사설 네트워크를 외부로부터 보호하기 위해 공중 네트워크와 사설 네트워크 사이에 설치된 일종의 벽
인터넷 기반 공격으로부터 내부 네트워크를 보호하고 보안과 감사를 할 수 있는 길목을 한군데로 모은다.
2) 특징
접근제어 목록(ACL)을 통해 네트워크에 전송되는 트래픽에 대한 보안 정책 설정
사용자에게 가능한 한 투명성을 보장하면서 위험 지대를 줄이고자 하는 적극적인 보안 대책 제공
기업의 네트워크 보안 정책을 지원하고 집행하는 장비
특별한 형태의 참조 모니터
(2) 방화벽의 기능 및 역할
1) 개요
내/외부 네트워크 사이에서 접근제어 정책을 구현하는 시스템
내부 네트워크를 보호하는 역할을 충족시키기 위해서 침입차단시스템은 여러 기능을 제공하기 위한 보안 정책 설정해야 한다.
2) 방화벽의 기능
- 접근 통재
- 사용자 인증
- 감사 및 로그 기능
- 프라이버시 보호
- 서비스 통제
- 데이터 암호화
3) 방화벽의 역할
- 취약한 서비스로부터의 보호
- 집중된 보안
- 비밀성 향상
(3) 방화벽의 한계점
- 방화벽은 악성 소프트웨어 침투 방어에 한계가 있다.
- 방화벽은 악의적인 내부 사용자의 공격을 막을 수 없다.
- 방화벽은 자신을 통화하지 않은 통신에 대한 제어 역시 불가능하다.
- 방화벽은 전혀 새로운 형태의 공격을 막을 수 없다.
2. 침입차단시스템의 유형 분류
(1) 개요
네트워크 계층과 전송 계층에서 수행되는 패킷 필터링 시스템과 응용 계층에서 수행되는 응용 게이트웨이 방식의 침입차단시스템으로 구분된다.
패킷 필터링 시스템은 수신된 패킷의 TCP/IP 헤더 부분만을 이용하여 침입 차단 기능을 수행하는 수동적인 침입차단시스템이라 할 수 있다.
응용 게이트웨이 방식의 침입차단시스템은 수신된 패킷을 응용 계층의 서비스 단위로 프락시 기능을 이용하여 침입 차단 기능을 수행하는 능동적인 침입차단시스템이라 할 수 있다.
(2) 패킷 필터링 시스템
1) 기본 개념
일반적으로 패킷 필터링 침입차단시스템에서 사용되는 라우터는 일반적인 라우터에 패킷 필터링 기능을 구현한 것으로서 스크린 라우터 혹은 패킷 필터링 라우터라고 불린다.
패킷 필터링 시스템은 발신지 주소와 목적지 주소, 그리고 사용하고 있는 세션과 애플리케이션 프로토콜에 기반 해서 데이터의 흐름을 통제한다.
2) 패킷 필터링 방법
패킷의 IP 주소와 서비스 종류에 대한 정보르 이용하여 설정된 보안 규칙에 의해 내부 네트워크를 보호하는 방법
- 패킷 필터링을 위하여 사용되는 정보
발신지 IP 주소와 목적지 IP 주소
발신지 포트 번호와 목적지 포트 번호
트래픽의 방향(인바운드 혹은 아웃바운드)
프로토콜의 형태(IP, TCP, UDP, IPX 등)
패킷의 상태(SYN 혹은 ACK)
- IP 주소를 이용한 패킷 필터링
- 서비스를 이용한 패킷 필터링
3) 패킷 필터링의 장점
- 단순성(simplicity)
- 고속 처리(Fast Processing)
- 투명성(transparency)
4) 패킷 필터링의 단점
- 응용 서비스별로 정교한 제어가 불가능
- 로그 기능과 감사 기능 부족
- 고급 사용자 인증 구조 지원하지 않는다.
