입구 필터링

컴퓨터 네트워크에서 입구 필터링(ingress filtering)은 들어오는 패킷들이 의도한 위치의 네트워크로부터 비롯되는 것을 보장하기 위해 사용되는 기술이다. 공격자의 패킷에 가짜 IP 주소를 포함시켜 공격원을 찾기 어렵게 만들어버리는 다양한 스푸핑 공격의 대책으로 사용할 수 있다. 이 기술은 서비스 거부 공격에 종종 사용되며 입구 필터링의 주된 대상이다.

문제 편집

네트워크는 다른 네트워크로부터 패킷을 수신한다. 일반적으로 패킷은 패킷을 처음으로 보낸 컴퓨터의 IP 주소를 포함한다. 이를 통해 수신 네트워크의 장치들이 그 기원을 알 수 있으므로 IP 주소들이 프록시나 스푸핑된 IP 주소를 통해 사용되는 상황을 제외하고는 원래 위치로 응답을 되돌려 보낼 수 있다.

보낸이의 IP 주소는 거짓으로 변경이 가능한데 이를 스푸핑이라고 한다. 예를 들어 서비스 거부 공격에서 송신 패킷의 기원을 가짜로 꾸민다. 이는 프록시에 대해서도 유효하지만 이는 IP 스푸핑의 방식과는 다르다.

잠재적 해결책 편집

한 가지 잠재적 해결책은 중간 인터넷 게이트웨이 필터링을 사용하거나 적법하지 않은 것으로 간주되는 패킷을 거부하는 기능을 적용하는 것이다. 패킷을 처리하는 게이트웨이는 단순히 패킷을 완전히 무시하거나 가능하면 적법하지 않은 패킷을 거부하는 메시지를 릴레이(Relay)하는 송신자에게 패킷을 다시 돌려주는 것이 가능하다. 원치 않는, 예상치 못한, 의심이 되는 이벤트와 침입을 식별하고 예방하고 그만두게 만드는데 도움을 주는 기술적 공학 응용의 한 예로 호스트 침입 방지 시스템(HIPS)을 들 수 있다.

입구 필터링을 구현하는 모든 라우터는 수신 IP 패킷의 소스 IP 필드를 검사하며 패킷이 인터페이스에 연결된 IP 주소 블록 내의 IP 주소를 보유하고 있지 않다면 패킷을 드롭(drop)시킨다. 그러나 엔드 호스트(end host)가 멀티호밍 방식이고 전송 네트워크 트래픽을 송신하는 경우 이는 불가능할 수 있다.

입구 필터링에서 네트워크로 들어오는 패킷들은 패킷들을 보내는 네트워크가 기원이 되는 IP 주소(들)로부터 패킷을 보내지 않아야 하는 경우 필터링된다. 엔드 호스트가 스텁 네트워크(stub network)나 호스트인 경우 라우터는 보유 중인 모든 IP 패킷을 소스 IP, 사설 주소(RFC 1918), 보곤 주소(bogon address), 그리고 인터페이스로서 동일 네트워크 주소가 없는 주소들로 필터링해야 한다.^[1]

네트워크 편집

네트워크 입구 필터링(Network ingress filtering)은 인터넷 트래픽의 소스 어드레스 필터링을 미리 막기 위해 수많은 인터넷 서비스 제공자가 사용하는 패킷 필터링 기술의 하나이며 인터넷 트래픽이 어디에서 비롯되는지를 추적할 수 있게 함으로써 다양한 유형의 넷 오용에 간접적으로 대처한다.

네트워크 입구 필터링은 상호 이익을 위해 ISP 간 협업에 의존하는 좋은 이웃(good neighbor) 정책이다.

네트워크 입구 필터링의 최상 현행 규정은 국제 인터넷 표준화 기구에 의해 BCP 38, BCP 84라는 이름으로 문서화되어 있는데, 이들은 각각 "RFC 2827" 및 "RFC 3704"에 의해 정의된다.^[2]^[3]

적용 편집

2012년 기준으로, 한 보고에 따르면 BCP 38 적용에 관한 일반적인 의견과 대조적으로 인터넷 중 80% 정도가 이미 스푸핑 방지 패킷 필터링을 자체 네트워크에 적용하고 있었다.^[4]

같이 보기 편집

출구 필터링

각주 편집

↑ Robert Gezelter (1995) Security on the Internet Chapter 23 in Hutt, Bosworth, and Hoytt (1995) "Computer Security Handbook, Third Edition", Wiley, section 23.6(b), pp 23-12, et seq.
↑ Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing. IETF. May 2000. BCP 38. RFC 2827. https://tools.ietf.org/html/rfc2827. Retrieved 18 Feb 2014.
↑ Ingress Filtering for Multihomed Networks. IETF. March 2004. BCP 84. RFC 3704. https://tools.ietf.org/html/rfc3704. Retrieved 18 Feb 2014.
↑ Barry Greene (2012년 6월 11일). “Everyone should be deploying BCP 38! Wait, they are …”. senki.org.

외부 링크 편집

RFC 2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing (BCP 38)
RFC 3704 Ingress Filtering for Multihomed Networks (BCP 84)
Jay R. Ashworth. “BCP38.info”.
IETF's BCP Index

[1] Robert Gezelter (1995) Security on the Internet Chapter 23 in Hutt, Bosworth, and Hoytt (1995) "Computer Security Handbook, Third Edition", Wiley, section 23.6(b), pp 23-12, et seq.

[2] Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing. IETF. May 2000. BCP 38. RFC 2827. https://tools.ietf.org/html/rfc2827. Retrieved 18 Feb 2014.

[3] Ingress Filtering for Multihomed Networks. IETF. March 2004. BCP 84. RFC 3704. https://tools.ietf.org/html/rfc3704. Retrieved 18 Feb 2014.

[4] Barry Greene (2012년 6월 11일). “Everyone should be deploying BCP 38! Wait, they are …”. senki.org.

[1]

[2]

[3]

[4]