보안으로서의 네트워크 주소 변환의 신화

서비스 제공자 네트워크에서 네트워크 주소 변환(NAT)을 가장 많이 사용하는 곳은 가입자 인터넷 가장자리 지점이지만 불행히도 이 지점은 서비스 제공자 네트워크 내에서 가장 큰 공격 표면이자 가장 큰 위협을 지니고 있습니다. 모바일 네트워크에서는 이러한 풋프린트는 Gi LAN, SGi LAN, 모바일 엣지 등 다양한 용어로 불립니다. 보다 일반적인 용어로 말하면, 순수한 인터넷 연결이 특정 액세스 기술(무선, 케이블, 광섬유 등)을 관리하는 게이트웨이와 만나는 위치입니다. 게이트웨이는 특정 접속 네트워크에서 가입자 연결을 관리하는 데 매우 뛰어나지만, 제한적인 보안 기능이나 과도한 비용으로 인해 보안 제어나 주소 변환을 적용하는 데는 적합하지 않습니다.

과거 서비스 제공자들은 NAT가 가입자 인터넷 에지에서 주소 변환과 보안을 모두 제공할 수 있다는 잘못된 가정 하에 노력해 왔습니다. 보안 커뮤니티는 이런 신화를 없애려고 노력했지만 신화는 여전히 존재하며, 오늘날 공격이 증가하는 환경에서 모바일 및 고정 서비스 제공자는 NAT가 왜 충분하지 않은지 이해해야 합니다. 이러한 이해는 인바운드 트래픽 거부 외에도 가입자 집계 지점에서 다양한 유형의 보안 서비스가 존재한다는 인식에서 시작됩니다.

일반적인 아키텍처 솔루션은 게이트웨이와 인터넷 간의 상태 저장 시스템으로 구성되며, 이를 통해 가입자와 네트워크에 다양한 서비스를 제공할 수 있습니다. 일반적인 보안 서비스 유형은 다음과 같습니다.

• DDoS 보호. 일반적으로 인터넷에서 발생하는 대규모 공격을 방어하기 위한 분산 서비스 거부(DDoS) 공격 완화책은 합법적인 목적이 없는 패킷을 제거하고 일반적인 동작 패턴에서 벗어나는 패킷을 제한하는 것으로 구성됩니다.
• 포트 및 프로토콜 제한. 10년 전만 해도 서비스 제공자는 모든 가입자에게 광범위한 접근성을 제공했습니다. 이를 통해 많은 애플리케이션의 연결성이 향상되었지만, 바이러스와 웜이 확산될 수 있는 좋은 환경이 제공되어 네트워크 리소스가 과도하게 소모되었습니다. 오늘날 대부분의 서비스 제공자는 네트워크에서 일부 프로토콜을 차단하는 동시에, 맬웨어가 번성할 위험을 줄이기 위해 다른 프로토콜의 사용을 제한합니다.
• 인프라 보호. IP 연결의 장점은 IP 주소가 있는 사람이라면 누구나 지구상의 다른 모든 IP 주소와 잠재적으로 통신할 수 있다는 점입니다. 그러나 이를 통해 가입자는 합법적인 이유 없이도 서비스 제공자 네트워크의 시스템에 연결할 수 있는 가능성이 있습니다. 가입자 집계 지점에서 인프라를 보호하기 위한 제어를 구현하는 것은 매우 중요합니다.
• 봇넷 완화. 가입자 중 다수는 언제나 바이러스와 맬웨어에 감염된 시스템을 갖고 있으며, 이 바이러스와 맬웨어는 인터넷의 어딘가에 있는 C&C(명령 및 제어) 시스템과 통신하고 있습니다. 이러한 통신을 제한하면 봇넷 공격에 가입자 장치를 사용하는 경우가 줄어들어 가입자와 네트워크 모두에게 이점이 있습니다.
• 서비스 시행 유형 많은 서비스 제공업체는 가입자가 다양한 유형의 연결을 수행할 수 있도록 다양한 서비스를 제공합니다. 예를 들어, 기업 고객은 무제한 프로토콜 사용과 서버 호스팅 기능을 갖춘 고정 IP 주소가 필요할 수 있습니다. 그러나 낮은 단계의 소비자 서비스에서는 모바일 기기에서 서버를 실행하는 것이 제한될 수 있습니다. 아니면 CPE의 펌웨어와 소프트웨어를 업데이트하기 위한 관리 연결에 특수한 유형의 IP 주소 클래스를 사용할 수도 있습니다. 이동통신 서비스 제공업체가 VoLTE(Voice over LTE)를 구축하는 경우 전용 APN을 사용하게 되는데, 이는 제한된 연결성을 갖춰야 하며, 그렇지 않으면 수익 누출 위험이 상당히 커집니다.

