--- 패킷 필터링 --- 

패킷 필터링은 방화벽이나 라우터등에서 적용되어지며, 외부에서의 침입에 이용될 수 
있는 위험한 포트들을 네트웍 수준에서 막아둠으로서 보안 수준을 높일 수 있게된다. 

1 네트웍 보안과 패킷 필터링 
시스템 관리자는 시스템의 보안을 높이기 위하여 다양한 보안 정책을 수행해 나가며 
지속적으로 발견되고 보고되는 보안상 취약한 부분들을 수정함으로서 시스템의 보안 
. 이러한 공격법의 예로는 IP Spoofing, SYN flooding, Ping bombing, NFS/NIS/DNS 
spoofing등이 포함된다. 이러한 프로토콜 공격에 대비하고 기타 여러 침입 방법에 
대해 미연에 방지할 수 있도록 하기위해서 외부 네트웍에서 내부 내트웍으로 들어오는 
패킷들에 대해 패킷 필터링을 적용할 수 있다. 패킷 필터링은 보안 정책에 따라 
라우터와 방화벽을 통해 구현하게 된다. 


2 위험한 포트 목록 
일반적으로 인터넷을 포함한 외부 네트웍들로부터 내부 네트웍에 있는 서비스들을 
사용할 이유가 없는것들이 있다. 예를들어 NFS, NIS, TFTP등의 서비스는 특정 
서브네트웍에 존재하는 호스트들끼리 서비스를 이용하는 경우가 대부분이며, 특별한 
경우를 제외하면 외부로 부터 서비스를 받게할 이유가 없다. 이러한 서비스 포트들은 
보안상의 많은 취약점들이 발견되어 졌으며 외부로부터 내부 시스템에 침입하기 위해 
공격의 대상이 될 뿐이다. 이러한 포트들은 패킷 필터링을 통해 공격을 미연에 방지하여야 
한다. 

-- 잘 알려진 서비스 포트 목록 서비스 프로토콜 포트 넘버 -- 

File Transfer Protocol (FTP)--Data TCP 20 
FTP--Commands TCP 21 
Telnet TCP 23 
Simple Mail Transfer Protocol (SMTP) TCP 25 
Terminal Access Controller Access Control System (TACACS) UDP 49 
Domain Name Server (DNS) TCP and UDP 53 
Trivial File Transfer Protocol (TFTP) UDP 69 
finger TCP 79 
SUN Remote Procedure Call (RPC) TCP and UDP 111 
Network News Transfer Protocol (NNTP) TCP 119 
Network Time Protocol (NTP) TCP and UDP 123 
NeWS TCP 144 
Simple Management Network Protocol (SNMP) UDP 161 
SNMP (traps) UDP 162 
Border Gateway Protocol (BGP) TCP 179 
rexec TCP 512 
rlogin TCP 513 
rsh TCP 514 
talk UDP 517 
ntalk UDP 518 
Open Windows TCP and UDP 2000+ 
Network File System (NFS) UDP 2049 
X11 TCP and UDP 6000+ 

위에서는 잘 알려진 서비스 포트 목록을 나열하고 있다. 이 서비스들은 라우터나 
방화벽에서 패킷 필터링을 적용할 때 외부로부터 접근을 허락할 것인지, 허락하는 
경우에는 모든 외부 네트웍에서의 접근을 허락할 것인지 일부 네트웍이나 호스트들에서만 
접근을 허락할 것인지의 고려 대상이 될 수 있다. 기본적인 정책은 외부 네트웍에서 
접근하여 사용하지 않는 포트들은 필터링 하도록 할 수 있다. 

-- CERT에서 필터링을 권장하는 포트목록 서비스 프로토콜 포트 넘버 -- 

DNS zone transfers TCP and UDP 53 
TFTP daemon (tftpd) UDP 69 
link--commonly used by intruders TCP 87 
SUN RPC TCP and UDP 111 
NFS UDP 2049 
BSD UNIX ``r'' commands (rsh, rlogin, and so forth) TCP 512 - 514 
line printer daemon (lpd) TCP 515 
UNIX-to-UNIX copy program daemon (uucpd) TCP 540 
Open Windows TCP and UDP 2000+ 
X Windows TCP and UDP 6000+ 

위에서는 CERT에서 필터링을 권장하고 있는 서비스와 포트 목록을 보여주고 있다. 
이 포트들은 일반적인 경우 외부 네트웍에서 서비스를 이용할 이유가 없으므로 
포트를 막도록 권하고 있다. 

* 각각의 서비스들이 외부 네트웍에 노출시의 위험성은 다음과 같다. 

