Re: [KFUG] 방화벽 구축에 대해 조언 좀 해주세요..

[Pyun YongHyeon <yongari@xxxxxxxxxxx>]

On Fri, Dec 10, 2004 at 03:48:55PM +0900, sin wrote:
 > 현재 매트로 이더넷으로 라인을 구축하려고 합니다..
 > 서버 두대를 구입하려고 준비를해 두었고요..
 > 그런데.. 매트로 이더넷에 대해 알아보니 보안쪽이 취약하다고 방화벽을 구축하는 것이 좋다고 많이 하네요..
 > 
 > 방화벽 구축은 생각하고 있지 않은터라.. 좀 걱정이 되네요..
 > 방화벽이라고 해서 상용으로 돌리는 것은 아니고, 리눅스나, 프비같은 것을 설치해 패킷 필터링 정도만 하려고 합니다.
 > 
 > 우선 방화벽을 구축하게 되면 컴터 하나를 연결해 방화벽으로 사용하고.. 그컴에서 스위치에 연결해 각 서버를 두어야 할것 같은데.. 
 > 이처럼 하면 방화벽이 모든 트래픽을 감당해야 할것 같은데.. 이런 식으로 구축하는 것이 잘못 된것 같은데..
 > 어떤지 모르겠습니다..
 > 
 > 현재 방화벽으로 사용될 컴터는 펜티엄4 3.2GHz, 메모리 1기가의 일반 피씨이며..
 > 서버는 제온 3.06 듀얼 cpu의 서버형입니다.(이 서버 두대를 방화벽 뒤에 두려고 합니다.)
 > 
 > 아니면 라우터(아님 공유기 ㅡ.ㅡ)를 하나 구입해 사용을 하면 괜찮을까요??
 > 원래 전용선으로 하려고 했는데.. 비싸서 매트로 이더넷으로 변경한 것입니다.
 > 그런데.. 알아보니 매트로 이더넷에는 라우터가 없다고 하더군요..
 > 
 > 아니면 방화벽 같은거 없이.. 기냥 연결해 사용을 해도 괜찮을까요??
 > 
 > 리눅스와 프비로 idc의 서버만 다루어서.. 방화벽 쪽은 어찌 구성을 해야 할지.. 모르겠습니다.
 > 어설프게 듣은 것들만 많아서.. ㅡ.ㅡ;;
 > 
 > 조언이나 참조할 사이트나 문서를 알려주시면 정말 감사하겠습니다.
 > 그럼 모두들 감기 조심하세요..


요즘 시대에 방화벽없이 컴을 사용하는건 안전벨트를 하지 않고 고속도로를
운전하는것과 마찬가지입니다.

방화벽의 H/W사양은 높지 않아도 됩니다. 제가 몇년전에 T1을 사용했을때는
아주 오래된 Sun Clone(25Mhz, 32MB)를 사용했습니다만 이것 때문에
불편함은 없었습니다.
창고에서 사용하지 않는 486이나 Pentium시스템을 사용하면 100Mbps
까지는 문제 없습니다.

모든 방화벽은 정도의 차이만있지 기본적으로는 관리자가 지정한
룰에 의해서 패킷을 필터링하는 겁니다. 말씀하신 공유기가 어느정도의
기능을 제공할 수는 있지만 S/W로 작성된 방화벽의 유연함을 따라올수는
없을 것입니다. 또한 전 공유기의 펌웨어가 보안 문제가 있을때마다
수정되거나 새로운 기능이 추가되어서 배포된다고는 생각하지 않습니다.

방화벽은 크게 세가지 정도로 나누어서 생각할 수 있습니다.
1. Packet filtering
 사용자가 지정한 packet source/destination/port/interface등에 따라서
 filtering을 수행합니다.
2. Stateful inspection
 1의 기능외에 방화벽에서 connection의 상태를 추적합니다. 따라서 TCP라면
 ISN(initial sequence number), TCP Window, Window Scaling, Time stamp등에
 따라서 모든 패킷의 sequence number와 TCP state를 추적하고 이를 위반하는
 packet은 drop시킵니다.
3. Deep packet inspection
 1, 2의 기능과 함께 packet의 payload가지 같이 검사합니다. 이 기능이 완벽하게
 구현되었다면 어떤 traffic인지 판단해서 filtering이 가능합니다. 예를들면
  Worm, SPAM Mail, P2P traffic같은걸 방화벽단에서 제거할 수 있습니다.
 보통은 고속 pattern matching을 위한 전용 CPU를 가지고 있습니다.

Linux의 iptable, FreeBSD의 ipfw는 엄밀하게 말하면 1에 해당합니다. 문서에는
2에 해당하는것처럼 보이지만 stateful inspection은 아닙니다. 
FreeBSD/OpenBSD/NetBSD/DragonFlyBSD의 pf와 Darren Reed의 IPFilter는 2에
해당합니다. 얼마전 CURRENT에서 pf에서 packet을 drop하는 문제가 있었는데
원인은 FreeBSD TCP SACK의 버그로 인해서 시스템이 현재 허용되는 TCP Window
보다 더 큰 packet를 보낸데 있었습니다. 아마도 pf가 없었다면 이런 문제를
감지하는데 상당한 시간이 걸렸을것입니다.
(Linux에는 2로 변경하는 비공식적인 patch는 있습니다.)
3에 해당하는 제품은 몇몇 상용 방화벽이 한다고 주장하고 있지만 그 정확도와
현실성에는 의문이 있습니다. Linux iptable에서 말하는 string match는 3에
해당되지 않습니다.

ipfw를 사용한다면
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html
pf를 사용한다면
http://www.openbsd.org/faq/pf/index.html
와 pf mailing list를 이용하세요.
http://www.benzedrine.cx/mailinglist.html

-- 
Regards,
Pyun YongHyeon
http://www.kr.freebsd.org/~yongari	|	yongari@xxxxxxxxxxx
_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions