[정보보안기사 PART 05] 네트워크 보안 - 최신 네트워크 보안 동향


Section 31 최신 네트워크 보안 동향

 

1. 최신 보안 기술과 솔루션

 

(1) 역추적 시스템

1) 개요

 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기술을 말한다.

 해커의 실제 위치를 추적하는 기술 : TCP 연결 역추적, 연결 역추적

 IP주소가 변경된 패킷의 실제 송신지를 추적하는 기술 : IP 패킷 역추적, 패킷 역추적

 

2) 역추적 기술

 TCP 연결 역추적 : TCP 연결을 기반으로 우회 공격을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기법으로 호스트 기반 연결 역추적 기술과 네트워크 기반 연결 역추적 기술로 분류된다.

 IP 패킷 역추적 기술 : IP 주소가 변경된 패킷의 실제 송신지를 추적하기 위한 기술, 해커가 전송하는 패킷에 해당 패킷을 전달한 라우터를 표시함으로써 추적할 수 있게 하는 패킷 표시 기법 이용

 

(2) ESM(Enterprise Security Management)

1) ESM의 정의

 기업과 기관의 보안 정책을 반영하고 다양한 보안 시스템을 관제, 운영, 관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템

 각종 네트워크 보안제푸의 인터페이스를 표준화하여 중앙 통합 관리, 침입 종합대응, 통합 모니터링이 가능한 지능형 보안 관리 시스템이다.

 통합보안관제를 위해 구축된 다양한 보안 솔루션/장비에서 발생하는 로그, 보안 이벤트를 취합하고 이들 간에 상호 연관 분석을 함으로써 실시간 보안위협을 파악하고 대응하는 역할을 수행

 

2) ESM의 특징

- 운영관리 측면

   인력 축소 및 운영비용 절감

   운영 관리의 일관성 제공

   보안 관리 효율성 제공

 

- 기술적 측면

   크로스 플랫폼 기반의 오픈 아키텍처로 유연성과 상호 운영성 확보

   개별 보안 솔루션과 ESM의 연계 및 통제를 위한 에이전트 기반의 클라이언트 통제 구조

 

3) ESM의 주요기능

 - 통합 로그 관리

 - 이벤트 필터링

 - 실시간 통합 모니터링, 경보, 상황 전파

 - 로그 분석 및 의사결정 지원

 - 긴급대응

 - 리포팅

 

(3) NAC

1) NAC(Network Access Control)의 정의

 네트워크에 접근하는 접속 단말의 보안성을 검증하여 보안성을 강제화하고 접속을 통제할 수 있는 보안 인프라.

 사용 단말이 내부 네트워크에 접근하기 전에 보안 정책을 준수했는지 여부를 검사해 네트워크 접속을 통제하는 보안 솔루션

 

2) NAC의 필요성

 - 내부원인 보안사고 증가

 - 접속 단말의 다양화

 - 네트워크 통합 보안 관리 요구

 

3) NAC의 주요 기능

 - 접근 제어/ 인증

 - PC 및 네트워크 장치 통제

 - 해킹, 웜, 유해 트래픽 탐지 및 차단

 

(4) SIEM

1) SIEM의 정의

 수많은 IT 시스템 및 보안 시스템에서 발생하는 로그를 분석하여 이상 징후를 파악하고, 그 결과를 경영진에게 보고할 수 있도록 해주는 시스템

 

2) SIEM의 기능

 실시간 위험 탐지 및 대응을 위해 이벤트 로그 데이터를 실시간으로 수집하고 분석하는 기능을 가지고 있으며, 침해 공격 로그에 대한 포렌식과 컴플라이언스 또는 법적 조사를 위해 해당 데이터의 신속한 검색 및 리포팅 기능도 제공

 데이터 정규화 과정을 통해 데이터를 표준화하여 분석을 수행

 

(5) 패치관리시스템(PMS, Patch Management System)

1) 개요

 시스템이 관리하는 PC에 소프트웨어 업데이트 설치와 운영체제 패치 등을 유도하는 기업용 솔루션

 

2) 패치관리시스템의 구조

 PMS 서버 : 패치를 배포하고 기업 보안 정책에 따라 이르 위반한 사용자 PC를 인식하고 ㅣ들에게 강제적으로 정책에 맞는 수준의 보안을 적용하는 역할 수행

 PMS 에이전트 : 서버로부터의 패치를 적용하고 사용자 PC의 상태를 점검해서 보안 정책 위반 여부 정보를 서버에 제공하는 역할을 수행

 관리용 콘솔

 

 

 

2. 최신 보안 주제

 

(1) APT(Advanced Persistent Threat)

1) 개요

 특정 대상을 겨냥해 다양한 공격 기법을 이용하엿 장기간 지속적으로 공격하는 것을 말한다.

 제로데이 공격과 같이 기존에 알려지지 않았던 취약점을 이용한 공격

 특정 시스템이나 네트워크 장비 같은 핵심 장비에서 기존에 알려지지 않은 취약점이 발생하고 그 취약점에 대한 패치가 발표되기도 전에 공격을 하는 수법을 말한다.

 

2) 주요 침투 기법

- 스피어 피싱 공격

- 드라이브-바이-다운로드 공격

- 워터링 홀 공격

- USB 메모리 스틱을 이용한 기법

 

(2) 랜섬웨어(Ransomware)

1) 정의

 이용자의 데이터를 암호화하고 복구를 위한 금전을 요구하는 악성코드

 몸값(Ransome)과 소프트웨어(Software)의 합성어

 

2) 특징

 지정한 기간 내에 금전 지불 등 요구사항을 처리하지 않으면 요구 금액이 증가할 수 있고 감염 시스템과 암호화된 데이터는 사용할 수 없거나 삭제될 수 없다.

 ex) 워너크라이, 키(Locky), 크립트XXX, 케르베르, 크립토락커, 테슬라크립트 등

 

3) 감염 경로

 - 신뢰할 수 없는 사이트

 - 스팸메일 및 스피어 피싱

 - 파일 공유 사이트

 - 사회관계망서비스(SNS)

 - 네트워크 망

 

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

[정보보안기사 PART 05] 네트워크 보안 - VPN


Section 30 VPN

 

1. VPN(Virtual Private Network)

 

(1) 개요

1) 등장배경

 인터넷을 기반으로 한 기업 업무 환경의 변화에 기인한다

 독립적인 네트워크 구축을 위해 기존 전용선을 이용하는 사설망은 비용을 포함하여 여러 가지 한계를 갖는다.

 공중 네트워크는 보안과 관련해서는 서비스를 제공하지 않기 때문에 중요한 문제나 데이터를 전달하기에는 부족한 점이 있었다.

 

2) VPN의 정의

 공중 네트워크를 이용하여 사설 네트워크가 요구하는 서비스를 제공할 수 있도록 네트워크를 구성한 것이기 때문에 가상 사설 네트워크라고 한다.

 즉, 인터넷과 같은 공중 네트워크를 마치 전용회선처럼 사용할 수 있게 해주는 기술 혹은 네트워크를 통칭한다.

 주소 및 라우터 체계의 비공개, 데이터 암호화, 사용자 인증 및 사용자 액세스 권한 제한 등의 기능 제공

 

3) 특징

 - 투명성 제공

 - IPSec이나 TLS/SSL 등의 보안 프로토콜을 네트워크 관리자의 구성이 아닌 사용자의 요구로 적용시킬 수 있다.

 - 추가적인 구축비용 부담 적다

 - 서비스 품질, 보안, 확장성, 정책 적용, 다른 네트워크와의 연동, 성능에 대한 최소 요구사항

 

4) VPN 구현 기술

 - 터널링

 - 암호화 및 인증

 - 접근제어

 

(2) VPN의 분류

1) 구성 형태에 따른 분류

 - Intranet VPN

 - Extranet VPN

 - Remote Access VPN

 

(3) VPN의 구성

1) 터널링

 송신자와 수신자 사이의 전송로에 외부로부터의 침입을 막기 위해 일종의 파이프를 구성하는 것

 터널링되는 데이터를 페이로드라고 부르며 터널링 구간에서 페이로드는 그저 전송되는 데이터로 취급

 터널리 지원하는 프로토콜 PPTP, L2TP, L2F, MPLS, IPSec 등이 있다.

 

2) SSL(Secure Sockets Layer) VPN

 -  IPSec VPN에 비해 설치 및 관리가 편리하고 비용 절감도 가능

 - 클라이언트와 서버 사이의 안전한 통신 채널 관리를 담당

 - 데이터를 암호화와 인증을 통해 송수신 경로의 안전성 보장

 - PKI의 공개키/개인키를 이용한 웹사이트 통신 보안 가능

 

3) 인증

 - 데이터 인증 : MD5, SHA-1 등과 같은 해시 알고리즘을 이용

 - 사용자 인증 : Peer-Peer 방식, 클라이언트-서버 방식

 

 

 

2. IPSec(IP Security Protocol)

 

(1) 개요

1) 기본 개념

 IP 계층의 보안 프로토콜로서 호스트와 호스트 간, 호스트와 보안 게이트웨이 간, 보안 게이트웨이와 보안 게이트웨이 간의 경로를 보호하기 위한 프로토콜

 인증 헤더, 프로토콜과 ESP 프로토콜을 사용하여 보안 연계 서비스 제공

 IPv4와 IPv6를 지원

 

2) 특징

 IPSec는 네트워크 계층 보호를 위해 널리 사용되고 있는 표준이다.

 IPSec는 강력한 암호화와 인증 방식을 가지며, 두 컴퓨터 사이의 터널화된 통신을 가능하도록 한다.

 IPSec 보안은 기능적 영역을 3가지 분야로 나눌 수 있는데, 그것은 인증, 기밀성, 키관리 이다.

 

3) IPSec 서비스

- 접근 제어

- 비연결 무결성

- 데이터 발신처 인증

- 재전송 패킷의 거부

- 기밀성

- 제한된 트래픽 흐름의 기밀성

 

(2) AH(Authentication Header, 인증 헤더) 프로토콜

1) AH 보안 서비스

 - 무결성

 - 인증

 - 재전송 공격에 대한 보호

 

(3) ESP(Encapsulating Security Payload) 프로토콜

1) ESP 보안 서비스

 IP ESP 프로토콜은 IP 데이터그램에 암호화 기능을 부가한 것

  - 기밀성

  - 재전송 공격 방지 서비스

  - 제한된 트래픽 흐름 기밀성

  - 무결성

  - 인증

 

(4) AH와 ESP의 비교

1) AH vs ESP

 

(5) 보안 연계(SA, Security Association, 보안 연관)

 AH 프로토콜과 ESP 프로토콜을 이용하여 다양한 보안 서비스를 제공하기 위하여 보안 프로토콜 각각에 대한 보안 매개변수집합을 정의하는 역할

 

 

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

[정보보안기사 PART 05] 네트워크 보안 - 침입차단시스템(Firewall)


Section 29 침입차단시스템(방화벽, Firewall) 개요

 

1. 침입차단시스템(방화벽, Firewall) 개요

 

(1) 기본 개념

1) 정의

 사설 네트워크를 외부로부터 보호하기 위해 공중 네트워크와 사설 네트워크 사이에 설치된 일종의 벽

 인터넷 기반 공격으로부터 내부 네트워크를 보호하고 보안과 감사를 할 수 있는 길목을 한군데로 모은다.

 

2) 특징

 접근제어 목록(ACL)을 통해 네트워크에 전송되는 트래픽에 대한 보안 정책 설정

 사용자에게 가능한 한 투명성을 보장하면서 위험 지대를 줄이고자 하는 적극적인 보안 대책 제공

 기업의 네트워크 보안 정책을 지원하고 집행하는 장비

 특별한 형태의 참조 모니터

 

(2) 방화벽의 기능 및 역할

1) 개요

 내/외부 네트워크 사이에서 접근제어 정책을 구현하는 시스템

 내부 네트워크를 보호하는 역할을 충족시키기 위해서 침입차단시스템은 여러 기능을 제공하기 위한 보안 정책 설정해야 한다.

 

2) 방화벽의 기능

 - 접근 통재

 - 사용자 인증

 - 감사 및 로그 기능

 - 프라이버시 보호

 - 서비스 통제

 - 데이터 암호화

 

3) 방화벽의 역할

 - 취약한 서비스로부터의 보호

 - 집중된 보안

 - 비밀성 향상

 

(3) 방화벽의 한계점

 - 방화벽은 악성 소프트웨어 침투 방어에 한계가 있다.

 - 방화벽은 악의적인 내부 사용자의 공격을 막을 수 없다.

 - 방화벽은 자신을 통화하지 않은 통신에 대한 제어 역시 불가능하다.

 - 방화벽은 전혀 새로운 형태의 공격을 막을 수 없다.

 

 

2. 침입차단시스템의 유형 분류

 

(1) 개요

 네트워크 계층과 전송 계층에서 수행되는 패킷 필터링 시스템과 응용 계층에서 수행되는 응용 게이트웨이 방식의 침입차단시스템으로 구분된다.

 패킷 필터링 시스템은 수신된 패킷의 TCP/IP 헤더 부분만을 이용하여 침입 차단 기능을 수행하는 수동적인 침입차단시스템이라 할 수 있다.

 응용 게이트웨이 방식의 침입차단시스템은 수신된 패킷을 응용 계층의 서비스 단위로 프락시 기능을 이용하여 침입 차단 기능을 수행하는 능동적인 침입차단시스템이라 할 수 있다. 

 

(2) 패킷 필터링 시스템

1) 기본 개념

 일반적으로 패킷 필터링 침입차단시스템에서 사용되는 라우터는 일반적인 라우터에 패킷 필터링 기능을 구현한 것으로서 스크린 라우터 혹은 패킷 필터링 라우터라고 불린다.

 패킷 필터링 시스템은 발신지 주소와 목적지 주소, 그리고 사용하고 있는 세션과 애플리케이션 프로토콜에 기반 해서 데이터의 흐름을 통제한다.

 

2) 패킷 필터링 방법

 패킷의 IP 주소와 서비스 종류에 대한 정보르 이용하여 설정된 보안 규칙에 의해 내부 네트워크를 보호하는 방법

 - 패킷 필터링을 위하여 사용되는 정보

    발신지 IP 주소와 목적지 IP 주소

    발신지 포트 번호와 목적지 포트 번호

    트래픽의 방향(인바운드 혹은 아웃바운드)

    프로토콜의 형태(IP, TCP, UDP, IPX 등)

    패킷의 상태(SYN 혹은 ACK)

 

- IP 주소를 이용한 패킷 필터링

- 서비스를 이용한 패킷 필터링

 

3) 패킷 필터링의 장점

 - 단순성(simplicity)

 - 고속 처리(Fast Processing)

 - 투명성(transparency)

 

4) 패킷 필터링의 단점

 - 응용 서비스별로 정교한 제어가 불가능

 - 로그 기능과 감사 기능 부족

 - 고급 사용자 인증 구조 지원하지 않는다.

