접근차단 편집하기

'''접근차단'''<!--접근 차단-->이란 어느 [[대상]]에 [[접근]]하는 것을 막는 것을 말한다.

==유형==
===방화벽===
[[방화벽]](Firewall)은 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다.<ref> 〈[https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%EC%B0%A8%EB%8B%A8_%EC%8B%9C%EC%8A%A4%ED%85%9C 침입 차단 시스템]〉, 《위키백과》 </ref> 인터넷이 태동되기 시작한 1980년대부터 본격적으로 도입됐으며, 초기에는 네트워크 장비 중 하나인 [[라우터]](router)가 방화벽 역할을 전담했으며 그 후 외부 공격 형태가 다양하고 치밀해 짐에 따라 방화벽 기술도 그에 맞춰 진화했으며 80년대 말경에 등장한 1세대 방화벽은 외부로부터 들어오는 [[패킷]](packet, 네트워크 내 데이터 이동 최소 단위)의 형태를 분석하여, 사전에 설정해 둔 보안 [[정책]](rule)에 허용되는 패킷 만을 통과시키는 역할을 하지만 이러한 패킷분석형 방화벽은 네트워크 내 모든 패킷을 대상으로 검사 작업을 수행해야 하니 처리 속도가 느린 단점을 비롯해 여러 가지 문제점이 있어서 이에 따라 네트워크 연결 상태를 분석함으로써 보다 정교하고 효과적인 보안 정책을 적용할 수 있는 [[상태 분석형]](stateful inspection) 방화벽이 등장했다. 이를 2세대 방화벽으로 보는 것이 보편적이며 2000년대 초까지 활발하게 사용됐다. 이후 인터넷 시대가 대중화되면서 웹 브라우저를 통한 다양한 네트워크 서비스가 제공됨에 따라 외부로부터의 침입 또는 공격방법도 다양해졌다. 이에 패킷 내용뿐 아니라 특정 애플리케이션(웹 브라우저, FTP 클라이언트 프로그램 등)을 통한 네트워크 접근을 제어하기 위한 [[애플리케이션]](application layer) 방화벽이 2세대 방화벽을 이어 각광을 받기 시작했다.<ref name="역사"> 이문규, 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《아이티동아》, 2012-04-13 </ref>

;원리
네트워크 방화벽은 기본적으로 네트워크를 통해 들어오는 패킷에 대해 사전에 관리자가 설정해 놓은 보안 규칙(ACL, Access Control List, 접근 제어 목록)에 따라 허용 또는 차단하는 기능을 수행한다. 일반적으로 내부 네트워크와 외부 네트워크(인터넷) 중간에 위치하여 이러한 패킷 제어 기능을 수행한다. 방화벽은 필요에 따라 여러 개를 배치하여 보안성을 강화할 수 있다. 외부 네트워크로부터 방화벽으로 들어오는 모든 접근 시도는 방화벽 내부에 사전 설정된 보안 규칙인 접근 제어 목록에 따라 내부 통과 여부가 결정된다. 기본적으로 방화벽은 모든 접근을 거부(deny)한 후 허용할 접근만 단계적으로 허용(allow/permit)하는 방식을 따른다. 예를 들어, 네트워크를 통해 데이터가 이동하는 통로를 포트(port)라 하는데, 방화벽은 기본적으로 약 6만 5,000여 개의 통신 포트 모두를 차단한 후 접근을 허용하는 특정 포트만을 열어 두게 된다. 즉 홈페이지 운영을 위한 웹 서비스(http)를 제공한다면 80 포트를, FTP 서비스(ftp)를 제공한다면 20·21 포트 등을 접근 허용해야 한다. 통신 포트뿐 아니라 외부로부터 접근하는 [[아이피]] 주소나 특정 프로그램에 따라 접근이나 거부 여부를 결정할 수 있다. 이러한 보안 규칙 설정이 모두 접근 제어 목록에 포함되어 일괄 적용된다. 방화벽의 접근 제어 목록은 대개 관리자가 구성, 설정하기 편하도록 직관적인 형태로 출력되며, 보안 규칙 적용 즉시 결과를 확인할 수 있도록 제공된다. 다만 접근 제어 목록 및 방화벽 설정에는 보안과 관련된 상당한 지식과 경험이 필요하므로 보안 전문가를 통해 정확하고 체계적으로 이루어져야 한다.<ref name="역사"></ref>
 
