Firewall 디자인정책
Firewall 디자인 정책은 Firewall마다 다르게 수립된다. 그리고 네트워크 서비스 제공 정책을 구현하기 위한 규정을 정의한다. 이 정책은 Firewall의 용량과 한계 그리고 TCP/IP의 약점과 위협에 대한 충분한 고려하에 디자인 되어야 한다.
Firewall은 일반적으로 두개의 기본정책중 하나를 적용한다.
- 'accept all' 정책(위의 첫번째)은 거부하도록 정의한 서비스와 같은 예외 외에는 기본적으로 모든 서비스의 내부로의 접근을 허용
- 'deny all' 정책(위의 두번째)은 기본적으로 모든 정책을 거부하지만 허가된 서비스는 통과시킨다. 이 정책은 정보보안의 모든 영역에서 전통적인 접근 모델로 쓰여왔다.
첫번째 정책은 Firewall 주변에 보다 많은 접근경로를 제공하기 때문에 바람직하지 못하다. 예를 들면, 사용자는 경로를 거부 당했을때 또 다른 서비스로서 접근할 수 있다. 즉 정책에 의하여 거부되지 않은 비표준 TCP/UDP
(서비스 port no.를 다른것으로 할당.) 포트에서 거부된 서비스를 실행할 수 있다.
이런 이유로서 'accept all'이 구현된 Firewall에서 사용자는 잘 적응한다. 'deny all' 정책이 보다 강하고 안전한 반면에 정책을 구현하고 사용자를 제한하는 것이 어렵다.
어떤 Firewall이든지 특정 디자인 정책을 구현한다. dual-homed gateway는 모든 서비스를 거부하는 Firewall이다. Firewall을 통하여 통과될 필요가 없는 서비스를 요구하는 시스템은 다른 시스템과 달리 Screened Subnet에 존재한다. 즉 보안과 효율을 고려할 때 어떤 종류의 Firewall이 다른 것보다 우수한가라는 고려는 Firewall을 구현하기 전에 정책을 고려하는 것이 매우 중요함을 의미한다.
이러한 고려가 없는 Firewall에 대한 기대는 실패를 자초한다. Firewall 디자인 정책을 수립하고 Firewall 시스템에 정책을 구현할 때 가장 안전한 Firewall 디자인 정책을 적용함이 바람직하다.즉, 명백히 허용된 것을 제외하고 모든 서비스를 거부하는 것이다.
정책 디자인을 하는 사람은 아래 사항을 반드시 고려해야 한다.
Firewall 디자인 정책은 Firewall마다 다르게 수립된다. 그리고 네트워크 서비스 제공 정책을 구현하기 위한 규정을 정의한다. 이 정책은 Firewall의 용량과 한계 그리고 TCP/IP의 약점과 위협에 대한 충분한 고려하에 디자인 되어야 한다.
Firewall은 일반적으로 두개의 기본정책중 하나를 적용한다.
| 1. 모든 서비스를 허용하고, 예외적인 경우만 거부한다. 2. 사전 정의된 경우를 제외한 모든 서비스를 거부한다. |
- 'accept all' 정책(위의 첫번째)은 거부하도록 정의한 서비스와 같은 예외 외에는 기본적으로 모든 서비스의 내부로의 접근을 허용
- 'deny all' 정책(위의 두번째)은 기본적으로 모든 정책을 거부하지만 허가된 서비스는 통과시킨다. 이 정책은 정보보안의 모든 영역에서 전통적인 접근 모델로 쓰여왔다.
첫번째 정책은 Firewall 주변에 보다 많은 접근경로를 제공하기 때문에 바람직하지 못하다. 예를 들면, 사용자는 경로를 거부 당했을때 또 다른 서비스로서 접근할 수 있다. 즉 정책에 의하여 거부되지 않은 비표준 TCP/UDP
(서비스 port no.를 다른것으로 할당.) 포트에서 거부된 서비스를 실행할 수 있다.
이런 이유로서 'accept all'이 구현된 Firewall에서 사용자는 잘 적응한다. 'deny all' 정책이 보다 강하고 안전한 반면에 정책을 구현하고 사용자를 제한하는 것이 어렵다.
어떤 Firewall이든지 특정 디자인 정책을 구현한다. dual-homed gateway는 모든 서비스를 거부하는 Firewall이다. Firewall을 통하여 통과될 필요가 없는 서비스를 요구하는 시스템은 다른 시스템과 달리 Screened Subnet에 존재한다. 즉 보안과 효율을 고려할 때 어떤 종류의 Firewall이 다른 것보다 우수한가라는 고려는 Firewall을 구현하기 전에 정책을 고려하는 것이 매우 중요함을 의미한다.
이러한 고려가 없는 Firewall에 대한 기대는 실패를 자초한다. Firewall 디자인 정책을 수립하고 Firewall 시스템에 정책을 구현할 때 가장 안전한 Firewall 디자인 정책을 적용함이 바람직하다.즉, 명백히 허용된 것을 제외하고 모든 서비스를 거부하는 것이다.
정책 디자인을 하는 사람은 아래 사항을 반드시 고려해야 한다.
| * 조직이 어떤 인터넷 서비스를 사용할 예정인가? 예) TELNET, Mosaic, NFS, Real Audio, Net meeting * 서비스가 사용되는 위치가 어디인가? 예) 내부사용, 인터넷을 통한 사용, 자택에서의 다이얼 접근, 원거리 지점에서의 사용 * 양호화 또는 다이얼 업과 같은 추가적인 요구가 발생하는가? 또 이를 지원해야 하는가? * 이런 서비스와 접근을 제공할때 어떤 위험이 따르는가? * 네트워크의 유용함을 통제하고 제한하는 것과 보호하는데 드는 비용은 얼마인가? * 보안과 유용성간에 어떤 합의가 도출되어 있는가? |
출처 : 보안이닷컴
반응형
'■ IT 일반' 카테고리의 다른 글
| 가상사설망(VPN : Virtual Private Network) (0) | 2007.05.16 |
|---|---|
| 방화벽 보안정책 (0) | 2007.05.16 |
| 스니핑 (sniffing) (0) | 2007.05.16 |
| 네트워크 공유 설정방법 (0) | 2007.04.22 |
| Video Encoding 관련자료 (0) | 2007.04.20 |