 - 네트워크 계층구조 스푸핑 같은 TCP/IP 명세와 프로토콜 스택 안의 문제점을 이용하는 공격이나 그것을 악용하는 공격에 취약하다.

 - 패킷 단편화 공격을 탐지할 수 없다.

 

5) NAT(Network Address Translation)

 패킷 필터링과 상태 유지 방화벽은 NAT라 불리는 제2의 보안체계를 제공

 사설 주소와 범용 주소의 매핑을 제공하고 동시에 가상 사설 네트워크를 지원하는 기술

 

- Static NAT

 사설 주소와 외부주소 2개의 열만 가지는 것

 나가는 패킷의 목적지 주소를 변경할 때 라우터는 패킷이 어디로 가는지 목적지 주소를 표기

 

- Dynamic NAT

 하나의 범용 주소만 사용한다면 하나의 외부 호스트에 하나의 사설 네트워크 호스트만 접속

 

- Port Address Translation

 외부 서버 프로그램과 사설 네트워크의 호스트 간에 다중 연결을 설정하기 위해서는 변환 데이터에 더 많은 정보 필요

 변환 테이블에 2개 대신 5개의 열이 있다면 근원지와 수신지의 포트 주소와 전송 계층 프로토콜을 포함하여 모호성을 제거

 

(3) 스테이트풀 패킷 검사 침입차단시스템

1) 개요

 TCP 연결에 관한 정보 기록

 TCP 순서번호를 추적해서 순서번호를 이용한 세션 하이재킹 같은 공격 막는다.

 네트워크와 전송 계층에서 동작

 

 특징

   각각의 그리고 모든 통신 채널을 추적하는 상태 테이블을 관리

   UDP와 ICMP와 같은 비연결지향적 프로토콜을 추적하는 데이터 제공

   패킷 안의 데이터 상태와 문맥을 갱신하고 저장

 

2) 장단점

 상태 조사 방화벽은 패킷 필터링 방화벽과 동일한 성능을 수행하고 패킷 상태 정보에 대한 보안성을 높일 수 있다.

 또한, 네트워크 계층 이하에서 동작하는 Stateful Packet Inspector 모듈을 통하여 전체 계층에 대한 상태를 조사할 수 잇으며 사용자의 특별한 설정 없이 투명성 제공

 그러나 SYN 패킷의 검사를 시작으로 상태 테이블을 유지시키는 방법을 사용하기 대문에 연결 요청의 첫 패킷 헤더가 공격당할 경우에는 잘못된 상태 테이블을 구성할 수 있는 단점이 있다.

 

(4) 프락시 방화벽(Proxy)

1) 프락시(Proxy) 서비스

장점 단점
- 가능하면 응용프로그램 계층까지 전체적으로 패킷 안의 정보를 검사
- 패킷 필터링보다 나은 보안을 제공
- 보호되는 시스템과 보호되지 않는 시스템 사이의 연결을 차단
- 몇몇 프락시 방화벽은 제한된 응용프로그램 번호만을 지원한다.
- 트래픽 성능이 저하된다.
- 응용프로그램 기반 프락시 방화벽은 확장성과 성능에 대한 논점을 일으킨다.
- 클라이언트/서버 모델을 깨뜨리며, 보안을 위해서는 바람직하지만 몇몇의 경우 기능상의 단점이 있다.

 

2) 배스천 호스트(Bastion Host)

 침입차단 S/W가 설치되어 내, 외부 네트워크 사이에서 게이트웨이 역할을 수행하며 철저한 보안 방어기능이 구축되어 있는 컴퓨터시스템을 말한다.

 

3) 배스천 호스트 설계와 구축의 기본 원리

 - 단순한 구조

 - 비상 대비책 강구

 - 로그 백업 기능

 

4) 응용프로그램 수준 프락시 방화벽(Application Level Proxy, 응용계층 게이트웨이)

 패킷을 응용프로그램 계층까지 검사

 패킷 전체를 이해하고 패킷 내의 내용에 기반을 두어 접근 결정을 내린다.

 FTP GET 명령어와 FTP PUT 명령어를 구분하며, 이렇게 세분화된 수준의 정보를 바탕으로 점근 결정을 내린다.

 

 특징

   응용 서비스마다 각각 다른 응용 게이트웨이를 구현하여 보다 안전하게 내부 네트워크의 시스템을 보호할 수 있다.

   응용 서비스 사용에 따른 기록 및 감사 추적 가능, 강력한 인증 서비스 제공, 융통성 좋음

   스푸핑 공격과 다른 정교한 공격에 대해 대응할 수 있다.

 

 장단점

   높은 대역폭 혹은 실시간 응용프로그램에 일반적으로 적합하지 않다.

   새로운 네트워크 응용프로그램과 프로토콜의 지원에 제한적이다.

   응용 서비스별로 별도의 프락시를 필요로 한다.

 

5) 회선 레벨 게이트웨이(circuit-level gateway)

 SOCKS 프로토콜을 사용하는 프락시 서버

 외부와 내부 네트워크 사이에 안전한 프락시 데이터 채널을 설정하기 위해 메커니즘을 구축하고, 내부 네트워크에 있는 호스트를 보호하는 목적으로 사용

 내부 네트워크의 호스트 보호를 목적으로 한다.

 서비스에 대하여 유연하게 대처할 수 있으며 실제 클라이언트 요청이 전송 또는 세션 계층에서 이루어지므로 서비스마다 개별 프락시 서버를 둘 필요가 없다.

 

 장단점

   장점은 응용 트래픽에 대한 조사가 필요 없으므로 응용 게이트웨이 방화벽에 비해 처리 속도가 빠르다

   높은 수준의 보안 서비스를 제공

   응용 트래픽을 조사하지 않으므로 응용 서비스를 사용하여 공격용 트래픽을 전송할 수 있는 신뢰할 수 없는 사용자에 대해 사용할 경우 위험이 따른다.

 

 

 

3. 침입차단시스템의 종류(구축 형태)

 

1) 스크리닝 라우터 구조(Screening Router Architecture)

 각 인터페이스에 들어오고 나가는 패킷을 필터링하여 내부 서버로의 접근을 가려내는 역할

 연결에 대한 요청이 입력되면 IP, TCP/UDP의 패킷 헤더를 분석하여 송신지/목적지의 주소와 포트번호, 제어필드의 내용을 분석하고 패킷 필터 규칙에 적용하여 트래픽을 통과시킬 것인지 아니면 차단할 것인지를 판별하는 방법이다.

장점 단점
- 구조가 간단하고, 장비 추가비용 소요가 없다.

- 네트워크 계층에서 동작하므로 클라이언트와 서버에 변화가 없어도 된다.

- 하나의 스크리닝 라우터로 보호하고자 하는 네트워크 전체를 동일하게 보호할 수 없다.

- 네트워크 계층과 트랜스포트 계층에 입각한 트래픽만을 방어할 수 있다.
- 세부적인 규칙 적용이 어렵고 많은 규칙을 적용할 경우 라우터에 부하가 걸려 대역폭을 효과적으로 이용할 수 없다
.
- 인증기능 수행은 불가능하며 내부구조를 숨기기 어렵고, 1개의 장애물밖에 없어 방어의 깊이가 약하다.

- 실패한 접속에 대한 로깅을 지원하지 않으며, 패킷 필터링 규칙에 대한 검증이 어렵다.

