메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

IT/모바일

하드웨어 방화벽 vs 소프트웨어 방화벽 - (2)

한빛미디어

|

2007-04-25

|

by HANBIT

16,293

제공 : 한빛 네트워크
저자 : Chris Swartz and Randy Rosel
역자 : 김정중
원문 : Hardware Versus Software Firewalls

[이전 기사 보기]
하드웨어 방화벽 vs 소프트웨어 방화벽 - (1)

Garbage 공격 과정

Garbage 공격(또는 random fragment 공격)은 무작위 포트 번호에 무작위 자료 타입을 사용하는 공격에 대항하여 각각의 방화벽이 어떻게 작동하는지를 관찰한다. Netwag 프로그램의 random fragment는 IP 주소를 속이는 능력도 가지고 있다.
  1. Netwag을 열고 "Flood a host with random fragments" 를 선택한다.
  2. Destination IP Address 체크 박스를 체크한다.
  3. 목표 IP 주소를 입력한다.
  4. Generate It를 선택한다(화면아래).
  5. 그리고 Run It을 선택한다.
UDP Ping 과정

UDP Ping 공격은 UDP를 이용한 ping 공격에 대항하여 각각의 방화벽이 어떻게 작동하는지를 관찰한다. Netwag프로그램의 UDP Ping은 IP 주소를 속이는 능력도 가지고 있다.
  1. Netwag을 열고 Ping UDP를 선택한다.
  2. Destination IP Address 체크 박스를 체크한다.
  3. Destination Port Number 체크 박스를 체크한다.
  4. 목표 IP 주소를 입력한다.
  5. 목표 port 번호를 입력한다.
  6. Generate It를 선택한다(화면아래).
  7. Run It을 선택한다.
TCP Ping 과정

TCP Ping 공격은 TCP를 이용한 ping 공격에 대항하여 각각의 방화벽이 어떻게 작동하는지를 관찰한다. Netwag프로그램의 TCP Ping은 IP 주소를 속이는 능력도 가지고 있다.
  1. Netwag을 열고 Ping TCP를 선택한다.
  2. Destination IP Address 체크 박스를 체크한다.
  3. Destination Port Number 체크 박스를 체크한다.
  4. 목표 IP 주소를 입력한다.
  5. 목표 port 번호를 입력한다.
  6. Generate It를 선택한다(화면아래).
  7. Run It을 선택한다.
Ping of Death 과정

Ping of death 공격은 크기가 초과된 패킷을 보내는 공격에 대항하여 각각의 방화벽이 어떻게 작동하는지를 관찰한다. 우리의 목적은 각각의 방화벽을 정지시키는데 얼마나 많은 크기가 초과된 패킷이 필요한지를 결정하는 것은 아니였다.
  1. 윈도우즈 command prompt 창을 연다.
  2. ping -l 65000 을 입력한다.
설정

이 설정의 목적은 실제로 사용되는 회사의 네트워크 레이아웃을 축소하여 흉내내는 것이다. 우리는 내부 네트워크가 인터넷으로 어떻게 허용된 접근을 할 수 있는지를 보이기 위해 서버를 라우터의 바깥쪽 인터페이스에 위치시켜서 인터넷처럼 동작하도록 하였다. 네트워크 안쪽에 있는 서버는 특정한 목표를 가지고 바깥 세상을 제공한다. 세 개의 방화벽을 위한 접근 목록은 21번 포트를 통하여 FTP를 이용 하도록 함과 동시에 80번 포트를 통하여 WWW 트래픽이 지나가도록 허용한다. PIX는 접근 목록에 없는 것은 무조건 접근을 금지하였기 때문에 이 흐름이 지나갈 수 있도록 규칙을 만들어야 했다. 우리는 Advanced Router Lab의 설정을 변경하여 기준(PIX 방화벽)을 만들었다. SmoothWall과 OpenBSD의 레이아웃은 이 레이아웃을 조금 더 변경시켰다. 어떤 소프트웨어 방화벽 설정에서도 안쪽에 라우터를 가지지 않는다. 우리는 SmoothWall의 웹 기반 관리 콘솔의 연결을 허용할 때 생기는 문제 때문에 안쪽의 라우터를 제거하였다.

우리는 간편성, 다음 설정에서도 동일한 결과를 얻기 위해 그리고 openBSD 방화벽 테스트를 위해 이 설정 내용을 그대로 유지시켰다.

Test Results

우리의 테스트 결과는 흥미로웠다.

Cisco PIX 결과

Stateful 패킷 검사가 활성화된 상태에서 어떠한 포트 공격이 사용되었다 하더라도 Cisco PIX는 우리가 수행한 모든 테스트에서 흐름을 제한하였다. PIX는 또한 테스트 동안 고려 하지 않았던 공격에 대해서도 적절한 연결을 유지하는 것을 허용하였다. PIX는 효과적으로 나가고 들어오는 패킷을 막았다. PIX와 관련된 몇가지 사항 중 하나는 적절한 문서를 찾는 것이다. 내 생각에 PIX는 일반적인 가정 사용자를 위해서가 아닌 전문적인 지원 팀을 위해 설계되었다.

SmoothWall Express Results

PIX와 비교해 보았을 때 SmoothWall은 설계 측면에서 조금 더 간단하고 설정하기 쉬웠지만 강인하지는 않았다. PIX와는 다르게 stateless기반 패킷 검사를 사용한다. 특정 포트에 대한 공격의 경우 공격이 끝날 때까지 방화벽을 닫아 버린다. 내 생각에 SmoothWall은 기업이 아닌 가정 사용자를 위해 설계되었다.