==== 패킷 필터링 ====
패킷 필터링(Packet Filtering)은 가장 초기적인 방화벽 방식으로 네트워크 계층과 전송계층에서 동작하는 방식이다. 패킷 필터링 방식은 데이터 링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 주소와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정하게 되며 다른 방식에 비해 속도가 빠른 장점이 있으며, 낮은 레이어에서 동작하기 때문에 기존 애플리케이션과 연동이 용이하다. 하드웨어에 의존적이지 않으나 강력한 로깅 기능 및 사용자 인증을 기대하기 어렵다. 1세대 방화벽에 속한다. 다른 방식에 비해 처리 속도가 빠르고 비용이 적게 든다. 기존 프로그램과 연동이 쉽고, 네트워크 계층에서 동작하기 때문에 클라이언트와 서버에 변화가 없어도 된다. 또한 사용자에게 투명성을 제공한다. 다만 단점으로 [[TCP/IP]] 프로토콜의 구조적 문제로 인하여 패킷 헤더의 조작이 가능하다. 또한 패킷 내의 데이터에 대한 공격을 차단하지 못한다. 바이러스에 감염된 파일 전송시 데이터 분석이 불가능하다. 패킷 필터링 규칙을 검증하기 어려우며, 접근통제 리스트와 접근 통제 순서에 따라 방화벽에 부하를 줄 수 있다. 그리고 2, 3 세대 방화벽에 비해 로깅 기능 및 사용자 인증 기능 제공이 미미하다.

==== 애플리케이션 게이트웨이 ====
애플리케이션 게이트웨이(Application Gateway)는 [[OSI 7계층]] 모델 중 애플리케이션(Application) 계층까지 동작하며 통과하는 패킷의 [[헤더]](Header)안의 데이터 영역까지도 체크하여 통제하며 해당 서비스별로 [[프락시]](Proxy)라는 통신 중계용 데몬이 구동되어 각 서비스 요청에 대하여 방화벽이 접근 규칙을 적용하고 연결을 대신하는 역할을 수행해서 이와 같은 이유로 어플리케이션 게이트웨이 방화벽을 어플리케이션 프락시 방화벽이라고도 하며 2세대 방화벽에 속한다. [[프록시]](Proxy)는 중개인의 개념으로 네트워크에 진입하는 혹은 나가는 패킷을 응용프로그램 수준까지 검토하여 악의적인 정보가 있는지 검사하고 이상이 없다면 그 패킷을 목적지 시스템까지 전달하는 역할을 하는 방화벽이다.

;장점
*외부 네트워크와 외부 네트워트가 프록시 서버를 통해만 연결되고, 직접 연결은 허용되지 않기 때문에 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다.
*패킷 필터링 방화벽 보다 높은 보안 설정이 가능하다.
*일회용 패스워드를 이용한 강력한 인증 기능을 제공할 수 있다.
*세션에 대한 정보를 추적할 수 있고, 콘텐츠 보안이 가능하다.

;단점
*응용 계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다.
*일부 서비스에 대해 투명성을 제공하기 어렵다.
*하드웨어에 의존적이다.
*새로운 서비스를 제공하기 위하여 새로운 데몬이 있어야 한다.
*미리 정의된 애플리케이션만 수용 가능하므로 다양하고 빠르게 발전하는 인터넷 애플리케이션에 대응하지 못한다.

; 프록시 서버 방화벽 동작원리
#외부 사용자가 서버에 접근하고자 할 때 사용자의 서비스 요청은 프락시 서버가 대신 접수한다.
#콘텐츠 서버는 방화벽 안쪽에 위치하고 프록시 서버가 사용자에게는 진짜 서버처럼 인식될 수 있도록 설정한다.
#사용자가 서비스를 요청하면 그 요청은 프락시 서버에 전달되고 프락시 서버는 사용자의 요청을 방화벽의 특정 경로를 통해 콘텐츠 서버에 전달한다.
#1콘텐츠 서버에서 수행된 요청 결과는 다시 방화벽의 특정 경로를 통해 프락시 서버에 전달되고 프락시 서버는 사용자에게 전달하게 됨으로써 프락시 서버가 마치 콘텐츠 제공 서버처럼 보이게 된다.
#만약 콘텐츠 서버가 에러 메시지를 전달하게 되면 프락시 서버는 이를 가로채어 사용자에게 보내기 전에 헤더에 포함되는 URL을 바꿈으로써 외부 사용자가 콘텐츠 서버의 리다이렉션 URL 획득을 방지할 수 있다.

