Default Deny

안녕하세요 강사 최일선입니다.

질문. SOC에서 외부로 나가는 룰을 설정하고 DMZ에는 Default Deny룰만 설정되어있는데 soc에서 bee-box에 접속이 잘 됩니다.그러면 Default deny의 역할은 무엇인지 궁금합니다. 처음에는 모든 들어가고 나가는 요청을 차단하는 것이라고 생각했는데 그러면 soc에서 bee-box로 접속이 되는것이 설명이 안되서 문의드립니다. Default Deny 룰의 존재 이유를 알고싶습니다.

1. DMZ 인터페이스 룰은 DMZ 공간에서 나갈 수 있는 트래픽을 제한합니다. 즉, Bee-box 로부터 외부로 나가는 트래픽에 대한 룰입니다. 때문에 SOC -> bee-box로 가는 트래픽에 대한 설정은 무관합니다.

2. 아마 1번에 대한 내용은 충분히 이해되셨으리라 생각됩니다만 질문자가 궁금해하시는 내용은 "bee-box에서 SOC로 어떻게 응답은 하는가?"라고 생각됩니다. 차세대 방화벽에는 stateful inspection이라는 기능이 있습니다. 상태를 기억하면서 방화벽 룰을 제어하는 방식입니다.

3. 우리가 가진 사례로 다시 이야기하면 SOC -> Bee-box로 요청했을 때 이 상태를 기억하고 이것에 연속되는 통신은 허용하는 방식을 가집니다. SOC가 먼저 요청하지 않으면 그에 대한 응답은 허용되지 않습니다. stateful-filtering에 대한 내용은 다음 문서를 참고하시기 바랍니다.

https://docs.netgate.com/pfsense/en/latest/firewall/fundamentals.html#stateful-filtering

4. 패킷 필터 방식을 사용하던 과거 방화벽은 응답에 대한 룰을 일일이 추가했는데 이 작업은 매우 번거롭고 복잡한 룰이 필요했습니다. 그래서 개선된 형태로 스테이트풀 인스펙션으로 기능이 업그레이드 된것으로 이해하시면 좋겠습니다. 검색해서 나온 블로그에 내용을 참조드립니다. 감사합니다.

Stateful Inspection 스테이트풀 패킷검사
1. 개요
- Stateful Inspection은 1세대의 Packet filtering 방식과 2세대의 Application Gateway 방식의 장점을 혼합한 3세대 방화벽 기술
패킷으로 부터 받은 정보와 전송 상태, 연결 상태, 다른 applications과의 관계 그리고 패킷의 Top 5 계층을 면밀하게 검사하는 구조
- Stateful Inspection은 네트워크 트래픽과 관련된 모든 통신 채널을 상태목록에 유지시킨 후 누가, 언제, 어느 때 사용하였는지 또는 거부 당했는지를, 또 어떤 경로를 통하여 외부에 접속하였으며, 돌아왔는지에 대해 분석하고 패킷의 수락 여부를 결정하는 방화벽
2. 특징
- 각 모든 통신 채널을 추적하는 상태 목록을 유지하고, 프레임이 모든 통신 레이어에서 분석
- 장점
모든 채널에 대해 추적이 가능
한 차원 높은 Packet Filtering 기능을 제공
높은 수준의 보안, 뛰어난 확장성
사용자에게 투명성을 제공, UDP와 RPC 패킷도 추적이 가능
- 단점
상태 목록이 거짓 정보가 가득 찰 때 장비를 정지하거나 재가동해야 함
어떠한 이유로 방화벽을 재 구동시 현재 연결에 대한 모든 정보를 잃어버리게 되어 정당한 패킷에 대해 거부가 발생할 수 있음

출처: https://emzei.tistory.com/230 [emzei]