방화벽 정책에 관하여

(펌: http://cafe.naver.com/dnspro.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=8018)

모든 일이 그렇듯 방화벽도 정책을 어떻게 선언하느냐가 중요합니다.

 

많은 방화벽을 보면서  정책에 대한 확립이 얼마나 중요한지 절실히 느꼈답니다.

 

그래서 오늘은 방화벽정책에 대한 이야기를 해보겠습니다.

어쩌면 이 부분은 대 부분의 방화벽 엔지니어들이 알고 있는 부분입니다.

 

그러나 너무나도 지켜지지 않고 있기에 이렇게 작성을 해보렵니다.

 

방화벽 정책

원칙

방화벽 정책은 "작은rule 큰policy"를 기본 원칙으로 합니다.

이 말은 rule 정책이 선언된 후 나머지 정책이 policy  에 의해 필터링 된다는것을 나타냅니다.

 

그리고 rule이 작아야 방화벽의 병목현상을 완화시킬수 있기때문입니다.

(rule이 길어지만 길어질 수록 많은 패턴이 그 rule 을 읽고 filter 되야 하기때문에)

- 이것은 모든 방화벽의 기본 filter 방법이고 원칙입니다.

 

위의 원칙으로 방화벽 정책은 두 가지로 나뉘게 됩니다.

(선 부분이 rule 후 부분이 plicy 라고 판단하시면 이해가 되실 것입니다.)

 

1. 선 DROP 후 ACCEPT

- 방화벽 rule 정책이 DROP 으로 선언되고 나머지 패턴에 대해선 모두  ACCEPT 하는 정책입니다.

이 정책은 DROP할 rule이 작을때 사용하는 정책입니다.

나머지에 대한 부분은 ACCEPT되기 때문에신중하게 사용해야하는 정책입니다.

(실제로 이 정책은 기본적으로 허용되어 있는 상태에서 필요에 따라 rule를 추가하여 막는 방법과 같습니다.

그렇다 보니 기본적인 허용부분이 편리로 이해될 수도 있지만 자칫 공격의 open으로 적용될 수도 있습니다.)

 

요즘 같이 많은 패턴의 공격이 있을 경우에는 적합하지 않는 정책이라 할 수 있습니다.

2. 선 ACCEPT 후 DROP

- 방화벽 rule 정책이 ACCEPT 로 선언되고 나머지 패턴에 대해선 모두 DROP 하는 정책입니다.

이 정책은 ACCEPT할 rule이 작고 대 부분을 DROP 할 때 사용됩니다.

실제 요즘 방화벽은 이 방화벽정책을 거의 이용합니다.( 이용해야하는데 안되는것들이 많아서 이렇게 글을 쓰고 있는거지요.)

 

이 장점은 기본적인 DROP으로 안전으로 다가갈 수가 있습니다.  하지만 그것이 단점이 될 수도 있습니다.

단점으론 rule의 초기화 같은 기술적 문제가 발생했을 경우 모든것이 DROP 될 수있다는 것입니다.

 

 

위의 방화벽정책은 rule의 견고성  이 받여줘야합니다.

 

그럼 rule의 견고성이라는 것은 어떻게 해서 생길 까요.

 

1. rule에 원칙을 입히자

- 가끔 방화벽 rule을 들여다 보면 누더기가 되어있는 곳들이 있습니다.

   (주위의 요청에 의해 라든지...  아무튼 이해는 가지만 방화벽만큼 정책은 꼭 지켜져야 할 부분입니다.)

  policy가 ACCEPT인 방화벽에서 특히나 많이 발생하는데요.

  회사의 방화벽 rule을 직접 확인 해보세요. 혹시 기본적책이 ACCEPT인데 ACCEPT rule을 올려놓은것은 없나요?

  혹은 DROP인데  방화벽 rule에 DROP이 올라가 있지는 않나요.

 

  이 부분은 rule의 의미가 무용지물이여서가 아니라 rule의 길이가 길어져 네트워크의 지연을  야기합니다.

 

2. rule에 책임추적성을 입히자

- 여러분의 방화벽은 rule  하나 하나에 누구의 요청에 의해서 무슨 이유로 된 rule  인지 문서화 되어있나요?

   이 부분은 제가 본 회사 거의 대부분에 문제였습니다.

  

   제가 강의를 하다 들은  일화입니다.

   그분은 외국의 요청에 의해 PIX 장비셋팅을 하러 갔다고 합니다.

   rule셋팅에 일주일이 걸렸다고 하시면서 하시는 말씀이 그 곳에선 rule을 open해 줄때 요청자, 사유, 중요성

   에 대한 문서를 받는다고 합니다.

   우리가 외국 따라 해야한다는것이 아니라 저게 원칙입니다.

   우리의 방화벽에 올라와 있는 어느 rule에 의해서 문제가 발생시 그에 따른 조치에 대해서 구체적으로 선언되어있나요?

  

 

방화벽이라는 도구가 나온지 벌써 10년이 넘었습니다.

방화벽은 이제 기본이 되었습니다.  여러분의 기본은 얼마나 지켜지고 있나요?