==== 서킷 게이트웨이====
서킷 게이트웨이(Circult Gateway)는 OSI 7계층 구조에서 5계층(세션계층)에서 7계층(응용계층) 사이에서 [[접근제어]]를 실시하는 방화벽을 지칭하며, 어플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 서비스 프로토콜도 이용할 수 있는 일반적인 대표 프락시를 이용한다. 서킷 게이트웨이 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 사용자측 PC에 방화벽에 위치한 대표 프락시와 통신하기 위한 수정된 클라이언트 프로그램이 필요하다. 클라이언트 프로그램은 모든 통신에서 방화벽에 있는 프락시와 연결을 맺고 안전한 통신채널인 서킷을 구성한 후 이 서킷을 통해 내부 시스템과 통신을 한다.

;장점
* 내부의 아이피 주소를 숨길 수 있다.
* 첫 패킷 검사 후 다음 패킷은 전달만 한다.
* 각 서비스별로 프록시가 존재하지 않고, 모든 서비스가 이용 가능한 일반적인 프록시가 존재한다.
* 수정된 클라이언트 프로그램이 설치된 사용자에게 별도의 인증 절차 없이 투명한 서비스를 제공할 수 있다.

; 단점
*방화벽에 접속을 위해서 서킷 게이트웨이를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하므로 사용자들에게 프로그램을 배포해야 하거나 사용 중인 응용프로그램을 수정해야 하는 번거로움이 있다.<ref> 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03 </ref>

===인터넷===
인터넷 내 특정 사이트의 접속을 허용하지 않고 차단하는 여러 가지 방법이 있다. 크게 분류하면 공유기를 통한 집 전체의 네트워크 단위에서 차단하는 방법, 호스트 파일을 이용해 특정 PC 내에서만 차단하는 방법, 특정 웹브라우저 내에서만 차단하는 방법 등이 있다.<ref name="인터넷"> it-Fix, 〈[https://itfix.tistory.com/1038 특정 웹사이트 차단하는 방법]〉, 《티스토리》, 2020-12-28 </ref>

=====네트워크=====
네트워크로 가장 먼저 인입되서 거치되는 관문이라 할 수 있는 공유기에서 특정 사이트를 차단할 수 있다. 이 방법은 동일한 인터넷 회선을 사용하는 모든 기기에서 특정 사이트가 차단되게 되는 가장 강력한 방법이다. 다만, 이 방법을 사용하는 방법은 공유기 종류에 따라 설정 방법이 모두 다르다. 가장 많이 사용한다고 알려져 있는 아이피타임의 경우, 웹브라우저 주소창에 192.168.0.1을 쳐서 들어가거나 관리 프로그램에 관리자 계정의 아이디와 암호를 입력하여 접속할 수 있다.<ref name="인터넷"></ref>

=====특정 PC=====
공유기 차원의 사이트 차단보다는 약한 경우로 특정 데스크톱 기기에서만 가능하다. 파일 탐색기를 열고 C:\Windows\System32\drivers\etc 경로로 찾아간다. 해당 폴더가 보이지 않을 경우, 폴더 옵션에서 숨김 파일 및 폴더를 보이도록 체크한다. 그 다음 호스트(hosts) 파일을 메모장으로 열어야 하는데, 메모장은 관리자 권한으로 열렸을 경우에만 수정 후 저장이 가능하다. 윈도우 작업표시줄의 검색 상자에 메모장이라고 입력한 다음 관리자 권한으로 메모장을 실행한다. 그리고 관리자 권한의 메모장에서 열기를 통해 위에서 언급한 경로로 들어가 호스트 파일을 클릭한다. 열기에서의 파일 형태 옵션은 모든 파일로 지정해야 호스트 파일이 보인다. 메모장에서 호스트 파일이 열렸다면 내용을 수정한다. 호스트 파일의 하단에 있는 127.0.0.1이라는 아이피 주소는 접속이 불가능한 아이피 주소의 예시로, 보통은 이 아이피 주소를 쓴 다음 차단할 [[웹사이트]] 주소를 입력한다. 마지막으로 메모장에서 상단의 파일 메뉴를 누르고 저장을 클릭한다. 호스트 파일의 수정을 통한 특정 사이트 차단의 효과는 해당 PC를 재시작해야 나타난다.<ref name="인터넷"></ref>

=====개별 브라우저=====
개별 브라우저별로 특정 사이트에의 접속을 차단하는 가장 약한 형태의 사이트 차단 방법이다. 하지만 현재 자유롭게 다운로드하여 설치할 수 있는 브라우저 프로그램이 수십 가지에 이르는 만큼, 이 방법을 사용하더라도 타사의 브라우저를 설치하여 사용하면 그만이므로 차단의 효과는 크지 않다. 브라우저별 사이트 차단 방법은 브라우저마다 모두 다르므로 브라우저별 차단은 개별 브라우저마다 옵션을 검토해야 한다.

