Cyberguard(방화벽) 메뉴얼

네트워크 주소 변환(Network Address Translation)은 외부의 호스트들로부터 내부 네트워크 주소를 감추어주고 내부 네트워크가 비공인 IP주소를 사용해도 주소 변환을 통해 인터넷을 사용할 수 있게 해 준다. 외부 네트워크에 있는 사용자는 내부 네트워크와 통신이 이루어지는 모든 트래픽이 CyberGuard Firewall의 외부 인터페이스 주소에서 출발하거나 도착하는 것처럼 보이게 된다. CyberGuard Firewall의 외부 인터페이스에는 공인 IP주소 중 하나가 할당되게 된다. 주소변환은 동적으로도 정적으로도 혹은 두 가지를 동시에 사용하여 일어날 수 있다.

동적 주소 변환(Dynamic Address Translation)

정적 주소 변환(Static Address Translation)

주소 변환의 옵션으로 제공하고 있는 Pass Address 기능은 내부 네트워크 사용자의 IP주소를 외부에서 볼 수 있게 해 줄 것인지 혹은 CyberGuard Firewall의 외부 인터페이스 주소로 변환하여 줄 것인지 운영자가 선택할 수 있게 해 준다.

CyberGuard Firewall은 패킷 필터링 설정을 통해 인터넷 서비스 프로토콜의 종류에 상관없이 모든 서비스에 대한 내부 네트워크로의 접근을 허가 혹은 불허할 수 있다.
특히, 기존에 외부 라우터에 필터링 규칙을 관리하고 방화벽에서는 프록시 기능만 제공하는 타 방화벽 제품과는 달리 두 가지 기능을 모두 CyberGuard Firewall에서 지원함으로써 보안 관련 운영 및 관리를 하나의 시스템에서 수행할 수 있는 장점이 있다.

CyberGuard Firewall의 라우팅은 시스템에 설치되어 있는 네트워크 인터페이스와 연결된 네트워크 장비들 간의 패킷이 어떻게 전달되어야 하는지를 지정한다. 특히, 초기 시스템 설치 시에 네트워킹이 제대로 이루어지는지 제일 먼저 설정하고 확인해야 하는 부분이기도 하다. CyberGuard Firewall은 대부분의 경우 내부 네트워크와 외부 네트워크 간의 유일한 연결 점에 설치되기 때문에 고객사의 네트워킹에 아주 중요한 역할을 수행한다. 따라서 보안 규칙을 적용하기 전에 완전히 확인하는 것이 좋다.
CyberGuard Firewall은 정적 라우팅과 동적 라우팅을 모두 지원하며, 특히 이들 두 가지 방식의 라우팅을 동시에 지원한다. 따라서 내부 혹은 외부 네트워크 구조가 복잡한 고객의 경우 어떠한 라우팅을 사용할 것인지 정적인 라우팅 테이블을 어떻게 관리할 것인지 결정해야만 한다.

• 현재 CyberGuard Firewall 은 동적 라우팅 프로토콜은 RIP만 지원 됨.

  정적 라우팅 설정

  
  
  

  Address for Default Route	디폴트 라우터를 지정. 일반적으로 고객사가 가지고 있는 인터넷에 연결된 외부 라우터 주소가 됨
  Type	패킷을 전달하는 형식을 지정. 일반적으로 Gateway로 설정하고, CyberGuard Firewall에 여러 네트워크 인터페이스가 설치되 있는 경우 드물게 Interface로 설정하기도 함
  Destination	(필수사항) 라우팅의 목적지가 되는 네트워크 주소, 혹은 호스트 주소를 지정
  Forward To	(필수사항) 패킷을 포워드할 게이트웨이 주소를 지정
  Preference	(필수사항) 정적 라우팅과 동적 라우팅을 동시에 사용하는 경우 우선 순위를 지정. 0이 가장 우선 순위가 높고, 255가 가장 우선 순위기 낮다. 정적 라우팅은 디폴트가 50이고, 동적 라우팅은 디폴트가 100이므로 같은 목적지를 가진 경우 정적 라우팅이 우선 적용 됨

CyberGuard Firewall의 Report->Audit Logs Criteria 윈도우를 사용하면 방화벽에 저장되어 있는 각종 기록들을 운영자가 원하는 항목에 관련된 사항만 뽑아 볼 수 있다.