SmoothWall에서 제공하는 문서는 시스템 설정 작업을 잘 다룰 수 있게 해주는 웹 기반 GUI에 모여있다. SmoothWall은 오픈 소스 침입탐지 시스템인 Snort를 사용한다. SmoothWall의 문제 중 하나는 밖으로 나가는 패킷 검사 옵션이 없다는 것이다(Stateful 검사를 소스코드를 직접 수정해서 이용할 수 있다). 다른 사항은 세가지 인터페이스(안쪽, 바깥쪽, DMZ)에 제한이 있다는 것이다.

OpenBSD Results

OpenBSD는 오픈 소스 방화벽으로부터 기대할 수 있는 모든 것을 제공한다. 그건 비용 없이 기능이 좋고 PIX와 같은 잠재적인 능력이 있는 것이다. 성능을 본다면 OpenBSD는 원하지 않은 나가고 들어가는 패킷에 대하여 Cisco PIX와 같이 시스템 성능 저하 없이 수행 하였다. OpenBSD는 또한 각각의 공격에 대한 세세한 상당히 읽기 쉬운 로그 파일을 기록하였다. SmoothWall과 OpenBSD는 그래픽을 이용하여 기록된 공격에 대한 분석을 전혀 제공하지 않고 PIX는 제공한다.

OpenBSD에 관련된 중요한 사항은 아마도 당신은 전문적인 지원이 필요하다는 것이다. 하지만 하드웨어 PIX의 비용이 없기 때문에 당신은 아마도 이 것을 고려할 것이다. OpenBSD는 stateful 이나 stateless 패킷 검사를 하며 세션을 기억하고 강탈된 자료를 가지고 연결하는 것을 막기 위해 세션을 조절한다. 그것은 운영체제이기 때문에 Snort나 다른 IDS옵션을 추가하는 능력을 가지고 있다. OpenBSD는 또한 VPN연결을 만드는 옵션도 가지고 있다.

설치 되었을 때 OpenBSD는 기본적으로 안전하다. SmoothWall과 마찬가지로 BSD의 문서는 아주 자세하다. 하지만 SmoothWall과는 다르게 설정은 command line상에서 직접 작업을 해야 한다. OpenBSD는 두 번째로 좋은 방화벽이다. 가능한 인터페이스는 컴퓨터에 설치된 몇 개의 인터페이스 카드로 제한된다.

Conclusion

Cisco PIX는 예상한 것처럼 작동했고 만약 금액이 문제가 안 된다면 최상의 선택이다. Cisco의 내장된 그래픽으로 표현된 결과는 방화벽 상태를 효과적이고 빠르게 볼 수 있게 해준다. 금전적 효과와 특징을 본다면 OpenBSD가 훌륭한 선택이다. 테스트한 세가지 방화벽 중에 Smooth Wall Express가 가장 강력하지 않았기 때문에 그리 추천하지 않는다. 하지만 가정 네트워크에서 SmoothWall Express를 선택하면 좋다. 이 버전은 업무용이나 회사에서 사용하는 것은 권장하지 않는다. SmoothWall Express는 오픈소스 이지만 이 프로젝트에서 평가 할 수 있는 전문적인 기업용 버전은 없다.

방화벽을 선택하는 것은 당신의 업무나 네트워크의 필요에 따라 달라진다. 만약 당신이 방화벽 뒤에 큰 회사 네트워크를 가지고 있다면 Cisco와 같은 시스템을 투자하는 것이 아마도 당신이 필요로 하는 것과 맞을 것이다. 하지만 작은 기업가라면 필요한 보안 정도와 경험 정도에 따라 OpenBSD나 SmoothWall을 고려해봐야 한다.

회사는 언제 이 세가지중 하나를 사용하는 것을 고려 해봐야 하나? 결정은 그것의 필요에 달렸 다. 만약 회사가 세세한 보고(그래프를 포함한)를 제공하는 최고라인의 보안를 원한다면 Cisco PIX가 최상의 선택이다. 만약 회사가 좋은 보안를 원하지만 PIX를 구입할 수 없다면 OpenBSD가 효과적이고 값싼 선택이다. 이 프로젝트에서 한 테스트 결과에 따르면 SmoothWall Express는 회사에 효과적인 선택사항이 아니다.

작은 사무실이나 가정에서는 아마도 대부분 Cisco PIX를 구입 할 수 없을 것이다. 그들이 기술 기반 업무를 하는 회사거나 사용자가 아니라고 가정 한다면 그와 같은 장비는 유지할 수 없을 것이다. 대부분의 작은 사무실이나 가정 사용자들은 PIX나 OpenBSD를 사용할 돈이나 기술적인 경험이 없기 때문에 그들에게는 SmoothWall이 최상의 선택이다.

기업과 작은 사무실(가정 사용자를 포함 하여)의 중요한 차이 중 하나는 기업의 경우 스크립트 키드나 전문 해커의 목표가 되는 경우 생기는 큰 문제가 생긴다. 작은 업무의 경우 여전히 위험이 있더라도 그 위험 때문에 생기는 문제가 적다. 이와 같은 차이 그리고 유지의 간편성 때문에 SmoothWall이 작은 업무를 하는 곳이나 가정 사용자에게 좋은 선택이다.

참고자료
TAG :
댓글 입력
자료실

최근 본 상품0