*'''[[크롬]]''' : 블록시트(BlockSite) 같은 확장 프로그램
*'''[[엣지]]''' : 브라우저의 고급 설정에서 차단
*'''[[익스플로러]]''' : 브라우저의 인터넷 옵션에 있는 제한된 사이트
*'''[[파이어폭스]]''' : 사용자 정의 설정에서 세밀한 옵션으로 차단<ref name="인터넷"></ref>

== 보안 솔루션 ==
[[보안 웹게이트웨이]](SWG)는 기업의 생산성을 저해하고, 비즈니스 자산 보호에 위해한 웹 사용 환경 자체를 효과적으로 제어하기 위한 보안 [[솔루션]]이다. 보안 웹게이트웨이는 사용자가 방문하고자 하는 [[웹사이트]]의 유해 여부를 탐지하고 의심스러운 링크가 있는지 확인해 안전한 웹사이트로만 접속하도록 하며 웹을 통한 파일 업로드를 막는다. AISWG(Application Insight Secure Web Gateway)는 원치 않는 소프트웨어 및 악성 코드를 포함한 악성 사이트와 비업무 사이트의 접속을 차단하여, 기업 내부 사용자의 안전한 웹 환경과 업무 효율 극대화를 보장하는 보안 웹 게이트 제품이다. HTTP를 비롯하여 HTTPS 트래픽에 대한 복호화 및 제어가 가능하며, 위협 인텔리전스와 연계된 URL 필터링 형태로 비업무 사이트를 차단할 수 있으며, 웹을 통한 정보 유출도 방지한다.<ref> 〈[https://talkit.tv/Event/2543 차세대 유해사이트 차단을 위한 구축 방안(Secure Web Gateway)]〉, 《토크아이티》 </ref>

==사례==
국내 인터넷서비스사업자(ISP)는 정부의 요청에 따라 서버네임인디케이션(SNI) 필드차단 방식을 이용한 웹사이트 차단을 시작했다. 유해 정보 차단 등을 목적으로 하고 있지만, 표현의 자유 위축이나 감청·검열 논란 등이 제기되기도 한다. 이에 따라 유명 해외 성인 사이트 등 정부가 불법으로 규정한 웹사이트 접속이 이날부터 무더기로 차단됐다. 인터넷서비스사업자의 고객 센터나 [[SNS]] 등에서는 갑자기 특정 사이트가 접속되지 않는 이유를 묻는 사용자들의 문의가 몰렸다. NI는 웹사이트 접속 과정에 적용되는 표준 기술을 가리킨다. 접속 과정에서 주고받는 서버 이름이 암호화가 되지 않고 그대로 노출된다는 점을 노려 정부가 차단에 나선 것이다. 기존에 국내 정부가 사용하던 'URL 차단'은 보안 프로토콜인 [[https]]를 주소창에 쓰는 방식으로 간단히 뚫린다. 2018년 10월 도입된 [[DNS]] 차단 방식도 DNS 주소 변경 등으로 우회가 가능하다. 이에 더욱 강력한 웹사이트 차단을 위해 발표한 것이 바로 서버네임인디케이션 필드차단 방식이다.<ref> 홍지인 기자, 〈[https://www.yna.co.kr/view/AKR20190211154800017 불법사이트 차단 기술 '업그레이드'…800여곳 접속 끊겨]〉, 《연합뉴스》, 2019-02-12 </ref>

{{각주}}

==참고자료==
* 〈[https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%EC%B0%A8%EB%8B%A8_%EC%8B%9C%EC%8A%A4%ED%85%9C 침입 차단 시스템]〉, 《위키백과》
* 이문규, 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《아이티동아》, 2012-04-13
* 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03
* it-Fix, 〈[https://itfix.tistory.com/1038 특정 웹사이트 차단하는 방법]〉, 《티스토리》, 2020-12-28
* 〈[https://talkit.tv/Event/2543 차세대 유해사이트 차단을 위한 구축 방안(Secure Web Gateway)]〉, 《토크아이티》
* 홍지인 기자, 〈[https://www.yna.co.kr/view/AKR20190211154800017 불법사이트 차단 기술 '업그레이드'…800여곳 접속 끊겨]〉, 《연합뉴스》, 2019-02-12