보안 제어에 대한 이 5가지 사례는 모든 것을 망라하는 것은 아니지만, 현대 네트워크의 가입자 집계 지점에 필요한 기본적인 기능 세트를 나타냅니다. 이러한 점을 염두에 두면, NAT 솔루션은 현대적 네트워크를 보호하고 보안하는 데 충분한 기능을 제공하지 못합니다. (회사가 위의 기능 중 하나라도 수행하는 통신사 등급 NAT(CGNAT) 솔루션을 제공하는 경우 NAT만으로는 서비스 제공업체의 가장 귀중한 제품인 사람과 사물을 연결하는 기능을 보호하기에 충분하지 않다는 것을 인정하는 것입니다.) 위에서 언급한 서비스를 통해 가입자 인터넷 에지를 보호하는 적절한 솔루션은 NAT가 아니라 F5® BIG-IP® Advanced Firewall Manager™(AFM)와 같은 통신사급 네트워크 방화벽입니다.

NAT가 보호할 수 없는 다른 많은 보안 위협이 있다는 것을 확립했으므로, 원치 않는 트래픽을 최소한으로 거부하기 위해 NAT를 보안 서비스로 사용하는 것에 대한 기술적, 사업적 신화를 없애 보겠습니다.

NAT는 겹치는 개인 주소 공간에 있는 호스트 간 통신을 원활하게 하기 위해 만들어졌지만, 개별 IP 주소가 사용할 수 있는 것보다 더 많은 네트워크 호스트에 연결을 제공한다는 주 목적으로 널리 배포되었습니다. NAT와 관련된 보안 문제는 오랫동안 기록되어 왔습니다. (IETF(인터넷 엔지니어링 태스크 포스)의 RFC2663 및 RFC2993 의 보안 고려 사항 섹션을 참조하세요). 이런 우려가 IPv6 탄생의 큰 원동력이 되었습니다. 이제 세계가 IPv6로 전환되고 있으므로 IPv6를 사용하는 호스트에는 NAT가 더 이상 필요하지 않습니다. 따라서 IPv6 호스트에 어떠한 보호도 제공할 수 없습니다.

상태 저장 NAT46 또는 NAT64 게이트웨이가 어느 정도 보안을 제공할 수 있다는 주장이 있을 수 있습니다. 그러나 이러한 안보는 부분적이고 단기적일 뿐이다. CGNAT는 한쪽이 IPv6로 변환되지 않은 경우 호스트 간 트래픽을 변환하도록 주로 설계되었습니다. 즉, 궁극적인 목표는 CGNAT 장치를 제거하고 변환 없이 기본 IPv6 트래픽을 허용하는 것입니다. 통신사 수준의 네트워크 방화벽이 없으면 NAT 장치는 사업자가 IPv6를 완전히 마이그레이션하는 데 방해가 됩니다.

또한, 많은 서비스 제공자 네트워크는 이제 IPv4/IPv6 듀얼 스택 구성을 제공하고 있습니다. 이 경우 서비스 제공자가 NAT44를 활성화했더라도 IPv6 인터페이스는 활성화하지 않았으므로 해당 조직은 NAT가 IPv4 인터페이스의 보안에 충분하다고 결정했지만 동일한 호스트가 IPv6 인터페이스에서 완전히 열려 있는 것입니다. 이는 논리적으로 모순됩니다. 정확히 동일한 위협이 두 가지 모두에 적용될 때, 네트워크 설계자가 IPv4에서는 보호가 필요하고 IPv6에서는 필요하지 않다고 믿는 이유는 무엇일까요?