 

2) 이중 네트워크 호스트 구조(Dual-Homed Host Architecture)

 듀얼홈드는 두 개의 인터페이스를 가지는 장비를 말하며, 하나의 인터페이스는 외부 네트워크와 연결되고 다른 인터페이스는 내부 네트워크로 연결되며, 라우팅 기능이 없는 방화벽을 설치하는 형태

 듀얼홈드 게이트웨이가 배스천호스트 역할을 수행하며 네트워크들이 서로 데이터를 공유할 수 있게 도와줌으로써, 여러 개의 네트워크가 동시에 통신할 수 있도록 지원하는 변환기 역할을 한다.

 네트워크의 모든 패킷을 검사 및 필터링해야하기 때문에 상당히 높은 성능의 시스템이 요구되며 소규모 네트워크에 적합하다.

 

3) 스크린드 호스트 게이트웨이 구조(Screened Host Gateway)

 듀얼-홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 내부 네트워크에 놓여 있는 배스천호스트와 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성

 패킷 필터링 또는 스크리닝 라우터의 한 포트를 외부 네트워크에 연결, 다른 포트는 내부 네트워크에 연결하는 구조

 

4) 스크린드 서브넷 구조(Screened Subnet Architecture)

 스크리닝 라우터들 사이에 듀얼 홈드 게이트웨이가 위치하는 구조로 인터넷과 내부 네트워크 사이에 DMZ라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식

 

 

4. iptables

 

1) 개요 및 주요 기능

 리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 툴이며, rule 기반의 패킷 필터링 기능을 제공

 connection tracking(상태 추적) 기능을 제공

 NAT기능 제공

 패킷레벨에서의 로깅기능을 제공

 확장모듈을 통한 다양한 기능 제공

 

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

[정보보안기사 PART 05] 네트워크 보안 - IDS/IPS


Section 28 IDS/IPS

 

1. 침입탐지시스템(IDS)

 

(1) IDS(Intrusion Detection System) 개요

1) 기본 개념

 네트워크에서 사용되는 자원의 무결성, 비밀성, 가용성을 저해하는 비정상적인 사용과 오용, 남용 등의 행위를 가능한 한 실시간으로 탐지하여 관리자에게 경고 메시지를 보내주고 대응하는 시스템

 즉, 외부침입에 대한 정보를 수집하고, 분석하여 침이활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템이다.

 

2) 특징

 내, 외부망의 접속점에 위치하여 방화벽의 부족한 부분을 보강하기 위해 사용되는 것

 네트워크상에서 발생하는 의심스러운 행동 발견하고 메시지 전달, 경고음 발생

 

3) IDS의 장,단점

장점 단점
- 해킹에 대한 침입탐지시스템보다 적극적인 방어 가능
- 내부 사용자의 오, 남용 탐지 및 방어 기능
- 해킹사고 발생 시 어느 정도의 근원지 추적 가능
- 대구모 네트워크에 사용 곤란
- 관리 및 운영 어려움
- 새로운 침입기법에 대한 즉각적인 대응 곤란
- 보안사고에 대한 근본적인 해결책은 되지 못함

 

4) IDS의 실행단계

 - 데이터 수집

 - 데이터 가공 및 축약

 - 침입분석 및 탐지 단계

 - 보고 및 대응

 

(2) IDS의 종류

1) 탐지방법에 의한 분류

- 규칙-기반 침입탐지(오용 침입탐지)

 시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위 패턴 등의 특징 비교하여 탐지하는 방법

 기존의 침입방법을 데이터베이스에 저장해 두었다가 사용자 행동 패턴이 기존의 침입 패턴과 일치하거나 유사한 경우에 침입이라 판단

 DB는 기존의 공격이나 침입 시에 나타났던 패턴의 특징을 저장하고 새로운 공격이나 침입 방법이 출현하였을 경우에는 그에 맞는 공격 패턴을 생성하여 추가한다.

 오용 침입 탐지방법은 DB에 저장되어 있는 기존의 공격 패턴을 정확하게 유지하고 있다면 비정상 행위 탐지 방법보다 False-Positive 확률을 감소시킬 수 있다.

 ex) 전문가 시스템, 상태전이 모델, 패턴 매칭

 

- 통계적 변형 탐지(비정상 침입탐지)

 관찰된 사건들을 정상적인 행위에 대한 정의들과 비교하여 심각한 수준의 일탈 행위를 식별하는 과정

 시스템과 사용자의 정상적인 행위 패턴을 프로파일로 생성하고 실제 시스템상에서의 행위가 프로파일 범위를 벗어날 경우를 탐지하는 방법

 오용 탐지방법보다 DB 관리가 용이하고 알려지지 않은 공격도 탐지가 가능하며 침입 이외의 시스템 운용상의 문제점도 발견

 반면에 프로파일과 실제 입력정보를 비교하는 시간의 지연으로 실시간 탐지가 어렵고 탐지 정확성을 높이기 위한 기준 조정이 어렵다.

 ex) 통계적 분석 방법, 예측 가능한 패턴 생성 방법, 신경망 모델

 

2) 대응방법에 따른 분류

 - 수동적 대응방법

 - 능동적 대응방법

 

3) 데이터 수집원에 의한 분류

 - 네트워크 기반 IDS(Network-based IDS)

   패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그 등을 분석하여 침입 여부를 판단한다.

   시스템의 감사 자료가 아닌 네트워크를 통해 전송되는 패킷 정보를 수집 분석하여 침입을 탐지하는 시스템

 

 장점

  트래픽을 감시할 수 있는 몇몇 위치에만 설치하므로 초기 구축 비용 저럼

  OS에 독립적이므로 구현 및 관리 쉽다.

  캡처된 트래픽에 대해서는 침입자가 흔적을 제거하기 어렵다.

 

단점

  암호화된 패킷을 분석할 수 없다.

  스위칭 환경에서는 호스트 기반 침입 탐지 시스템보다 구축비용이 오히려 더 많이 든다.

  호스트 상에서 수행되는 세부 행위에 대하여는 탐지 불가

 

 - 호스트 기반 IDS(Host-based IDS)

   호스트 시스템으로부터 생성되고 수집된 감사 자료를 침입 탐지에 사용하는 시스템

   사용자 명령어와 기본 로그 파일만을 사용하는 것부터 시스템 콜 레벨의 감사 자\료를 사용

   시스템 이벤트 감시를 통한 정확한 침입 탐지 가능

 

장점

 정확한 탐지 가능, 다양한 대응책 수행

  암호화 및 스위칭 환경에 적합

  추가적인 하드웨어가 필요하지 않음

 

단점

  각각의 시스템마다 설치해야 하므로 다양한 OS를 지원해야 한다.

  침입 탐지 시스템으로 인해 시스템에 추가적인 부하가 걸린다.

  구현이 용이하지 않다.