DNS 
DNS(Domain Name Service)는 호스트 이름으로 IP address를 알려주거나 혹은 그 반대의 
경우에 대해 정보를 제공하는 서비스이다. DNS는 인터넷을 기반으로 한 분산 데이타베이스로서 
인터넷을 사용하는 경우에 많은 편리함을 제공해 주지만 보안상에는 여러 문제점들이 
있다. 인터넷에서 호스트를 인증하는 방식은 호스트이름과 IP address를 이용하지만, 
이 정보를 제공하는 DNS에서는 보안성을 고려하지 않고 구현되어져 여러 문제점을 
야기하고 있다. 예를들면 한 시스템에서 네임서버에게 DNS query를 한 경우 돌아온 
응답이 정확한 정보인지 아닌지 알 수 없음으로 인해, DNS spoofing으로 Berkeley UNIX의 
r-command들을 공격하게 한다. 
DNS의 보안을 높이기 위해서는 자신의 사이트에 대한 secondary name server들에게만 
포트를 허락해 서비스 해주도록 한다. 그리고 나머지 외부 망으로 부터 보내지는 53번 
포트의 패킷은 필터링하도록 한다. 특히, TCP 53번 포트를 이용하면 외부에서 내부 
내트웍에 존재하는 시스템들의 정보를 추출 (zone transfer) 할 수 있게 하므로서 
내부 네트웍의 구성에 관한 정보가 누출될 수도 있다. 


TFTP 
TFTP(Trivial File Transfer Protocol)은 X terminal이나 diskless client 등에서 
서버로부터 파일을 전송하는데 사용되어진다. 하지만, TFTP 서비스는 특정 호스트에게만 
접근 허가를 두는 형식보다는 일반적으로 어느 호스트나 접근할 수 있게 되며, 특히 
서버에 수행되는 데몬 프로세스가 자신의 파일시스템에 대한 접근 제한을 두지 않는 
경우는 시스템에 존재하는 읽기 가능한 어느 파일도 외부 시스템에서 훔쳐낼 수 있다. 
TFTP 서비스를 하는 시스템에 대한 공격이 많이 보고 되고 있으며, 많은 경우 패스워드 
파일을 훔쳐내 시스템 침입에 이용한다. 외부 망에서 사용할 필요가 없는 TFTP 서비스 
포트를 막도록 한다. 

SUN RPC 
NFS와 NIS 서비스는 Sun RPC (Remote Procedure Call)를 사용하며, Sun RPC에 사용되는 
포트는 TCP 111번 포트와 UDP 111번 포트이다. 이들 포트는 portmapper가 RPC 서비스를 
위한 프로그램들의 포트를 관리하며, NFS의 화일 시스템 mount 요청이나 NIS 맵 요청등의 
경우에 사용된다. 따라서, 외부에 NFS나 NIS 서비스를 제공할 목적이 아닌 경우에는 
이 포트를 막도록 한다. 이 경우 world-exportable 파일시스템을 가진 내부 호스트로의 
공격이나 NIS등의 공격을 미연에 방지할 수 있게된다. 

NFS 
NFS 서비스시 클라이언트가 NFS 서버로의 요청은 UDP 2049번 포트를 이용하게 된다. 
앞의 경우와 마찬가지로 NFS 서비스를 외부 네트웍에 제공하고자 하지 않는 경우는 
이 포트를 필터링한다. 이때는 NFS 서버에서 수행되는 데몬 프로세스의 버그를 이용한 
공격등을 방어하게 된다. 

``r''-command 
Berkeley ``r''-command (rexec,rlogin,rsh)들은 패스워드 인증과정 없이 시스템에 접근을 
가능하도록 한다. 패스워드 인증절차 없이 로긴을 허가하는 경우는 이를 허가하는 호스트나 
사용자를 /etc/hosts.equiv,/.rhosts 등에 등록을 해두는 경우이다. 하지만 hosts.equiv에 
``+''로 설정되어 있는 경우는 인터넷에 존재하는 어느 호스트로 부터도 사용자 이름(user name)
만 같으면 접근이 가능하게 된다. 또한 DNS spoofing등의 공격에의해 등록된 호스트의 
주소로 위장한 가짜 호스트로 부터 로긴도 가능하게 된다. 따라서, r-command들이 사용하는 
포트(TCP 512 514)는 필터링하는 것이 좋다. 하지만, 이 포트를 필터링하는 것은 외부에서 
``r''-command 서비스를 불허하는 것을 의미하므로 신중한 판단이 요구된다. 

lpd 
프린터 데몬 프로세스(lpd)에게 프린팅할 파일을 보내는 경우와 스풀에 있는 작업들의 정보를 
요청하는데 사용된다. 하지만, 외부 망으로 부터 내부 네트웍에 있는 프린터를 사용하도록 
하는 경우가 없다면 공격에 이용될 수 있으므로 필터링하도록 한다. 

uucp 
UNIX-to-UNIX copy program daemon (uucpd)의 통신에 사용되는 포트이며, 이를 이용한 침입은 
많이 보고되어졌다. 하지만, point-to-point방식인 uucp를 사용하지 않는 네트웍에서는 
이 포트를 필터링 하도록 한다. 