예를들어, Audit logs Criteria의

Type : Network Event
Constraint : permit

라고 지정하고, Time Range를 적당히 지정한 후 Apply 버튼을 누르면 아래와 같은 텍스트가 출력된다.

맨 윗줄은 실제 로그 검색을 위해 커맨드라인에서 실행된 명령을 보여주고 있다. 따라서 여기에 나타난 명령을 Shell Window에서 실행해도 같은 출력을 얻을 수 있다.

3번째줄부터 DATE와 MACHINE ID 쌍은 참조된 실제 로그파일과 로그의 대상 기계에 관한 정보를 가지고 있다. 실제 로그 보고서 파일은 11번째 줄부터 그 내용이 들어있고, 각 필드는 콤마(,)를 구분자로 정렬되어 있다.

첫번째 필드는 해당 이벤트가 발생한 시간을 나타내며 포멧은 '시:분:초:일:월:년' 이다. 두번째 필드는 해당 이벤트에 대한 내부 이벤트 명이고, 다섯번째와 여섯번째는 해당 이벤트의 실행자와 소유자를 UID를 근거로 나타낸 것이다.9번째 필드는 출발지 주소, 11번째 필드는 도착지 주소, 13번째 필드는 프로토콜 타입(tcp/udp/icmp 등), 14번째 필드는 출발지 포트번호, 15번째 필드는 도착지 포트번호, 17번째는 해당 이벤트에 대한 CyberGuard Firewall에서의 접근허가 종류, 18번째는 ACK신호를 허용하는지에 대한 항목을 나타내고 있다.

현재 CyberGuard Firewall에서는 로그 분석을 위한 별도의 패키지는 없으며, 양식화 되어 있는 로그 파일을 MS-Excel 과 같은 스프레트쉬트 프로그램 등으로 구분자를 콤마(,), 등호(=) 등으로 지정하여 정렬하고, 통계치 등을 분석할 수 있다.

출발지/도착지 주소를 resolved domain name으로 표시하려면, CyberGuard Firewall에 DNS 지정을 해야하는데, 보안 상의 이유로 기본설정은 DNS가 지원되지 않는다. 만일 DNS 지정을 원하는 경우는 운영자 메뉴얼의 Split DNS 설정을 참조한다.

시스템 백업과 복구는 시스템 운영자에게 가장 중요한 임무 중 하나이다. 일단 CyberGuard Firewall 환경설정이 끝나면 운영자는 CyberGuard Firewall 시스템 전체를 DAT 테이프로 백업을 해 두어야 한다.
최초의 환경설정 이후에도 시스템에 변경내용이 많거나 너무 오래된 경우에는 정규적으로 백업을 해두는 것이 좋다. CyberGuard Firewall의 시스템 파일이 손상을 당했거나 사용자의 실수로 운영자가 원상태로 돌려놓는데 한계가 있는 경우 백업을 해 두었던 DAT 테이프로 복구를 시행한다.
일반적으로 백업은 CyberGuard Firewall을 동작정지 시키지 않고도 시행할 수 있으나, 추천할 만하지는 못하고, 시스템을 운영자 모드(single user mode)로 전환하여 백업 과정 중에 시스템의 정보가 변환되는 것을 방지한다.

백업과정

1. 고밀도 디스켓(1.44MB용량) 2장을 각각 Recovery diskette #1, Recovery diskette #2로 레이블링 한다.

2. CyberGuard Firewall의 전원을 올린다.

3. 다음 메시지가 화면에 나타나면 를 누른다:

   Booting CyberGuard Firewall

4. 다음 메시지가 화면에 나타나면 현재 interactive mode로 들어간 것이다:

   Entering BOOT in interactive session… [? For help]
   [boot]#

   만일 interactive mode로 들어가지 못했다면, 시스템을 다시 리부팅한다.

5. 다음 명령어를 입력하여 single user mode로 들어간다:

   [boot]# INITSTATE=1

6. 다음 명령어를 입력하여 사용할 커널을 지정한다:

   [boot]# KERNEL=mUNIX

7. 다음 명령어를 입력하여 부팅 과정을 시작한다:

   [boot]# go

8. root로 로그인 한다.