 

4) 탐지시점에 따른 분류

 - 사후분석 시스템

 - 실시간 탐지 시스템

 

(3) IDS의 응용

1) 긍정오류(false positives)와 부정오류(false negatives)

 긍정오류 : 합법적 사용자를 침입자로 판단하는 경우

 부정오류 : 침입자를 합법적 사용자로 판단하게 되는 경우

 

2) 허니팟(Honeypot)

 실제로 자료를 가진 호스트인 것처럼 인터넷상에 존재하면서, 해커, 악의적인 내부자 등을 속여 그들로부터 침해당함으로써 그들의 행동, 공격기법, 목적 등을 분석하는 데 사용

 

(4) 스노트(Snort)

1) 개요

 실시간 트래픽 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 Rule에 의거하여 오버플로우 , 포트스캔, CGI 공격 OS확인 시도 등의 다양한 공격과 스캔을 탐지 가능

 

2) snort 룰(시그니처) 형식

 크게 헤더 부분과 바디 부분으로 구성

 헤더 부분은 처리방식, 프로토콜, IP주소, 포트번호 등 처리할 패킷을 판단하는 기준 명시

 바디 부분은 alert message나 패킷 데이터를 조사하기 위한 내용을 기술

 

 

 

2. 침입방지시스템(IPS)

 

1) IPS(Intrustion Prevention System) 개요

 다양하고 지능적인 침입기술에 대항해 다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막으며, 인터넷 웜, 악성코드 및 해킹에 기인한 유해 트래픽을 차단하기 위한 능동형 보안 솔루션

 

2) IPS의 필요성

 IP 주소 또는 포트에 의한 네트워크 공격을 차단할 수 있지만, 응용 프로그램 수준의 공격과 새로운 패턴을 공격에 대한 적응력이 무척 낮고, 실시간 대응을 할 수 없다.

 침입탐지시스템은 실시간 탐지는 가능하지만, 대응책을 제시해 주지는 못했기 때문에 그 대안이 요구되었다.

 예전에는 이런 한계점이 큰 문제가 아니었지만 지금은 방화벽과 침입탐지시스템만으로는 해킹이나 바이러스, 웜에 대한 공격을 막을 수 없다. 가장 큰 이유는 바로 속도 때문이다.

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

[정보보안기사 PART 05] 네트워크 보안 - 네트워크 기반 공격의 이해


Section 27 네트워크 기반 공격의 이해

 

1. 네트워크 기반 위협

 

1) 네트워크를 취약하게 만드는 요인들

 - 많은 공격 지점 : 임의의 호스트에서 임의의 호스트를 공격할 수 있다.

 - 공유 : 네트워크는 자원 및 작업부하의 공유를 가능하게 하므로, 더 많은 수의 사용자가 접근 가능하다.

 - 시스템의 복잡성 : 네트워크 운영/제어 시스템은 단일 컴퓨터 시스템을 위한 OS보다 휠씬 복잡할 가능성이 높다

 

2) 네트워크 위협의 유형

 직접적인 파괴나 도난 같은 물리적인 위협

 네트워크에 대한 지식을 가진 사람에 의한 기술적 위협

 - 수동적 공격 : 통신회선상의 정보를 무단으로 취득하는 행위

 - 능동적 공격 : 통신회선상의 정보를 변조, 위조하는 행위

 

 

 

2. 네트워크 기반 보안위협 및 대응책

 

(1) 서비스 거부공격(DoS)

1) DoS(Denial of Service) 공격의 정의

 정당한 사용자가 정보 시스템의 데이터나 자원을 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로, 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해하는 공격 방식

 서비스 거부(DoS : Denial of Service) 공격은 공격자가 단일 컴퓨터를 통해 공격하는 경우

 분산 서비스 거부(DDoS : Distributed Denial of Service) : 공격자가 물리적으로 분산된 다수의 컴퓨터를 이용하여 공격하는 형태

 

2) TCP SYN Flooding Attack

 TCP 연결 설정 과정 중에 3-Way Handshaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격으로 공격대상 시스템은 외부로부터 접속 요청을 더 이상 받아들일 수가 없게 되어 정상적인 서비스를 제공할 수 없게 된다.

 즉, 공격자가 다수의 syn 신호를 공격대상자에게 전송하면 공격대상자는 syn/ack 신호를 공격자에게 전달하게 되는데 이때 공격자가 ack 신호를 반송하지 않으면 공격대상자의 시스템은 일정 시간동안 신호를 기다린다.

 

3) SMURF Attack

 광범위한 효과로 도스 공격 중에서 가장 피해가 크며, 가장 인기 있는 공격 형태 중 하나로서 IP 위장과 ICMP의 특징을 이용한 공격

 스머프 DoS 공격은 공격자가 출발지 IP 주소를 목표 시스템으로 스푸핑하고 목적지 주소를 직접 브로드캐스트 주소로 설정한 Ping 메시지를 송신하고, Ping 메시지를 수신한 네트워크 내의 모든 시스템이 Ping 응답 메시지를 출발지 주소인 공격 목표 시스템으로 동시에 전송함으로써 공격 목표를 마비시킨다.

 

4) Flooding Attack

 - ICMP Flood

   ICMP echo request를 사용하는 ping flood 공격은 전통적인 ICMP flooding 공격

 

 - UDP Flood

   UDP의 비연결성 및 비신뢰성 때문에 공격이 용이한 방법

   echo와 chargen 서비스를 이용

 

5) Land Attack

 패킷을 전송할 때 출발지 IP 주소와 목적지 IP 주소값을 똑같이 만들어서 공격 대상에 보내는 것

 

6) Ping of Deatch

 ICMP 패킷을 정상 크기(65,535 bytes)보다 아주 크게 만드는 것이다.

 크게 만들어진 패킷은 네트워크를 통해 라우팅되어 공격 네트워크에 도달하는 동안 아주 작은 조각으로 쪼개진다. 그리고 공격 대상은 조각화된 패킷을 모두 처리해야 하므로 정상적인 ping 처리보다 부하가 훨씬 많이 걸린다.

 

7) Teardrop Attack

 네트워크상에서 IP가 정상적으로 패킷을 전송할 때 IP 단편화가 발생하게 된다. 수신자는 재조립을 통해 단편화된 데이터를 복구하게 된다.

 이때 재조립 시에 정확한 조립을 위해 오프셋(Offset)이란 값을 더하게 되어 있는데, 이 오프셋 값을 단편화 간에 중복되도록 고의적으로 수정하거나 정상적인 오프셋 값보다 더 큰 값을 더해 그 범위를 넘어서는 오버플로우를 일으켜 시스템의 기능을 마비시켜 버리는 기법이다.

 

8) Inconsistent Fragmentation 공격

 - Bonk

   패킷을 프래그먼트하여 전송할 때 패킷을 조작하여 결과적으로 부하를 증가시키는 공격

   처음 패킷을 1번으로 보낸 후 다음 패킷을 보낼 때 순서번호를 모두 1번으로 조작하여 전송하는 공격

 

 - Boink

   Bonk를 수정한 공격으로, 처음 패킷을 1번으로 보낸 후 다음 패킷을 100번, 다음 패킷을 200번 등 정상적으로 보내다가 20번째 패킷을 2002, 21번째 패킷을 100, 22번째 패킷을 다시 2002 등으로 중간에 패킷 시퀀스 번호를 비정상적인 상태로 보내는 공격기술

 

(2) DDoS 공격

1) 개요

 여러 대의 컴퓨터를 일제히 동작시켜 특정 사이트/시스템을 공격하여 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크 성능 저하나 시스템 마비를 가져오게 하는 해킹 방법

 피해 양상이 상당히 심각하지만 확실한 대책은 없다. 또한 공격자의 위치와 구체적인 발원지를 파악하는 일은 거의 불가능에 가깝다

 

2) 대응 방안

 - 공격 예방 및 선취(공격 이전)

 - 공격 탐지 및 필터링(공격 중)

 - 공격 근원지 역추적 및 확인(공격 후)

 

3) DDoS 공격의 사례

 - 트리누(Trinoo) 공격

 - TFN(Tribed Flood Network) 공격

 - Stacheldraht 공격

 - TFN2K 공격

 

(3) 네트워크 스캐닝

1) 사이버 공격을 위한 준비활동

 사이버 공격을 위한 정보 수집은 풋프린팅, 스캐닝, 목록화의 3단계 과정을 거친다.

