네트워크 보안 - 필터링 종류, CBAC

방화벽 -> 정적 패킷 필터링 -> 응용 계층 필터링
-> 동적 액세스 리스트 -> 리플렉시브 액세스 리스트 -> CBAC

 

<방화벽>

1. 주 기능은 접근 제어, 필터링을 통해 인가되지 않은 트래픽을 차단한다.

2. 네트워크 사이의 수문장처럼 존재하여 반드시 패킷들은 방화벽을 거치게 된다.

3. 방화벽에 적용되는 정책은 조직의 요구사항을 모두 만족해야 한다.

 

<필터링의 종류>

1. 정적 패킷 필터링

- IP, TCP와 UDP의 헤더 정보를 이용

- 엑세스 리스트(ACL)를 이용

- 복잡한 보안 정책에는 미약함, IP 스푸핑 공격에 취약

 

2. 응용 계층 필터링

- 프록시 방화벽 또는 응용 계층 게이트웨이라고도 불리며 7 계층까지의 모든 정보를 확인

- 이메일, 웹 서비스, DNS, telnet, FTP 등의 응용 계층 서비스를 지원

 

3. 동적 패킷 필터링

- 상태기반 패킷 필터링이라고 한다.

- 인터페이스를 지나가는 각 연결 정보, 세션을 추적하여 제어

- 추적 과정을 저장하기 위해 상태 테이블이 필요

 

3- 1. 동적 엑세스 리스트

- 관리자에 의해 임시적으로 내부망에 접근할 수 있는 권한을 가지게 되는 것. (록-앤-키)

- 방화벽 라우터로 telnet 접속을 시도하여 설정 시간 내에 데이터를 송수신 가능.

- 명령어 : dynamic name [timeout minutes] 로 동적 ACL를 생성.

- 기본적으로 ACL 위에서 설정되기 때문에 특정 IP에 대한 ACL를 먼저 설정한 후 '텔넷'을 통해 접근한다.

4. 리플렉시브 액세스 리스트

- ACL의 established 옵션은 TCP 프로토콜만 허용이 가능하다. UDP, ICMP와 같은 다른 응용 프로그램에도 적용하기 위한 기법

- 세션을 기준으로 트래픽을 필터링 

- ACL의 established와는 다르게 2개의 이름형 확장 엑시스 리스트를 생성하여 관리한다. 

- 내부에서 외부로 나가는 세션 정보를 저장하는 임시 리스트(=상태 리스트)를 생성한다. - reflect

- 임시 리스트는 외부로 나가는 데이터의 송수신 주소와 포트를 바꾸어서 저장한다. 

- 이후 다시 내부로 접근하는 데이터는 임시 리스트와 비교하여 정확히 일치할 경우에만 통과시킨다. - evaluate

- 임시 리스트는 TCP와 같은 연결형 프로토콜은 연결이 종료될 때 삭제가 되고 비연결형 프로토콜은 타이머가 종료 시에 삭제된다.  

5. CBAC

- Context Based Access Control, 즉 내용 기반 접근 제어를 의미

- 리플렉시브 리스트의 단점을 보완하며, 주고 받는 패킷 데이터의 내용을 기반으로 필터링을 수행.

- 리플렉시브 리스트에 추가로 멀티포트, 멀티채널 응용 프로토콜에 대한 필터링을 지원

(ex. 자바 블로킹, URL 차단, 트래픽 검사, 침입 탐지, 경고와 감시 추적 등의 다양한 보안 기능을 지원)

- ip inspect 명령어를 사용