망분리 개념 정리

◇ 망분리

- 망분리는 외부의 공격으로부터 내부 자원을 보호하기 위해 네트워크 망을 다중화 시켜 업무용과 개인용(인터넷용)으로 분리하는 기술(기법)이며, 망분리 기술의 종류로는 논리적 망분리(SBC, CBC)와 물리적 망분리가 있다.

 

※ 망혼용

- 망혼용은 서로 다른 망끼리 연결되었거나, A망에 있던 노드가 B망에 연결된 경우를 망혼용이라고 한다.

(반대로, B망에 있던 노드가 A망에 연결되어도 망혼용이라고 한다.)

 

- 기본 망분리 네트워크 구성 예시)

 

- 망혼용된 네트워크 구성 예시)

 

◇ 물리적 망분리

- 물리적 망분리는 외부의 공격으로부터 내부 네트워크를 지키기 위해 물리적으로 외부 네트워크와의 연결을 분리한 네트워크 보안 기법이다.

 

- 물리적 망분리 하기 전 네트워크 구성 예시)

 

- 물리적 망분리 한 후 네트워크 구성 예시)

 

 

◇ 논리적 망분리

- 물리적 망분리가 물리적으로 외부 네트워크와의 연결을 분리한 것이었다면, 논리적 망분리는 외부 네트워크와 물리적으로 연결은 되어 있지만, 논리적(방화벽 필터링 또는 가상화)으로 내부 네트워크와 외부 네트워크를 분리한 것이다.

 

- 논리적 망분리의 종류로는 SBC와 CBC가 있다.

 

- 논리적 망분리 네트워크 구성 예시)

 

▷ 논리적 망분리 - SBC(Server Based Computing) 방식

* SBC(Server Based Computing)는 중앙 서버에서 모든 데이터 처리와 애플리케이션 실행을 관리하고, 클라이언트는 단순히 접속하여 사용하는 방식을 뜻한다.

 

- 서버는 논리적으로 분리된 여러 환경을 운영할 수 있으며, 각각의 환경마다 네트워크를 구성한 것이 SBC(Server Based Computing) 방식의 논리적 망분리이다.

 

- SBC 방식의 논리적 망분리 사례로는 VLAN 등이 있다.

 

- SBC 방식의 논리적 망분리 네트워크 구성 예시)

 

▷ 논리적 망분리 - CBC(Client Based Computing) 방식

* CBC(Client Based Computing)는 클라이언트 PC에서 여러 개의 독립적인 환경을 생성하고 관리하는 방식을 뜻한다.

 

- 클라이언트 PC는 이러한 방식으로 여러 개의 가상 환경을 구축하고, 각 환경마다 네트워크를 구성한 것이 CBC(Client Based Computing) 방식의 논리적 망분리이다.

 

- CBC 방식의 논리적 망분리 사례로는 가상머신을 이용하여 한 개의 물리적인 PC에서 다중 네트워크(망분리)를 구성한 사례가 있다.

 

- CBC 방식의 논리적 망분리 네트워크 구성 예시)

 

※ 내부 보안 장비 및 기술

* 논리적 망분리와 물리적 망분리 기법은 외부로부터의 공격을 방어하는 기법이며, 망분리 환경에서의 내부 보안 장비 및 기술은 DHCP 미동작, 임의의 사설 IP주소 대역 지정, NAC, PMS, 백신 등이 있다.

 

- DHCP 미동작

=> 네트워크 장비의 DHCP를 미동작 시켜서 인가되지 않은 노드가 내부 네트워크에 물리적으로 연결되었을 때 자동으로 IP주소가 할당되는 것을 막는다.

 

- 임의의 사설 IP주소 대역 지정

=> 인가되지 않은 노드가 내부 네트워크에 물리적으로 연결되었을 때 논리적 접근이 불가능 하도록 내부 네트워크의 사설 IP주소를 임의의 대역대로 변경한다.

 

- NAC(Network Access Control - 네트워크 접근 제어)

=> 미리 정의된 규칙에 따라 인가되지 않은 노드가 내부 네트워크에 접근하는 것을 제한한다.

 

- PMS(Patch Management System - 패치 관리 시스템)

=> 네트워크상에 존재하는 노드들에 대해 OS(운영체제) 및 애플리케이션에 대한 패치 또는 업데이트를 관리자가 일괄적으로 관리 ⦁ 통제할 수 있게끔 하는 시스템이다.

 

- 백신(Antivirus)

=> 네트워크상에 존재하는 노드들에 대해 바이러스 등의 악성코드를 탐지 및 제거하는 소프트웨어이다.