 풋프린팅 : 신문, 게시판 혹은 네트워크 검색, 포털 검색 등의 방법을 통해 정보 수집

 스캐닝 : 핑, 포트 스캔, 운영체제 확인 등의 방법으로 시스템 종류, IP 주소, 서비스 등의 세부적 내용 수집

 목록화 : 수집된 정보를 토대로 라우팅 테이블, SNMP 정보 등 좀 더 실용적인 정보 수집하여 취약점 분석 및 공격방법 결정

 

3) 포트 스캔 공격 종류

 - Sweep

    특정 네트워크에 대하여 해당 네트워크에 속해있는 시스템의 유무를 판단할 수 있는 기법

    이를 통해 목표 대상 기관에서 사용하거나 소유하고 있는 IP 주소와 네트워크 범위를 알아낼 수 있다.

    ex) ICMP Swepp, TCP Sweep, UDP Sweep

 

 - Open Sacn

    시스템 자체의 활성화 여부뿐만 아니라, 스캔하는 포트에 해당하는 서비스의 활성화 여부를 조사할 수 있는 방법

    TCP Open 스캔과 UDP Open 스캔으로 나뉜다.

    TCP Open은 TCP Full Open 스캔과 TCP Half Open 스캔으로 나뉜다.

 

 - Stealth Scan

    TCP 헤더를 조작하여 특수한 패킷을 만든 후 스캔 대상 시스템에 보내 그 응답으로 포트 활성화 여부 알아내는 기법

    ex) TCP FIN 스캔, TCP ACK 스캔, TCP 단편화 스캔 등이 있다.

 

4) 대표적인 스캔 도구

- NMap(Network Mapper)

  모든 운영체제에서 사용할 수 있으며 , 운영체제의 종류 및 사용 서비스에 대한 정보, FTP 서버의 취약점을 이용한 bounce 공격을 수행할 수 있는 스캔 도구이다.

 

5) 운영체제의 탐지(OS Fingerprinting)

 공격대상 시스템이 사용하는 운영체제에 따라 취약점의 유형이 다르기 때문에 공격자가 사용할 수 있는 공격 수단에 차이가 있다. 따라서 사이버 공격자는 목표 시스템의 OS의 종류와 버전을 파악하기 위해 다양한 형태의 스캐닝 작업을 수행한다.

 OS의 종류와 버전을 파악하기 위한 스캐닝 작업을 OS 핑거프린팅이라 하는 이유는 OS 버전마다 표준에서 명시적으로 정의되지 않는 기능의 구현 방법이 다르고, 몇 가지 기능들의 구현 방법의 차이는 OS 버전을 식별할 수 있는 지문 역할을 수행하기 때문이다.

 

6) 포트 스캔 공격에 대한 대응책

 - 불필요한 패킷을 차단하도록 방화벽 설정

 - 사용하지 않는 포트는 열어놓지 않음

 - 침임탐지시스템을 사용해 포트 스캔 탐지

 - 시스템 로그 감사

 

(4)스니핑(Sniffing)

1) 스니핑 공격의 동작 원리

 자신이 아닌 다른 상대방의 패킷 교환을 엿듣는 것을 의미한다.

 간단히 말하면 네트워크 트래픽을 도청하는 과정을 스니핑

 

2) 스니핑의 종류

- 허브 환경에서의 스니핑

- 스위치 환경에서의 스니핑

 스위치 재밍

 ARP 스푸핑

 ARP 리다이렉트

 ICMP 리다이렉트

 

3) 네트워크 스니퍼(sniffer)

 패킷 또는 LAN 세그먼트상을 지나는 트래픽을 분석할 수 있는 프로그램 혹은 장비를 가리키는 용어

 무차별 모드로 동작하는 네트워크 어댑터를 이용하여 네트워크에 접속해야 하며, 이 어댑터의 드라이버는 데이터를 캡처한다.

 

(5) 스누핑(Spoofing)

1) 개요

 공격자가 자신을 공격 대상자에게 노출시키지 않고 제 3자의 사용자인것처럼 MAC주소, IP 주소 등을 속이는 작업

 

2) 유형

 - IP 스푸핑

 - 이메일 스푸핑

 - 웹 스푸핑

 - DNS 스푸핑

 

(6) 세션 하이재킹(Session Hijacking)

1) 개요

 공격자가 인증 작업 등이 완료되어 정상적으로 통신이 이루어지고 있는 다른 사용자의 세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 게속하는 행위

 

2) TCP 연결 하이재킹(TCP connection Hijacking)

 클라이언트와 서버가 통신을 개시하기 전에 TCP 연결을 먼저 설정하고, TCP 연결을 통해 상호 메시지 교환을 개시한다. 교환되는 메시지에는 사용자 인증을 위한 메시지도 퐇람될 수 있다

 다른 사용자의 TCP 연결을 가로채는 TCP 연결 하이재킹은 순서번호 추론 기반의 하이재킹과 스니핑 기반의 하이재킹으로 구분된다.

 

(7) 각종 Remote Attack

1) Local Attack과 Remote Attack의 비교

 Local Attack : 시스템에 접속한 후에 공격자가 원하는 공격을 수행

 Remote Attack : 원격 컴퓨터에서 공격대상에 공격을 수행하는 것

 

2) Trojan과 Exploit

 Trojan : 악의적인 프로그램을 건전한 프로그램처럼 포장하기 때문에 일반 사용자들이 의심 없이 자신의 컴퓨터 안에서 이를 실행시킨다.

 Exploit : OS에서 버그를 이용하여 루트권한 획득 또는 특정 기능을 수행하기 위한 공격 코드 및 프로그램이다.

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

[정보보안기사 PART 05] 네트워크 보안 - 네트워크 기반 프로그램 활용


Section 26 네트워크 기반 프로그램 활용

 

1. 네트워크 관리

 

1) 연결테스트(ping)

 인터넷으로 접속하려는 원격 호스트가 정상적으로 운영되고 있는지를 확인하는 진단 목적으로 사용

 ICMP를 이용하는 유틸리티

 ICMP 타입 중에서 Echo Request(Type 8) 타입을 지정하여 대상 시스템으로 ICMP 패킷을 전송하과, 그 대상 시스템으로부터 Echo Reply(Type 0) 패킷을 수신함으로써 접근성 확인

 네트워크 속도 측정, 시스템 상의 IP 주소 알아냄

 

 

2) 경로추적(traceroute)

 종단(End) 노드 사이에 있는 여러 중계 노드 각 구간에 대한 네트워크 상태를 관리하기 위한 명령어로 네트워크의 라우팅 문제점을 찾아내는 목적으로 많이 사용

 traceroute는 패킷의 TTL(Time to Live)을 하나씩 증가시켜 보낸다.

 Unreachable Port라는 ICMP 메시지를 받으면 trace가 목적지에 도달했음을 알 수 있다.

 traceroute는 우연히 도달하는 것을 방지하기 위해 정확히 3개의 UDP 패킷을 보낸다.

 traceroute 결과에서 응답시간이 *로 표시되는 경우 침입차단시스템 등의 접근통제 리스트에 의해 traceroute의 UDP 패킷이 보안상이 이유로 차단되었거나 실제 해당 구간에 문제가 발생한 경우이다.

