[보안장비/기능관리] DMZ 설정 (S-11)

DMZ 설정

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 외부 네트워크로 서비스를 제공하는 호스트에서 내부 네트워크로의 접근이 통제되고 있는지 확인하기 위함

■ 보안 위협
- DMZ 설정을 통해 내부 네트워크와 외부 서비스 네트워크를 구분하도록 설정 되어 있지 않은 경우, 외부 네트워크를 통해서 서비스를 제공받는 악의적인 사용자가 DMZ 내 호스트를 통해 내부 네트워크로 불법적 연결을 시도할 수 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : DMZ를 구성하여 내부 네트워크를 보호하는 경우
- 취약 : DMZ를 구성하지 않고 사설망에서 외부 공개 서비스를 제공하는 경우

■ 조치 방법
- DMZ를 구성하여 외부 네트워크와 외부 서비스 네트워크 분리 (물리적 망분리가 되어 있으면 해당사항 없음)

■ 점검 방법
Step 1) 네트워크 구성도 또는 방화벽 설정 확인

■ 설정 방법1
Step 1) 방화벽의 옵션 설정
각각의 네트워크는 방화벽에 서로 다른 포트를 사용하여 연결하는데 이를 방화벽 설정 (three-legged firewall set-up)이라 함

■ 설정방법 2 > 두 개의 방화벽 사용
Step 1) DMZ는 두개의 방화벽 중간에 위치하며, 두개의 방화벽과 연결됨. 하나의 방화벽은 내부 네트워크와 연결되고 다른 하나는 외부 네트워크와 연결됨. 우연한 설정 실수를 통해 외부 네트워크가 내부 네트워크로 연결할 수 있게 되는 상황을 방지함
이런 구성 형식을 차단된 서브 방화벽(screened-subnet firewall) 이라고 함

■ 용어정리/팁
※ DMZ : 조직의 내부 네트워크와 외부 네트워크 사이에 위치하는 네트워크 망으로 DMZ 내 컴퓨터는 외부 네트워크에만 연결할 수 있도록 하고, 내부 네트워크는 연결할 수 없도록 구성