출처 - https://github.com/jmxx219/CS-Study (opens in a new tab)
DMZ(DeMilitarized Zone)
컴퓨터 보안에서의 비무장지대인 DMZ
배경
- 컴퓨팅과 네트워크를 사용하는 기관들은 보안 목적으로
근거리 통신망(LAN, Local Area Network)
만 사용하여 내부 시스템을 운영함 - 이 경우, 외부 네트워크와 단절되기 때문에 웹 검색이나 이메일링, DNS 사용, FTP 등 기본적인 인터넷 서비스를 이용할 수 없음
- 이와 같이 DMZ는 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용함
- 외부와 통신해야 하는 서버를 위해서 포트를 열어 사용하다 보면 내부 네트워크까지 노출되어 해킹될 위험이 존재함
- 이때 DMZ를 구성하여 내부 네트워크를 보호할 수 있음
내부/외부 네트워크
- 내부 네트워크(내부망): 외부망과 연결되지 않고 특정 단체나 조직원만 접근 가능한 사설망
- 일정 조직 내에서 인터넷이 아닌 내부 네트워크를 통해 PC끼리 자원을 공유하게 하거나 그룹웨어 등을 사용할 수 있게 하는
근거리 통신망(LAN, Local Area Network)
을 말함
- 일정 조직 내에서 인터넷이 아닌 내부 네트워크를 통해 PC끼리 자원을 공유하게 하거나 그룹웨어 등을 사용할 수 있게 하는
- 외부 네트워크(외부망): 인터넷에 연결된 망
- 내부망과 반대로 일정 조직을 넘어 정보를 교환할 수 있는, 즉 인터넷을 통한 네트워크
DMZ란?
- 개념
- 내부망과 외부망의 중간지점으로, 내부 네트워크에 존재하지만 외부에서 접근할 수 있는 특수한 네트워크 영역
- 외부 네트워크와 내부 네트워크 사이에서 외부 네트워크 서비스를 제공하면서 내부 네트워크를 보호하는 서브넷, 즉 외부에 오픈된 서버 영역
- 사용 목적
- 웹서비스, 메일 서비스, DNS 등 외부에 서비스를 운영함에 따라 불가피하게 Open 되어야 하는
Well-known Port
가 존재함Well-known Port
: 잘 알려진 포트로 HTTPS(443), DNS(53), SMTP(25), SSH(22) 등이 존재함
- DMZ는 이
Well-known Port
를 통한 공격에 대비하며, 이 공격을 통해 내부자원의 탈취, 훼손등을 예방하고자 내부와 외부 간 접근제한을 수행하는 역할을 함
- 웹서비스, 메일 서비스, DNS 등 외부에 서비스를 운영함에 따라 불가피하게 Open 되어야 하는
- 형태
내부망 - (방화벽) - DMZ - (방화벽) - 인터넷망
DMZ 특징
- 내부의 트래픽이 외부로 나가는 Outbound 설정은 허용하며, 외부 사용자의 접근은 DMZ까지만 허용함
- 접속 가능(Allow):
내부 ➜ DMZ ➜ 외부
,외부 ➜ DMZ
- 접속 불가능(Deny):
DMZ ➜ 내부
, 즉 외부망에서 내부망까지 접근 불가- DMZ에서 내부로의 연결을 불가능하게 하여 DMZ의 호스트로부터 내부 네트워크를 보호함
- 접속 가능(Allow):
- DMZ의 앞 뒤로 방화벽을 설치함
- 방화벽은 DMZ를 구성하기 위해 내부 보안 정책에 따라 내부에서 외부나 DMZ로 가는 것을 제한하는 역할을 함
- 외부 공격자의 침입으로부터 안전하게 보호 되어야하는 서버(메일 서버, 웹 서버 , DNS 서버 등)가 DMZ에 위치함
- 외부 네트워크에서 DMZ로 가는 연결은 일반적으로
포트 주소 변환(PAT, Port Address Translation)
을 통해 제어됨포트 주소 변환(PAT)
: 내부 네트워크 상의 호스트 및 포트와 외부 네트워크 상의 호스트 및 포트 간의 이루어지는 TCP(UDP) 통신을 변환해주는 네트워크 장비의 기능
방화벽(firewall)
- 미리 정의된 보안 규칙에 기반하여 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템
- 일반적으로 내부 네트워크와 외부 네트워크 간 구성되며, 서로 다른 네트워크를 지나는 데이터를 검열하여 허용하거나 거부하는 역할을 함
- 신뢰받지 못하는 외부 네트워크로부터 내부망을 보호함
방화벽의 기능
- 접근 통제(Access Control)
- 허용된 서비스나 특정 호스트를 제외하고, 외부에서 내부 네트워크로 접근하는 것을 패킷필터링을 통해 통제하는 기능
- 패킷필터링: 내부 네트워크로 접근하는 패킷의 IP, Port 등을 검열하여 내/외부 네트워크에 대한 접근을 통제함
- 인증(Authentication)
- 메시지 인증: VPN과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메시지 신뢰성 보장
- 사용자 인증: 방화벽을 지나가는 트래픽에 대한 사용자가 누군지에 대해 증명하는 기능
- OTP, 토큰기반 인증, 패스워드 인증 등
- 클라이언트 인증: 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트에 대해 인가된 호스트인지 확인
- 감사 및 로깅(Auditing / Loggging)
- 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단과 관련한 사항 등 접속정보를 로그로 남김
- 프라이버스 보호
- 이중 DNS, 프록시(Proxy) 기능, NAT 기능 등을 제공함으로써 내부 네트워크와 외부 네트워크 간의 중개자 역할을 함으로써 내부 네트워크의 정보 유출을 방지함
- 프록시(Proxy) 기능: 보안 정책에 따라 실제 서비스를 수행하는 서버로, 클라이언트의 서비스 요청을 받아 전달하고 결과를 수신하여 사용자에게 전달하는 기능
- 주소변환(
NAT
) 기능: 외부 호스트의 IP나 목적지 호스트 IP를 전송단계에서 변환하여 전달하는 기능으로, 네트워크에서 외부망과 내부망을 나눠주는 기능을 가능하게 함
- 이중 DNS, 프록시(Proxy) 기능, NAT 기능 등을 제공함으로써 내부 네트워크와 외부 네트워크 간의 중개자 역할을 함으로써 내부 네트워크의 정보 유출을 방지함
- 데이터 암호화(Data Encryption)
- 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화하여 보내는 것으로, 보통 VPN의 기능을 이용