X windows, NeWS/Openwin 
X windows는 인증방식의 취약점으로 인해 현재까지 많은 보안 취약점이 발견되어 졌고 공격의 
대상이 되어왔다. 예를들면, 접근 제한을 두지 않은 X terminal 상에서는 터미널을 사용하는 
사용자의 키보드 입력을 외부에서 가로채는 것이 가능하며, xkey라는 예제 프로그램도 
인터넷상에서 구할 수 있다. 이밖에도 스크린을 덤프하거나 마치 사용자의 키보드 입력과 
같은 이벤트를 특정 윈도우에 보내 명령을 수행시키도록 할 수 있다. 
이와같이 X windows와 Openwin 등은 외부에서 내부의 서버에 연결하는 경우가 아니면 필터링 
하도록 한다. 이때, X windows나 Openwin에서 사용하는 포트의 구간은 호스트의 스크린 갯수에 
따라 달라지게 된다. 따라서 만약 2개까지의 스크린을 사용하는 호스트가 내부 네트웍에 
존재하는 경우는 6000 6002번까지의 포트를 (Openwin에서는 2000 2002번까지) 필터링 하여야 
한다. 


이외에도 소스 라우팅(source routing)과 내부 네트웍의 주소를 소스 주소로 하는 패킷은 
필터링 하여야 한다. 소스 라우팅은 패킷이 지나갈 경로를 미리 지정해 줄 수 있도록 하며, 
이 기능은 네트웍의 문제점을 찾아내는 경우에 사용될 수 있으나 IP spoofing등의 공격에 
이용될 소지가 있으므로 기능을 제거하도록 한다. 또한, 내부 주소를 소스 주소로한 패킷들도 
필터링하여야 한다. 


3.3 필터링 규칙의 설정 
라우터와 방화벽을 이용하여 패킷 필터링을 적용하고자 할때 일반적으로 내부에서 외부로 
나가는 연결에 대해서는 열어두고, 외부에서 내부로 들어오는 연결에 대해서만 접근제한을 
두게된다. 이때, 접근 제한을 두는 방식에는 두가지가 있다. 첫째는 보안상의 위험성이 보고된 
포트들을 필터링하여 막고 나머지는 모두 허락하는 방식이다. 둘째는 그와 반대로 접근 허가할 
포트들만 특정 호스트와 네트웍에 대해서만 열어두고 나머지는 막는 방식이 있다. 

두가지 접근 허가 규칙은 서로 장단점을 지니고 있으며, 각 사이트의 컴퓨터 보안 정책에 따라 
달라질 수 있다. 첫째번 방식은 서비스의 제약이 많지 않으므로 새로운 서비스들이 추가되는 
경우에 필터링 규칙을 새로 적용하여야 하는 번거로움이 없다. 따라서, 보안이 아주 엄격할 
필요성 보다는 사용의 편이성이 우선이 되는 대학이나 학교 기관에서 라우터를 이용하여 패킷 
필터링(Screening Router)을 하고자하는 경우에 적당하다. 두번째 방식은 방화벽을 이용하여 
보안 정책을 구현해 나가는 경우에 적절한 방식이다. 따라서, 보안이 엄격한 회사나 공공기관에서
외부에서 허가된 내부 서비스에 대해서 열어두고 나머지 경우들에 대해서는 외부접근을 막는 
방식이 가능하다. 

특히 두번째 방식으로 UDP 부분을 제어하는 것은 여러가지 문제점이 야기될 수 있다. TCP는 
연결 초기의 패킷에 해당하는 SYN/ACK 비트를 점검하는 방식으로 효과적으로 필터링 할 수 
있지만, UDP는 모든 패킷들에 대해 매번 필터링 룰을 대조해 보아야 한다. 또한, RPC 서비스와 
같이 많은 경우에 있어 UDP 포트는 사용하지 않는 포트를 동적으로 할당해 주기 때문에 일부 
서비스를 제어하기란 쉽지않다. 최근에는 멀티미디어 서비스를 위한 RealAudio, Mbone, 
Streamworks, Netmeeting 등의 UDP 방식을 이용하는 서비스등이 계속 증가하고 있으므로 
안정적인 제어 규칙을 설정하기 어렵다. 따라서, 일부 UDP 서비스만을 열어두고 나머지는 
모두 막는 형태가 아닌 경우라면, 위험한 포트들에 대해 필터링하고 나머지는 열어두는 형태의 
규칙을 설정하는 것이 안정적이다.