- 네트워크 계층구조 스푸핑 같은 TCP/IP 명세와 프로토콜 스택 안의 문제점을 이용하는 공격이나 그것을 악용하는 공격에 취약하다.
- 패킷 단편화 공격을 탐지할 수 없다.
5) NAT(Network Address Translation)
패킷 필터링과 상태 유지 방화벽은 NAT라 불리는 제2의 보안체계를 제공
사설 주소와 범용 주소의 매핑을 제공하고 동시에 가상 사설 네트워크를 지원하는 기술
- Static NAT
사설 주소와 외부주소 2개의 열만 가지는 것
나가는 패킷의 목적지 주소를 변경할 때 라우터는 패킷이 어디로 가는지 목적지 주소를 표기
- Dynamic NAT
하나의 범용 주소만 사용한다면 하나의 외부 호스트에 하나의 사설 네트워크 호스트만 접속
- Port Address Translation
외부 서버 프로그램과 사설 네트워크의 호스트 간에 다중 연결을 설정하기 위해서는 변환 데이터에 더 많은 정보 필요
변환 테이블에 2개 대신 5개의 열이 있다면 근원지와 수신지의 포트 주소와 전송 계층 프로토콜을 포함하여 모호성을 제거
(3) 스테이트풀 패킷 검사 침입차단시스템
1) 개요
TCP 연결에 관한 정보 기록
TCP 순서번호를 추적해서 순서번호를 이용한 세션 하이재킹 같은 공격 막는다.
네트워크와 전송 계층에서 동작
특징
각각의 그리고 모든 통신 채널을 추적하는 상태 테이블을 관리
UDP와 ICMP와 같은 비연결지향적 프로토콜을 추적하는 데이터 제공
패킷 안의 데이터 상태와 문맥을 갱신하고 저장
2) 장단점
상태 조사 방화벽은 패킷 필터링 방화벽과 동일한 성능을 수행하고 패킷 상태 정보에 대한 보안성을 높일 수 있다.
또한, 네트워크 계층 이하에서 동작하는 Stateful Packet Inspector 모듈을 통하여 전체 계층에 대한 상태를 조사할 수 잇으며 사용자의 특별한 설정 없이 투명성 제공
그러나 SYN 패킷의 검사를 시작으로 상태 테이블을 유지시키는 방법을 사용하기 대문에 연결 요청의 첫 패킷 헤더가 공격당할 경우에는 잘못된 상태 테이블을 구성할 수 있는 단점이 있다.
(4) 프락시 방화벽(Proxy)
1) 프락시(Proxy) 서비스
장점
단점
- 가능하면 응용프로그램 계층까지 전체적으로 패킷 안의 정보를 검사 - 패킷 필터링보다 나은 보안을 제공 - 보호되는 시스템과 보호되지 않는 시스템 사이의 연결을 차단
- 몇몇 프락시 방화벽은 제한된 응용프로그램 번호만을 지원한다. - 트래픽 성능이 저하된다. - 응용프로그램 기반 프락시 방화벽은 확장성과 성능에 대한 논점을 일으킨다. - 클라이언트/서버 모델을 깨뜨리며, 보안을 위해서는 바람직하지만 몇몇의 경우 기능상의 단점이 있다.
2) 배스천 호스트(Bastion Host)
침입차단 S/W가 설치되어 내, 외부 네트워크 사이에서 게이트웨이 역할을 수행하며 철저한 보안 방어기능이 구축되어 있는 컴퓨터시스템을 말한다.
3) 배스천 호스트 설계와 구축의 기본 원리
- 단순한 구조
- 비상 대비책 강구
- 로그 백업 기능
4) 응용프로그램 수준 프락시 방화벽(Application Level Proxy, 응용계층 게이트웨이)
패킷을 응용프로그램 계층까지 검사
패킷 전체를 이해하고 패킷 내의 내용에 기반을 두어 접근 결정을 내린다.
FTP GET 명령어와 FTP PUT 명령어를 구분하며, 이렇게 세분화된 수준의 정보를 바탕으로 점근 결정을 내린다.