통신사급 네트워크 방화벽은 오늘날 솔루션으로 자리매김해야 합니다. 통신사는 IPv6 변환에 대한 장애물로 보안 부족을 허용하지 않을 것이기 때문입니다. 오늘 CGNAT 포인트 제품을 배포하면 나중에 운영자는 장비와 소프트웨어를 다시 구매하고 네트워크를 재설계해야 하므로 비용이 훨씬 더 많이 발생합니다. 서비스 공급자 네트워크를 변경하는 것은 어려운 과정이기 때문입니다. 반면, 통신사급 네트워크 방화벽에 CGNAT 기능을 구현하면 보안 기능 동등성과 용량 측면에서 IPv6로의 원활한 전환이 보장됩니다.

일반적으로 무상태 NAT는 사용 사례가 드물지만, 일부 특별한 상황에서는 사용될 수 있습니다. 상태 비저장 장치는 가입자 장치의 요청에 관계없이 모든 트래픽을 역방향 NAT가 허용된 포트로 허용합니다. 이들은 상태가 없으므로 NAT를 필요로 하는 호스트에서 보낸 트래픽이 무엇인지 알 수 없습니다. 따라서 모든 반환 트래픽을 허용해야 합니다. 상태 비저장 NAT는 대부분의 NAT 사용 사례에도 적합하지 않으며, 어떤 보안 사용 사례에도 전혀 적합하지 않다는 점은 분명합니다.

상태 저장형 송신 IPv4 NAT는 대부분의 경우 운영자에게 외부에서 시작된 트래픽으로부터 내부 호스트를 부분적으로 보호할 수 있는 기능을 제공합니다. 그러나 이 방법은 내부 호스트에 대한 보호를 제공하지 않으며, NAT 장치에 연결된 다른 네트워크 리소스를 공격하는 내부 호스트에 대한 대응 가능성을 제공하지도 않습니다. 많은 경우, 침해될 내부 호스트 중 다수가 봇넷 명령 및 제어를 위해 인터넷에 접속할 수 있습니다. 드물지만 매우 심각한 사례에서, 이러한 손상된 호스트는 내부 서비스 제공자 네트워크에 대한 고급 공격이나 원치 않는 홍보를 촉발하는 상위 기업이나 정부 기관을 타깃으로 하는 외부 공격을 위한 발사대로 사용됩니다. 이런 종류의 사고가 발생한 후 정리하는 데 드는 비용은 솔루션 비용보다 훨씬 더 큽니다.

상태 저장 수신 IPv4 트래픽은 NAT가 보안 보호 기능을 제공한다고 주장할 수 있는 유일한 트래픽 유형이며, 그것도 특정 조건에서만 가능합니다. 이는 여전히 존재하는 오해이지만, 위의 설명에서 명확히 알 수 있듯이 IPv4 트래픽은 네트워크 호스트가 제시하는 공격 표면의 일부에 불과합니다. 더욱이, 최신 공격 기술은 경로에 NAT 장치가 존재하고 해당 장치를 전복해야 한다고 가정하기 때문에 상태 저장 NAT는 IPv4 유입에 대해서도 많은 보호 기능을 제공하지 못합니다. 호스트의 정적 및 대상 변환은 보안을 제공하지 않습니다.

NAT의 가정된 보안 중 일부는 난독화에 의존하는데, 보안 커뮤니티에서는 이를 실제 솔루션으로 간주하지 않습니다. 난독화는 다른 방법으로 얻을 수 있는 정보를 찾는 것을 더욱 어렵게 만들 뿐이므로 아무것도 방지할 수 없습니다. 상태 저장형 NAT 보안 신화의 또 다른 구성 요소는 그것이 "일방 통행"을 제공한다고 생각하지만 실제로는 그렇지 않다는 것입니다. 상태 저장형 IPv4 NAT가 외부에서 시작된 TCP 트래픽을 거부하는 것은 사실이지만, 그렇다고 해서 외부 호스트가 특정 상황에서 내부 호스트로 트래픽을 보내거나 다른 방법을 사용하여 NAT를 우회할 수 없다는 의미는 아닙니다. 실제로, 대부분의 네트워크 기반 공격은 이를 침해의 필수 조건으로 가정합니다.