 

 

3) 네트워크 인터페이스 진단(netstat)

 UNIX 시스템의 TCP/IP 프로토콜 진단 시 다양한 용도로 사용한다. 네트워크 인터페이스(LAN 카드)에 대한 성능 정보, 시스템의 라우팅 정보, 소켓 사용 정보 등 지정 옵션에 따라서 네트워크 정보를 제공

 

-r 옵션

UNIX 시스템의 라우팅 테이블을 출력해 준다.

 

-s 옵션

 UNIX 시스템에서 실행 중인 TCP/IP 프로토콜의 세부 프로토콜에 대한 통계정보를 출력

 

 

4) 라우팅 테이블 설정(route)

 라우팅 테이블에 라우팅 경로를 추가하거나 삭제

 

 

5) 네트워크 패킷/로그 분석(tcpdump)

 tcpdump는 네트워크 인터페이스를 거치는 패킷의 내용을 출력해 주는 프로그램

 스니핑 도구의 일종으로 자신의 컴퓨터로 들어오는 모든 패킷의 내용 도청

 공격자의 추적 및 공격 유형 분석을 위한 패킷 분석 시에 활용

 

 

6) 네트워크 인터페이스 설정(ifconfig)

 네트워크 인터페이스의 설정정보를 알아보거나 IP주소 및 서브넷마스크 등의 설정을 변경할 때 사용한다. 그리고 네트워크 인터페이스를 활성화시키거나 비활성화시키는 기능도 있다.

 

7) 윈도우 ipconfig 유틸리티

 윈도우는 네트워크 설정에 있어 유닉스와 다소 다른 접근 방법을 사용한다. 유닉스 ifconfig 프로그램을 사용하면 다양한 설정 인자를 조회하고 수정할 수 있다. 하지만 윈도우에서는 대부분의 설정과 인자 수정이 윈도우 제어판에서 수행된다.

 ifconfig와 유사한 유틸리티는 ipconfig이다.

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

[정보보안기사 PART 05] 네트워크 보안 - 네트워크 관리


Section 25 네트워크 관리

 

1. 네트워크 관리

 

1) 정의

 네트워크 자원들에 대하여 적절한 관리행위를 함으로써 네트워크 사업자와 사용자에게 안정적인 네트워크 서비스를 제공하는 것을 의미한다.

 네트워크의 기획, 운영, 유지보수 등에 필요한 정보를 네트워크를 구성하는 다양한 장비 및 전송설비로부터 수집, 분석하고, 이 분석 정보를 통하여 네트워크의 상태를 파악하여, 장애가 발생하였을 때 적절한 제어기능을 수행하고 보고서를 제출하는 등의 행위이다.

 

2) 필요성

 네트워크 규모가 점점 커지고 이질적인 네트워크들이 공존하게 됨으로써 전체 네트워크의 원활한 동작 위해

 ISP 사업자들이 인터넷 서비스에 대한 신뢰도를 높이기 위해서

 

3) 네트워크 5대 관리 기능

 - 계정 관리

 - 구성 관리

 - 성능 관리

 - 장애 관리

 - 보안 관리

 

 

 

2. 무선랜 보안

 

1) SNMP 개념

 관리자와 에이전트의 개념을 사용

 보통 호스트인 관리자는 보통 라우터나 서버인 에이전트의 집단을 제어하고 감시

 프로토콜은 제조회사에 의해 만들어지고 물리적으로 상이한 네트워크에 설치된 장치들을 감시

 

2) 관리자와 에이전트

 관리는 관리자와 에이전트 간의 간단한 상호작용에 의해 수행

 에이전트는 데이터베이스에 성능 정보를 저장

 관리자는 데이터베이스에서 값을 읽는다. 그리고 특정한 동작을 행하도록 한다.

 관리 정보를 교환할 때, 폴링, 트랩을 이용한다.

 

3) 관리 구성요소

- SNMP의 역할

 관리자와 에이전트 사이에 교환하는 패킷의 형식을 정의한다.

 SNMP 패킷에서 객체(변수)의 상태(값)를 읽고 변경

 

- SMI의 역할

 객체에 이름 붙이고, 객체 유형 정의, 객체와 값을 복호화하는 방법을 나타내기 위한 규칙 정의

 

- MBI의 역할

 각 개체를 위해 객체의 수를 결정하고, 이들을 SMI에 의해 정의된 규칙에 따라 이름 붙이며, 이름이 지어진 각 객체의 유형을 연결

 

- 유사성

 세 개의 네트워크 관리 요소는 우리가 어떤 문제를 풀기 위해 컴퓨터 언어로 프로그램을 작성할 때 필요한 것들과 유사하다.

 

4) SNMP 주요 연산

 관리자가 에이전트에서 정의된 객체의 값을 읽는다.

 관리자가 에이전트에서 정의된 객체의 값을 저장한다.

  에이전트가 비정상적 상황에 대한 경고 메시지를 관리자에게 보낸다.

 

 

 

3. 원격 접속 서비스

 

(1) 원격접속 프로토콜

1) TELNET

 ISO에서 제안된 가상 터미널 서비스에 대한 표준 TCP/IP 프로토콜

 자신의 터미널이 원격 시스템에 있는 터미널처럼 보이도록 원격 시스템과의 연결 설정 가능

 

2) Rlogin

 원격 로그인을 의미

 인터넷 표준이 아니며 BSD 계열 시스템 간의 원격접속을 위해서 설계되었다.

 TELNET에 비해 단순하고 별도의 옵션 협상기능은 제공하지 않는다.

 

3) SSH(Secure Shell)

 TELNET과 같이 TCP를 하부 전송 프로토콜로 사용하나 더 안전하고 TELNET 보다 더 많은 서비스를 제공한다.

 네트워크상의 다른 컴퓨터에 로그인하거나 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일을 복사할 수 있도록 해주는 응용 프로그램 또는 프로토콜을 가리킨다.

 기존의 rlogin, 텔넷 등을 대체하기 위해 설계, 강력한 인증 방법 및 안전하지 못한 네트워크에서 안전하게 통신을 할 수 있는 기능을 제공

 SSH는 비교적 구현하기 쉽고 비용이 적게 들도록 설계된 안전한 네트워크 통신용 프로토콜

 새로운 SSH-2는 초기 방식의 여러 가지 보안상의 취약점을 수정

 SSH-1과 SSH-2는 전혀 호환되지 않음

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

[정보보안기사 PART 05] 네트워크 보안 - 무선통신 보안


Section 24 무선통신 보안

 

1. 무선통신

 

(1) 무선 네트워크 유형과 무선랜

1) 무선 네트워크 유형

무선 네트워크 구조 내용 사용 예제
WPAN 단거리 Ad Hoc 방식 또는 Peer to Peer 방식 - 노트북 간의 데이터 전송이나 핸드폰과 헤드셋과 같이 한 쌍을 이루는 무선 단말기에 사용
- 블루투스는 마우스와 키보드에서 유선 라인을 대신해 사용됨
WLAN 유선랜의 확장개념 또는 유선랜의 설치가 어려운 지역으로의 네트워크 제공 - WLAN은 임시 사무실과 같은 환경에서 유선랜 구축으로 인해 발생하는 불필요한 비용소모를 줄임
WMAN 대도시와 같은 넓은 지역을 대상으로 높은 전송속도를 제공 - 대학 캠퍼스와 같이 넓은 지역에서 건물간의 무선 연결 기능을 제공

 

2) 무선 네트워크 보안 위협의 주요 요소

- 채널(Channel) : 무선 네트워크는 일반적으로 브로드캐스팅 통신을 하게 되는데, 이 경우 유선 네트워크보다 도청이나 재밍에 훨씬 취약하다.