특징
응용 서비스마다 각각 다른 응용 게이트웨이를 구현하여 보다 안전하게 내부 네트워크의 시스템을 보호할 수 있다.
응용 서비스 사용에 따른 기록 및 감사 추적 가능, 강력한 인증 서비스 제공, 융통성 좋음
스푸핑 공격과 다른 정교한 공격에 대해 대응할 수 있다.
장단점
높은 대역폭 혹은 실시간 응용프로그램에 일반적으로 적합하지 않다.
새로운 네트워크 응용프로그램과 프로토콜의 지원에 제한적이다.
응용 서비스별로 별도의 프락시를 필요로 한다.
5) 회선 레벨 게이트웨이(circuit-level gateway)
SOCKS 프로토콜을 사용하는 프락시 서버
외부와 내부 네트워크 사이에 안전한 프락시 데이터 채널을 설정하기 위해 메커니즘을 구축하고, 내부 네트워크에 있는 호스트를 보호하는 목적으로 사용
내부 네트워크의 호스트 보호를 목적으로 한다.
서비스에 대하여 유연하게 대처할 수 있으며 실제 클라이언트 요청이 전송 또는 세션 계층에서 이루어지므로 서비스마다 개별 프락시 서버를 둘 필요가 없다.
장단점
장점은 응용 트래픽에 대한 조사가 필요 없으므로 응용 게이트웨이 방화벽에 비해 처리 속도가 빠르다
높은 수준의 보안 서비스를 제공
응용 트래픽을 조사하지 않으므로 응용 서비스를 사용하여 공격용 트래픽을 전송할 수 있는 신뢰할 수 없는 사용자에 대해 사용할 경우 위험이 따른다.
3. 침입차단시스템의 종류(구축 형태)
1) 스크리닝 라우터 구조(Screening Router Architecture)
각 인터페이스에 들어오고 나가는 패킷을 필터링하여 내부 서버로의 접근을 가려내는 역할
연결에 대한 요청이 입력되면 IP, TCP/UDP의 패킷 헤더를 분석하여 송신지/목적지의 주소와 포트번호, 제어필드의 내용을 분석하고 패킷 필터 규칙에 적용하여 트래픽을 통과시킬 것인지 아니면 차단할 것인지를 판별하는 방법이다.
장점
단점
- 구조가 간단하고, 장비 추가비용 소요가 없다.
- 네트워크 계층에서 동작하므로 클라이언트와 서버에 변화가 없어도 된다.
- 하나의 스크리닝 라우터로 보호하고자 하는 네트워크 전체를 동일하게 보호할 수 없다.
- 네트워크 계층과 트랜스포트 계층에 입각한 트래픽만을 방어할 수 있다.
- 세부적인 규칙 적용이 어렵고 많은 규칙을 적용할 경우 라우터에 부하가 걸려 대역폭을 효과적으로 이용할 수 없다 . - 인증기능 수행은 불가능하며 내부구조를 숨기기 어렵고, 1개의 장애물밖에 없어 방어의 깊이가 약하다.
- 실패한 접속에 대한 로깅을 지원하지 않으며, 패킷 필터링 규칙에 대한 검증이 어렵다.
2) 이중 네트워크 호스트 구조(Dual-Homed Host Architecture)
듀얼홈드는 두 개의 인터페이스를 가지는 장비를 말하며, 하나의 인터페이스는 외부 네트워크와 연결되고 다른 인터페이스는 내부 네트워크로 연결되며, 라우팅 기능이 없는 방화벽을 설치하는 형태
듀얼홈드 게이트웨이가 배스천호스트 역할을 수행하며 네트워크들이 서로 데이터를 공유할 수 있게 도와줌으로써, 여러 개의 네트워크가 동시에 통신할 수 있도록 지원하는 변환기 역할을 한다.
네트워크의 모든 패킷을 검사 및 필터링해야하기 때문에 상당히 높은 성능의 시스템이 요구되며 소규모 네트워크에 적합하다.