9. 플로피 디스크 드라이브에 Recovery diskette #1 디스켓을 넣는다.

10. emergency_disk 스크립트를 사용하여 복구용 부트 디스켓을 만든다:

    /sbin/emergency_disk diskette1

11. 첫번째 복구용 디스켓이 다 만들어지면, 두번째 복구용 디스켓을 넣어 달라는 메시지가 나타나게 된다. 첫번째 디스켓을 디스켓 드라이브에서 제거하고 두번째 디스켓을 넣은 후 를 누른다. 그러면 두번째 복구용 디스켓이 만들어지고 있다는 메시지가 나타난다.

12. 복구용 디스켓 두개가 모두 만들어지면, 디스켓이 지워지지 않도록 write protection을 해 놓는다.

하드 디스크의 백업

1. 루트로 들어가기 위해 다음과 같이 입력한다:

   /sbin/tfadmin newlvl SYS_PRIVATE
   SYS_PRIVATE> su root
   Passwd: 루트암호입력

2. DAT 드라이버에 4mm 테이프를 넣고, emergency_rec 스크립트를 사용하여 하드 디스크를 백업한다:

   /sbin/emergency_rec -e ctape1

   주의: 여기서 출력되는 에러 메시지는 무시해도 된다.

3. 백업은 약 30분 정도가 소요된다. 백업이 끝나면, multi-user 모드로 들어가기 위해 다음 명령어를 입력한다.

   init 2

CyberGuard Firewall 시스템 복구

1. 컴퓨터가 전원이 내려져 있는지 확인한다.
2. 플로피 디스켓 드라이브에 첫번째 복구용 부트 디스켓을 넣는다(즉, Recovery diskette #1 디스켓을 넣는다).
3. 컴퓨터의 전원을 올린다.
4. 첫번째 복구용 부트 디스켓이 다 읽어지면, 두번째 디스켓을 넣으라는 메시지가 출력된다. 여기서 두번째 복구용 디스켓을 넣고 를 누른다.
5. 프로그램이 자동으로 하드 디스크가 제대로 동작되는지 확인 후 계속할 것인지를 물어 오는데 여기서 를 누른다.
6. 백업 테이프를 DAT 드라이브에 넣은 후 테이프 드라이브의 노란 불이 켜졌다가 꺼질 때까지 기다린다.
7. 화면에 Emergency Recovery Menu가 나타나면, Restore Disk(s)를 선택한다. 복구 과정은 약 30분 정도가 걸린다.
8. 시스템 복구가 끝나면, 플로피 드라이브에서 디스켓을 빼내고, 시스템을 리부팅 한다.

(주)아이네트는 고객이 구매한 CyberGuard Firewall을 아이네트의 보안 전문가들에 의해 좀더 효율적으로 원격지 관리해 줄 수 있도록 해주는 CRMS(Cyberguard firewall Remote Management Service)를 제공하고 있다. 고객이 CRMS를 아이네트에 신청하고 아래와 같이 패킷 필터링 규칙과 사용자 등록을 하면 자사의 CyberGuard Firewall을 보안 전문가들이 보안 관련 모니터링 및 정규적으로 보안 관련 감사 자료를 보고서로 작성하여 준다.

고객의 CyberGuard Firewall에 설정해 주어야할 것들

• 현재 사용하고 있는 CyberGuard Firewall이 버젼 3.1 이상인지 확인한다.
• System 메뉴에서 License Keys 항목을 선택하여 화면에 나타나는 윈도우에서 Remote Administration 필드가 Yes로 되어있는지 확인한다. 만일 Remote Administration 필드가 Yes로 되어있지 않다면, (주)아이네트로 문의한다.
• Configuration 메뉴에서 Packet Filtering Rule 항목을 선택하면 윈도우가 나타나는데 필터링 규칙 목록 중 적당한 곳에 아래와 같이 규칙을 삽입한다.

  Type	Service	Packet Origin	Packet Destination	Options
  permit	rmtadm/tcp	아이네트CRMS서버주소	LOCAL_HOST	No Audit
  permit	rmtadm/tcp	LOCAL_HOST	고객의 CyberGuard 외부 인터페이스주소	No Audit

  
  

• Configuration 메뉴에서 Users 항목을 선택하면 윈도우가 나타나는데 사용자 목록 중 적당한 곳에서 Insert 버튼를 누르고 다음 사용자를 추가한다.