==같이 보기==
* [[접근]]
* [[차단]]
* [[접근권한]]
* [[접근제어]]
* [[체크포인트]]
* [[OSI]]

{{보안|검토 필요}}
@@ 45번째 줄: / 45번째 줄: @@
 ; 단점
 *방화벽에 접속을 위해서 서킷 게이트웨이를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하므로 사용자들에게 프로그램을 배포해야 하거나 사용 중인 응용프로그램을 수정해야 하는 번거로움이 있다.<ref> 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03 </ref>
-==== 하이브리드 ====
-하이브리드(Hybrid) 방식은 패킷 필터링 방식과 어플리케이션 방식을 혼합한 것이다. 패킷 필터링의 장점과 어플리케이션 방식의 장점을 결합한 방식으로 패킷 레벨의 접근 제어뿐만 아니라 응용 프로그램의 사용자 제어의 장점을 가지고 있다. 애플리케이션 방식의 최대 단점인 다양한 응용 서비스의 수용은 패킷 필터링 방식으로 제공하게 된다.
-;장점
-* 내부 보안 정책 및 어플리케이션 등에 맞추어 선택적인 보안 설정이 가능하다.
-* 여러 유형의 방화벽 특징을 보유하기 때문에 새로이 등장하는 인터넷상의 모든 서비스에 가장 유동적으로 대처 가능하다.
-;단점
-* 관리가 복잡하다.
-* 설치 시 전문적인 네트워크 컨설팅이 필요하다.
-==== 상태 추적 ====
-상태 추적(State Inspection) 방식은 기존 방화벽의 단점을 극복하고 장점만을 구현한 새로운 개념의 방화벽이다. 방화벽의 초기 개념은 크게 두 가지 방식 즉, 패킷 필터링 방화벽과 어플리케이션 게이트웨이 방화벽으로 분류되었다. 하지만 이 두 가지 방식의 방화벽은 완벽한 방화벽 기능을 수행하지 못하거나 속도가 저하되는 등의 여러 가지 단점을 가지고 있었다. 상태 추적은 이스라엘의 방화벽 업체인 [[체크포인트]](checkpoin)가 최초로 사용한 용어로, 네트워크 계층(3계층)에서 패킷을 처리하면서도 프로토콜의 상태정보 테이블을 유지하여 프로토콜 특성에 따른 변화를 동적으로 대응해 주는 방화벽이다. 최근 모든 방화벽 시스템에서 채용되어 사용되고 있다. 3세대 방화벽에 속한다. 기존 패킷 필터링 기능에 세션 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하여 순서에 위배되는 패킷들은 모두 차단되게 된다. 예를 들어, 내부 사용자가 인터넷으로 핑이 허용된 경우 내부자의 정상적인 핑 리퀘스트에 대해 인터넷으로부터 들어오는 핑 리플라이는 허용되지만, 인터넷으로부터 내부자의 리퀘스트가 존재하지 않은 상태에서 불법적인 핑 리퀘스트 패킷들은 차단된다.
-;동작원리
-# 클라이언트 A는 특정 웹서버 B 연결을 방화벽에 요구한다.
-# 방화벽은 상태 목록(state table)에 출발지, 도착지, 포트 서비스 및 되돌아오는 패킷 여부 기록 후 접근제어목록(ACL)을 검토한다.
-# 접근제어목록에서 해당 패킷 통과가 허용되는지 검토한다.
-# 해당 패킷 통과가 허용된다면 외부 웹서버 B 에 연결한다.
-# 웹서버 B 의 응답 패킷이 방화벽에 진입한다.
-# 방화벽은 해당 응답 패킷을 접근제어목록에서 검토한다.
-# 허용된 패킷일 경우 상태 목록에서 기존 패킷에 대한 응답 패킷인지를 확인한다.
-# 정상적인 응답 패킷인 경우 클라이언트 A에게 연결한다.
-; 장점
-* 모든 통신채널에 대해 추적 가능하다.
-* 한 차원 높은 패킷 필터링 기능을 제공한다.
-* 응용프로그램 방화벽과 같은 성능 감소가 발생하지 않는다.
-* [[UDP]]와 [[RPC]] 패킷 추적이 가능하다.
-* 패킷 내의 데이터 상태와 정황(context)이 저장되고 지속적으로 갱신된다.
-; 단점
-* 상태 목록에 [[도스]](DOS)나 [[디도스]](DDoS) 공격으로 인해 거짓 정보가 가득 차게 되면 장비가 일시적으로 정지하거나 재가동해야 한다.
-* 어떠한 이유로 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃어버리게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.
 ===인터넷===