3) 스크린드 호스트 게이트웨이 구조(Screened Host Gateway)
듀얼-홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 내부 네트워크에 놓여 있는 배스천호스트와 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성
패킷 필터링 또는 스크리닝 라우터의 한 포트를 외부 네트워크에 연결, 다른 포트는 내부 네트워크에 연결하는 구조
4) 스크린드 서브넷 구조(Screened Subnet Architecture)
스크리닝 라우터들 사이에 듀얼 홈드 게이트웨이가 위치하는 구조로 인터넷과 내부 네트워크 사이에 DMZ라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식
4. iptables
1) 개요 및 주요 기능
리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 툴이며, rule 기반의 패킷 필터링 기능을 제공
- 공유 : 네트워크는 자원 및 작업부하의 공유를 가능하게 하므로, 더 많은 수의 사용자가 접근 가능하다.
- 시스템의 복잡성 : 네트워크 운영/제어 시스템은 단일 컴퓨터 시스템을 위한 OS보다 휠씬 복잡할 가능성이 높다
2) 네트워크 위협의 유형
직접적인 파괴나 도난 같은 물리적인 위협
네트워크에 대한 지식을 가진 사람에 의한 기술적 위협
- 수동적 공격 : 통신회선상의 정보를 무단으로 취득하는 행위
- 능동적 공격 : 통신회선상의 정보를 변조, 위조하는 행위
2. 네트워크 기반 보안위협 및 대응책
(1) 서비스 거부공격(DoS)
1) DoS(Denial of Service) 공격의 정의
정당한 사용자가 정보 시스템의 데이터나 자원을 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로, 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해하는 공격 방식
서비스 거부(DoS : Denial of Service) 공격은 공격자가 단일 컴퓨터를 통해 공격하는 경우
분산 서비스 거부(DDoS : Distributed Denial of Service) : 공격자가 물리적으로 분산된 다수의 컴퓨터를 이용하여 공격하는 형태
2) TCP SYN Flooding Attack
TCP 연결 설정 과정 중에 3-Way Handshaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격으로 공격대상 시스템은 외부로부터 접속 요청을 더 이상 받아들일 수가 없게 되어 정상적인 서비스를 제공할 수 없게 된다.
즉, 공격자가 다수의 syn 신호를 공격대상자에게 전송하면 공격대상자는 syn/ack 신호를 공격자에게 전달하게 되는데 이때 공격자가 ack 신호를 반송하지 않으면 공격대상자의 시스템은 일정 시간동안 신호를 기다린다.
3) SMURF Attack
광범위한 효과로 도스 공격 중에서 가장 피해가 크며, 가장 인기 있는 공격 형태 중 하나로서 IP 위장과 ICMP의 특징을 이용한 공격
스머프 DoS 공격은 공격자가 출발지 IP 주소를 목표 시스템으로 스푸핑하고 목적지 주소를 직접 브로드캐스트 주소로 설정한 Ping 메시지를 송신하고, Ping 메시지를 수신한 네트워크 내의 모든 시스템이 Ping 응답 메시지를 출발지 주소인 공격 목표 시스템으로 동시에 전송함으로써 공격 목표를 마비시킨다.
4) Flooding Attack
- ICMP Flood
ICMP echo request를 사용하는 ping flood 공격은 전통적인 ICMP flooding 공격
- UDP Flood
UDP의 비연결성 및 비신뢰성 때문에 공격이 용이한 방법
echo와 chargen 서비스를 이용
5) Land Attack
패킷을 전송할 때 출발지 IP 주소와 목적지 IP 주소값을 똑같이 만들어서 공격 대상에 보내는 것
6) Ping of Deatch
ICMP 패킷을 정상 크기(65,535 bytes)보다 아주 크게 만드는 것이다.
크게 만들어진 패킷은 네트워크를 통해 라우팅되어 공격 네트워크에 도달하는 동안 아주 작은 조각으로 쪼개진다. 그리고 공격 대상은 조각화된 패킷을 모두 처리해야 하므로 정상적인 ping 처리보다 부하가 훨씬 많이 걸린다.