이런 우회책을 달성하는 방법은 여러 가지가 있으며, 방화벽을 통해 모두 차단할 수 있습니다. 첫째, 공격자는 타겟팅 공격이나 스윕 공격을 사용하여 NAT 장치의 상태 표에서 열려 있는 포트로 트래픽을 보낼 수 있습니다. 이 공격의 목적은 호스트나 NAT 상태 테이블에서 기존 세션을 무효화하여 서비스 거부(DoS)를 생성하거나, 내부 네트워크를 흔적을 남기거나, 내부 호스트를 손상시키기 위해 타사의 기존 세션에 맬웨어 페이로드를 주입하는 것일 수 있습니다. 설계상 상태 비저장인 UDP 트래픽에는 심각한 문제가 있습니다. 하지만 호스트의 취약성을 감안하면 TCP나 다른 프로토콜에서도 동일한 문제가 해결될 수 있습니다. 또한 NAT는 방화벽이나 고급 보안 장치가 본질적으로 제공하는 프로토콜 적합성, 시퀀스 번호 검사 또는 기타 계층 2 또는 계층 3 DoS 보안 조치를 제공하지 않을 수 있습니다. NAT는 보안 침해가 발생할 경우 대응할 수 있는 도구를 제공하지 않습니다.

통신사급 네트워크 방화벽을 배치하기 위한 비즈니스 논거는 간단합니다. 첫째, 어떤 서비스 제공자도 오늘날의 해롭고 때로는 심각한 보안 침해를 감당할 수 없습니다. 방화벽과 네트워크 주소 변환 서비스가 함께 제공되는 경우가 많습니다. 최신 모바일 네트워크에서 발생할 수 있는 금전적 피해는 수백만 달러를 쉽게 초과할 수 있으며, 일부 공격은 잠재적으로 전체 브랜드를 마비시킬 수도 있습니다.

둘째, NAT 장치만 존재하는 경우, 서비스 제공자는 공격에 대응할 수 있는 도구가 없고 임시방편이 나올 때까지 무기력하게 참아내야 합니다.

마지막으로, 고급 방화벽 장치를 사용하는 현명한 서비스 제공업체는 고객에게 제공하는 서비스에 추가 보안 서비스를 추가할 수 있습니다. 전통적으로 이러한 추가 기능은 비즈니스 자산을 보호해야 한다는 명확한 이유가 있는 대기업 고객을 유치합니다. 이러한 기능을 갖춘 방화벽 장치가 없다면 서비스 제공자는 결코 수익을 창출할 기회를 얻을 수 없습니다. 실제로 고급 보안 기능을 갖춘 NAT 및 방화벽 솔루션을 결합하지 않음으로써 서비스 제공자는 고객이 서비스 제공자의 제품 라인이나 전문성에 차이가 있다고 가정할 수 있도록 합니다.

오늘날의 정교한 공격에 비추어 볼 때 NAT가 상당한 보안을 제공한다는 신화는 종식되어야 합니다. 실제로 기술적 관점에서 NAT는 다음을 제공합니다.

• IPv6 호스트에는 NAT가 필요 없으므로 보안이 없습니다.
• 상태 비저장 NAT 호스트에는 보안이 없습니다.
• 상태 저장 NAT 호스트 아웃바운드 공격에 대한 보안은 없습니다.
• 최신 공격은 NAT 장치가 존재한다고 가정하고 해당 장치를 쉽게 손상시키거나 우회하기 때문에 상태 기반 NAT 호스트 침입 공격에 대한 보호는 최소한입니다.
• 정기적으로 발생하는 보안 공격에 대응할 수 있는 도구가 없습니다.

사업적 측면에서 볼 때, BIG-IP AFM과 같은 통신사급 네트워크 방화벽을 에지 NAT 및 보안 솔루션의 일부로 구축하지 않는 것은 심각하고 악성적인 수익 누출의 위험이 있으며 서비스 제공업체의 혁신 부족을 보여줍니다.

반면, F5에서 제공하는 것과 같이 적절하고 기능이 풍부한 통신사급 방화벽을 구축하는 서비스 제공업체는 네트워크 보안에 대한 현실적인 확신을 얻고, 공격과 관련된 재정적, 평판적 위험을 완화하며, 고객에게 최첨단의 부가가치 보안 서비스를 제공하여 수익을 늘릴 수 있는 기회를 활용할 수 있습니다.