 

3세대

-> 7계층의 프로토콜을 검사하기 위해 IDS가 생겼다.

IDS는 탐지만 가능하기 때문에 인라인 방식이 아닌 미러 방식(트래픽이 서버로 가는 트래픽은 그대로 가고 IDS(미러)한테도 가서 탐지를 하는 방식)으로 작동

 IDS는 코드레드라는 사건으로 한계 인지.

코드레드 웜 : 윈도 NT2000 IIS 웹 서버를 경유지로 이용, 100개의 인터넷 주소(IP)를 대상으로 서비스거부공격(DoS)을 무차별 감행하는 특징을 가짐. 출처 : https://www.sedaily.com/NewsView/1HNDM74CEX

-> IDS + 필터링 기능의 IPS 등장.

 

한계

필터링은 패킷이 전달 되지 않도록 하는게 특징인데 패킷이 다양하고 정형화되어 있지 않아 이를 탐지하고 차단하는게 어렵고 오탐과 미탐이 발생했다. -> 숙제

 

UTM = F/W + IDS,IPS

 

ips 확장판 - waf..

esm, seim, nat, vpn, nac virus-wall, anti-virus, url filter, sandbox ...

 

방화벽(Firewall)

 ▶ 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정해높은 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어.

• 접근제어(Access Control) - 통과시킬 접근과 그렇지 않은 접근을 결정하여 허용과 차단을 함, 접근 제어 방식은 구현 방법에 따라 패킷 필터링 방식과 프록시 방법으로 나뉨
• 로깅(Logging)과 감사추적(Auditing) - 허용 또는 거부된 접근에 대한 기록을 유지
• 인증(Authentication) - 메시지 인증, 사용자 인증, 클라이언트 인증을 할 수 있음

 

침입 탐지 시스템(IDS, Intrusion Detection System)

 ▶ 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지

 ▶ 침입 탐지 시스템은 설치 위치와 목적에 따라 두 가지로 나뉜다.

• 호스트 기반 침입팀지시스템(HIDS, Host-Based Intrusion Detection System)
• 네트워크 기반 침입탐지 시스템(NIDS, Network-Based Intrusion Detection System)

 

 

 

침입 차단 시스템(IPS, Intrusion Protection System)

 ▶ 침입 탐지 시스템 + 방화벽

 ▶ 침입 탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사하여 그 패턴을 분석한 뒤, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 이를 차단(차단 때문에 오탐과 미탐의 문제가 있다)

 ▶ 최근에 IPS 가상머신을 이용한 악성코드 탐지라는 개념을 도입하여 적용

• 가상 머신에서 실행된 코드나 패킷들이 키보드 해킹이나 무차별 네트워크 트래픽 생성과 같은 악성코드와 유사한 동작을 보이게 되면 해당 패킷을 차단

 

Anti-DDoS(Distributed Denial of Service, 분산서비스거부공격) 방어 장비

• 일반적으로 네트워크 제일 상단에 인라인 모드로 디자인
• L4까지 커버하는 것이 일반적이었으나 최근에는 L7까지 커버 가능

 

NAC(Network Access Control)

 ▶ 과거 IP 관리 시스템에서 발전한 솔루션으로 IP관리시스템 + 네트워크에 대한 통제를 강화

요샌 레지스트리, 프로세스도 관리..

 

네트워크 구성 형태