7) Teardrop Attack
네트워크상에서 IP가 정상적으로 패킷을 전송할 때 IP 단편화가 발생하게 된다. 수신자는 재조립을 통해 단편화된 데이터를 복구하게 된다.
이때 재조립 시에 정확한 조립을 위해 오프셋(Offset)이란 값을 더하게 되어 있는데, 이 오프셋 값을 단편화 간에 중복되도록 고의적으로 수정하거나 정상적인 오프셋 값보다 더 큰 값을 더해 그 범위를 넘어서는 오버플로우를 일으켜 시스템의 기능을 마비시켜 버리는 기법이다.
8) Inconsistent Fragmentation 공격
- Bonk
패킷을 프래그먼트하여 전송할 때 패킷을 조작하여 결과적으로 부하를 증가시키는 공격
처음 패킷을 1번으로 보낸 후 다음 패킷을 보낼 때 순서번호를 모두 1번으로 조작하여 전송하는 공격
- Boink
Bonk를 수정한 공격으로, 처음 패킷을 1번으로 보낸 후 다음 패킷을 100번, 다음 패킷을 200번 등 정상적으로 보내다가 20번째 패킷을 2002, 21번째 패킷을 100, 22번째 패킷을 다시 2002 등으로 중간에 패킷 시퀀스 번호를 비정상적인 상태로 보내는 공격기술
(2) DDoS 공격
1) 개요
여러 대의 컴퓨터를 일제히 동작시켜 특정 사이트/시스템을 공격하여 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크 성능 저하나 시스템 마비를 가져오게 하는 해킹 방법
피해 양상이 상당히 심각하지만 확실한 대책은 없다. 또한 공격자의 위치와 구체적인 발원지를 파악하는 일은 거의 불가능에 가깝다
2) 대응 방안
- 공격 예방 및 선취(공격 이전)
- 공격 탐지 및 필터링(공격 중)
- 공격 근원지 역추적 및 확인(공격 후)
3) DDoS 공격의 사례
- 트리누(Trinoo) 공격
- TFN(Tribed Flood Network) 공격
- Stacheldraht 공격
- TFN2K 공격
(3) 네트워크 스캐닝
1) 사이버 공격을 위한 준비활동
사이버 공격을 위한 정보 수집은 풋프린팅, 스캐닝, 목록화의 3단계 과정을 거친다.
풋프린팅 : 신문, 게시판 혹은 네트워크 검색, 포털 검색 등의 방법을 통해 정보 수집
스캐닝 : 핑, 포트 스캔, 운영체제 확인 등의 방법으로 시스템 종류, IP 주소, 서비스 등의 세부적 내용 수집
목록화 : 수집된 정보를 토대로 라우팅 테이블, SNMP 정보 등 좀 더 실용적인 정보 수집하여 취약점 분석 및 공격방법 결정
3) 포트 스캔 공격 종류
- Sweep
특정 네트워크에 대하여 해당 네트워크에 속해있는 시스템의 유무를 판단할 수 있는 기법
이를 통해 목표 대상 기관에서 사용하거나 소유하고 있는 IP 주소와 네트워크 범위를 알아낼 수 있다.
ex) ICMP Swepp, TCP Sweep, UDP Sweep
- Open Sacn
시스템 자체의 활성화 여부뿐만 아니라, 스캔하는 포트에 해당하는 서비스의 활성화 여부를 조사할 수 있는 방법
TCP Open 스캔과 UDP Open 스캔으로 나뉜다.
TCP Open은 TCP Full Open 스캔과 TCP Half Open 스캔으로 나뉜다.
- Stealth Scan
TCP 헤더를 조작하여 특수한 패킷을 만든 후 스캔 대상 시스템에 보내 그 응답으로 포트 활성화 여부 알아내는 기법
ex) TCP FIN 스캔, TCP ACK 스캔, TCP 단편화 스캔 등이 있다.