  User Information	Login ID: inet	Full Name: Remote Admin	Security Role: Firewall Security Officer
  Authentication	Authentication Method: Password	Password Changes: User can change user's password	Password: 아이네트에문의
  FTP Operations	모두 선택

  
  

• 주)아이네트에 전화나 팩스를 보내어 CRMS 신청을 한다.
  • 전화: 02-531-7700 (내선# 7837)
  • 팩스: 02-538-6942 (수신 홍명화)
  • 전자우편: cyberguard@nuri.net

1. 방화벽이 설치될 네트워크의 구성도를 그린다.
   
   (예, [그림])
   
   
   
2. 초기 시스템 환경설정을 한다. 환경설정을 위해, 설치를 하는 지역의 time zone, 방화벽 시스템의 호스트(혹은 노드) 명, 공인 도메인 명, 방화벽 내부/외부 인터페이스에 할당될 IP주소 및 서브 네트워크 마스크 등.
3. 모든 사용자의 계정 및 암호 할당

환경설정 과정(Configuration Procedure)

1. 백업 및 복구 방법에 설명되어 있는대로 긴급 부트 디스크를 만든다.
   
2. Host Names 윈도우에 방화벽에서 환경설정 시에 사용할 호스트들의 이름을 추가한다. 일반적으로 추가할 호스트 명은 ISP의 호스트 명과 해당 IP주소로 네트워킹 테스트를 위해 사용되고, 내부 네트워크의 각종 서버들(메일서버, 웹서버 등)의 이름도 추가한다.
3. 방화벽 환경설정 시에 사용되는 네트워크 명은 Network Names 윈도우에 추가한다.
   
4. 방화벽이 인터넷에 직접 연결된 경우 내부 네트워크 주소를 감추기 위해서 NAT를 사용하고 내부 네트워크의 비공인 IP주소를 사용한다.
   
5. Network Ping Test 도구를 사용하여 설치한 방화벽이 내부 호스트, ISP 호스트, 인터넷에 있는 호스트들과 제대로 통신이 되는지 확인한다. 주의할 점은 인터넷에 있는 호스트들과 통신을 위해서는 라우팅이 먼저 설치가 되야 된다. (즉, 라우터 세팅이 선결 되어야 함)
   
6. 내부 호스트와 ISP 호스트가 방화벽으로 라우팅할 수 있도록 세팅한다.
   
7. Alerts and Activities 윈도우에서 옵션들을 선택하여 해킹 위협이나 중대한 사항을 알아내고 대처할 수 있도록 한다.
   
8. Packet-Filtering Rules 윈도우를 사용하여 방화벽을 통해 내부 호스트와 ISP 호스트간에 어떤 패킷을 통과시킬 것인지 결정한다.
   
9. FSO(firewall security officer) 역할을 해야할 운영자의 로그인 관련 정보를 설정한다.
   • 사용자를 관리하기 위해서 운영자는 다음 사항을 결정한다:
   • 누가 방화벽에 로그인 할 것인가?
   • 누가 언제 사용자의 패스워드를 지정할 것인가?
   • 얼마나 오랫동안 패스워드를 사용하게 할 것인가?
   • 얼마나 높은 보안 수준이 사용자에게 필요한가?
   • 사용자에게 어떤 FTP 오퍼레이션을 허용할 것인가?
10. 내부 메일 서버와 SMTP 프록시를 사용하려면, Proxies 윈도우에서 SMTP 프록시를 설정한다.
11. 내부 메일 서버가 없는 경우에는 방화벽에 메일 서버를 설치한다. 메일 주소는 방화벽 주소로 하고 방화벽 내부에 애일리어스(aliases) 파일을 사용하여 해당 메일을 내부의 적당한 호스트에 전달한다. 보내는 메일의 경우 송신자 호스트 주소 대신 방화벽의 주소를 지정한다.
12. 내부 웹서버가 있는 경우 HTTP 프록시를 설정하고 내부와 외부에서 제대로 접근이 되는지 확인한다.
13. 인터넷에 좀더 보안이 강화된 접속을 하고 싶은 경우에는 방화벽에 설치되어 있는 ftp 같은 보안을 위해 수정된 어플리케이션을 사용하든지 SOCKS를 설정한다.
14. 방화벽에서 name system을 사용하고 싶은 경우에는 DNS 설정을 해야 한다.
15. 백업 및 복구 방법에 설명된 대로 방화벽 시스템을 백업 한다.