4) 대표적인 스캔 도구
- NMap(Network Mapper)
모든 운영체제에서 사용할 수 있으며 , 운영체제의 종류 및 사용 서비스에 대한 정보, FTP 서버의 취약점을 이용한 bounce 공격을 수행할 수 있는 스캔 도구이다.
5) 운영체제의 탐지(OS Fingerprinting)
공격대상 시스템이 사용하는 운영체제에 따라 취약점의 유형이 다르기 때문에 공격자가 사용할 수 있는 공격 수단에 차이가 있다. 따라서 사이버 공격자는 목표 시스템의 OS의 종류와 버전을 파악하기 위해 다양한 형태의 스캐닝 작업을 수행한다.
OS의 종류와 버전을 파악하기 위한 스캐닝 작업을 OS 핑거프린팅이라 하는 이유는 OS 버전마다 표준에서 명시적으로 정의되지 않는 기능의 구현 방법이 다르고, 몇 가지 기능들의 구현 방법의 차이는 OS 버전을 식별할 수 있는 지문 역할을 수행하기 때문이다.
6) 포트 스캔 공격에 대한 대응책
- 불필요한 패킷을 차단하도록 방화벽 설정
- 사용하지 않는 포트는 열어놓지 않음
- 침임탐지시스템을 사용해 포트 스캔 탐지
- 시스템 로그 감사
(4)스니핑(Sniffing)
1) 스니핑 공격의 동작 원리
자신이 아닌 다른 상대방의 패킷 교환을 엿듣는 것을 의미한다.
간단히 말하면 네트워크 트래픽을 도청하는 과정을 스니핑
2) 스니핑의 종류
- 허브 환경에서의 스니핑
- 스위치 환경에서의 스니핑
스위치 재밍
ARP 스푸핑
ARP 리다이렉트
ICMP 리다이렉트
3) 네트워크 스니퍼(sniffer)
패킷 또는 LAN 세그먼트상을 지나는 트래픽을 분석할 수 있는 프로그램 혹은 장비를 가리키는 용어
무차별 모드로 동작하는 네트워크 어댑터를 이용하여 네트워크에 접속해야 하며, 이 어댑터의 드라이버는 데이터를 캡처한다.
(5) 스누핑(Spoofing)
1) 개요
공격자가 자신을 공격 대상자에게 노출시키지 않고 제 3자의 사용자인것처럼 MAC주소, IP 주소 등을 속이는 작업
2) 유형
- IP 스푸핑
- 이메일 스푸핑
- 웹 스푸핑
- DNS 스푸핑
(6) 세션 하이재킹(Session Hijacking)
1) 개요
공격자가 인증 작업 등이 완료되어 정상적으로 통신이 이루어지고 있는 다른 사용자의 세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 게속하는 행위
2) TCP 연결 하이재킹(TCP connection Hijacking)
클라이언트와 서버가 통신을 개시하기 전에 TCP 연결을 먼저 설정하고, TCP 연결을 통해 상호 메시지 교환을 개시한다. 교환되는 메시지에는 사용자 인증을 위한 메시지도 퐇람될 수 있다
다른 사용자의 TCP 연결을 가로채는 TCP 연결 하이재킹은 순서번호 추론 기반의 하이재킹과 스니핑 기반의 하이재킹으로 구분된다.
(7) 각종 Remote Attack
1) Local Attack과 Remote Attack의 비교
Local Attack : 시스템에 접속한 후에 공격자가 원하는 공격을 수행
Remote Attack : 원격 컴퓨터에서 공격대상에 공격을 수행하는 것
2) Trojan과 Exploit
Trojan : 악의적인 프로그램을 건전한 프로그램처럼 포장하기 때문에 일반 사용자들이 의심 없이 자신의 컴퓨터 안에서 이를 실행시킨다.
Exploit : OS에서 버그를 이용하여 루트권한 획득 또는 특정 기능을 수행하기 위한 공격 코드 및 프로그램이다.