CyberGuard Firewall의 GUI는 최소한 800x600 해상도에 256색을 요구한다. 만일 현재 화면 해상도가 적당하지 않으면 Display Setup 윈도우가 나타날 것이다. 이 윈도우를 사용하여 X 클라이언트 호스트 비디오 모니터를 설정한다.

주의: 해상도가 맞지 않으면 화면이 보이지 않게 된다.

[그림] Display Setup 윈도우

화면 해상도를 설정하려면:

1. (선택사양) Display Setup 윈도우가 자동으로 화면에 나타나지 않으면 /usr/bin/X11/gsetvideo를 실행한다.
2. Hardware Detected 항목에 있는 제작사와 칩셋 정보를 확인한다.
3. Vendor 항목에서 적당한 제작사를 선택하고 Chipset 항목에서 적당한 비디오 카드를 선택한다.
4. Resolution 항목에서 최소한 800x600을 선택하고, Monitor 항목에서는 70 Hz 이상을 선택한다. Colors 항목에서는 256을 선택하도록 한다.
5. Test 버튼을 누르면, 화면 테스트에 대한 설명을 하는 윈도우가 나타난다.
6. Continue 버튼을 누르면 테스트 화면이 나타난다.
7. 테스트 화면이 제대로 보이지 않으면 설정 값을 변경하여 다시 반복한다.
8. 테스트가 제대로 완료되면 Save 버튼을 누른다.
9. OK 버튼를 눌러 설정 값을 시스템에 반영한다.
10. Cancel 버튼를 눌러 Display Setup 윈도우를 닫는다. 변경한 화면 설정 값은 바로 반영이 되고 CyberGuard Start-up 윈도우가 화면에 나타날 것이다.

만일, 화면에 아무것도 안보이고 복구가 불가능할 때:

1. CyberGuard Firewall이 부팅이 되어 정상 작동하고 있는 상태에서 <ALT> + <Prt Scr> + <p> 를 동시에 누른다.
2. 잠시 후 화면에 텍스트로 로그인 화면이 나타나면, FSO 사용자 계정(cgadmin 혹은 기타 계정)으로 로그인 한다.
3. /sbin/tfadmin newlvl SYS_PRIVATE 명령으로 root 권한을 얻는다.
4. /usr/X/default 디렉토리에서 다음 명령을 입력한다. (기존 Xwinconfig 파일을 다른 이름으로 변경하여 추후 백업 용으로 사용하는 것이 좋다) cp Xwinconfig.ini Xwinconfig
5. cd / 명령으로 루트 디렉토리로 이동한 후 아래 명령을 입력하여 시스템을 리부팅 한다. sync; sync; sync; sync; reboot
6. CyberGuard Firewall 이 실행되면서 화면에 새로 해상도를 잡는 화면이 나타나면, 적당한 값을 설정하고 저장한다.

시스템 시작 윈도우(Welcome Window)

1. 시스템이 시작되면 화면에 나타나는 윈도우이다. 방화벽 시스템에 로그인 하기 위해서 사용자 ID로 cgadmin 이라고 입력한다.
2. OK 버튼을 누른다.
3. 사용자 패스워드로 cgadmin에 할당된 암호를 입력한다.
4. OK 버튼을 누른다.

시스템 시작 윈도우에서 운영자 인증과정을 통과하면, CyberGuard Firewall 운영자 데스크탑 화면에 출력될 것이다.

CyberGuard Firewall은 설정된 날짜와 시간 값을 이용하여 시스템에 모든 활동 사항에 대한 기록을 표시하기 때문에, 추후 시스템을 모니터링 하거나 감사 기록을 분석할 때 중요하다. 또한, 해커로부터 공격이 일어난 시간, 사용자의 사용기간 초과 등에 대한 보안 관련 기능을 조정하고자 할 때도 그 규칙의 적용 기준이 된다.

설정한 값을 지정하기 위해서는 Save 버튼을 누르고, 원래 상태로 돌아가고 싶은 경우는 Revert 버튼을 누른