- 이동성(Mobility) : 실제로 사용하는 무선 장치는 유선 장치보다 휴대가 간편하고 이동이 수월하다.

- 자원(Resource) : 스마트폰이나 태블릿 같은 일부 무선 장치는 정교한 운영체제를 가지고 있는데, 메모리와 프로세싱 자원이 제한적이다. 그래서 서비스 거부 공격이나 악성 소프트웨어 위협에 대처하기가 쉽지 않다.

- 접근성(Accessibility) : 센서나 로봇 같은 일부 무선 장치는 직접 관리가 어려운 원격지에 있거나 혹독한 환경에 있다. 이 경우 물리적 공격에 매우 취약해질 수 있다.

 

3) 무선랜의 특징

- 감쇠

- 간섭

- 다중경로 전달

- 오류

 

4) 무선랜 접근제어

 무선 LAN에서 가장 중요한 문제는 무선 호스트가 어떻게 공유된 매체(공기)에 접근할 수 있는가를 위한 접근 제어이다.

 CSMA/CD 알고리즘은 세가지 이유로 무선 LAN에서 동작하지 않는다.

 - 충돌을 감지하기 위해, 호스트는 송수신을 동시에 수신해야 한다.

 - 어떤 장애물이나 범위 문제 때문에 그리고 한 자국이 또 다른 지국의 전송을 인지하지 못하는 숨겨진 지국 문제 때문에, 충돌이 발생하더라도 감지되지 않을 수 있다.

 - 기지국들 간의 거리가 멀 경우 거리로 인한 신호 감쇠는 다른 측에서 발생하는 충돌을 감지하지 못하게 할 수도 있다.

위의 세 가지 문제를 극복하기 위해, 반송파 감지 다중접근 충돌회피가(CSMA/CA)가 무선 LAN을 위해 사용된다,

 

(2) 무선 표준

1) 무선랜 기술 표준

- IEEE 802.11b

- IEEE 802.11a

- IEEE 802.11g

- IEEE 802.11i

- IEEE 802.11n

 

(3) 무선랜 주요 구성요소

1) 무선 AP(Access Point)

 기존 유선랜의 가장 마지막에 위치하여 무선 단말기의 무선랜 접속에 관여한다. 무선 AP는 무선랜의 보안에도 많은 비중을 차지하는 중요한 장비로서, 무선 단말기의 접속에 필요한 관련 설정 값을 갖는다.

 대규모 네트워크용 : 기업의 서비스나 비즈니스를 위한 인프라로 이용, 로밍과 보안기능에 중점

 소규모 네트워크용 : 일반 가정이나 소규모 사무실 등 비교적 작은 규모 무선 네트워크 구축, IP 공유, VPN 기능

 

2) 무선 브리지

 2개 이상의 무선랜을 연결하는 장비

 

(4) 다양한 무선통신 기술

1) 브루투스(Bluetooth)

 서로 짧은 거리에 있을 때 전화기, 노트북, 컴퓨터, 카메라, 프린터, 커피메이커 등과 같은 서로 다른 기능을 가진 장치를 연결하기 위해 설계된 무선 LAN 기술

 

 

 

2. 무선랜 보안

 

(1) 무선랜 보안 취약점 분석

1) 무선랜의 물리적 취약점

 - 도난 및 파손

 - 구성설정 초기화

 - 전원 차단

 - LAN 차단

 

2) 무선랜의 기술적 취약점

 - 도청

 - 서비스 거부(DoS)

 - 불법 AP(Rogue AP)

 - 무선 암호화 방식

   WEP(Wired Equivalent Privacy)

     무선 데이터 암호화 방식으로 많이 사용되고 있는 WEP

     MAC 프레임을 40비트의 WEP 공유 비밀 키와 임의로 선택되는 24비트의 IV 조합된 RC4 스트림 암호화

 

   WPA/WPA2

     안전한 무선랜 운영을 위해서는 WEP의 사용보다는 WPA/WPA2를 사용하되 가능한 긴 길이의 비밀키 설정, 추가적인 인증서버 운영 필요

 

 - 비인가 접근

   SSID 노출, MAC 주소 노출

 

3) 무선랜의 관리적 취약점

- 무선랜 장비 관리 미흡

- 무선랜 사용자의 보안의식 결여

- 전파관리 미흡

 

(2) 무선랜 인증 기술

1) SSID 설정과 폐쇄시스템 운영

- SSID 설정을 통한 접속 제한

- 폐쇄시스템 운영

 

2) MAC 주소 인증

3) WEP 인증 메커니즘

4) EAP 인증 메커니즘

 

(3) 무선랜 암호화 기술

1) WEP(Wired Equivalent Privacy)

 전송되는 무선 LAN에 연결된 무선 AP와 무선 단말기 간에 주고받는 무선 전송데이터를 2개의 장비가 약속한 공유 비밀키와 임의로 선택되는 IV 값을 조합한 64비트 또는 128비트의 키를 이용해 전송 데이터를 암호화함으로써 보안을 강화하는 방식

 WEP은 데이터 암호화뿐만 아니라, 공유키를 이용한 사용자 인증 기능도 제공

 서로 같은 공유키를 갖는 사람을 정상 사용자로 인증하는 방식을 채택

 

- WEP 암호의 취약성

  암호 메커니즘의 취약성

  WEP 키 관리 취약성

 

2) TKIP(Temporal Key Integrity Protocol)

 WEP의 강도를 향상시키거나 하드웨어 교체 없이 WEP를 완전히 대체하는 것

 기존 WEP의 암호화 알고리즘인 RC4를 사용하면서 RC4의 보안상의 문제점 개선

 48bit 확장된 길이의 초기벡터(IV)를 사용 -> 재생공격 보호

 MIC(Message Integrity Check) 사용 -> 무결성 보장

 

 - TKIP 암호의 취약성

  RC4 암호 알고리즘 사용

  키 관리 방법을 제공하고 있지 않고, 무선 패킷 수집 분석을 통한 키 크랙공격의 가능성 내재

  WEP이 갖고 있던 기본적인 취약성을 그대로 갖는 단점

 

3) CCMP(Counter mode with CBC-MAC Protocol)

 AES 블록 암호를 사용한 데이터의 비밀성과 무결성을 보장하기 위한 규칙을 정의

 AES 기반

 128bit 대칭키, 48bit의 초기벡터 사용

 

(4) 무선랜 인증 및 암호화 복합 기술

1) WPA와 WPA2

- WPA

 Wi-Fi에서 정의한 무선랜 보안규격으로 802.11i 보안 규격의 일부 기능을 수용하여 만든 표준 규격

 TKIP의 기술 이용, 패킷당 키 할당, 메시지 무결성, 키값 재설정

 RC4 키 스트림 암호화 알고리즘 사용

 IEEE 802.1X와 EAP 기반으로 사용자 인증 제공

 RADIUS, Kerberos, 기타 다른 인증서버와 호환되며, AP에서 비밀번호를 수동으로 설정할 수 있는 사전 공유 키 방식 제공

 

- WPA2

 2세대 WPA로서 TKIP를 대체하기 위해 AES에 기반을 둔 CCMP 암호화 방식 사용

 IEEE 802.11i 수정안을 포함한 보안 기술

 RSN(Robust Security Network)라고 부른다

 

2) WPA-PSK(Wi-Fi Protected Access Pre-Shared Key)

 PSK 인증방식은 인증 서버가 설치되지 않은 소규모 망에서 사용되는 방식으로 무선 AP와 단말기가 자신과 동일한 공유키를 가지고 있는지 802.1x에 규정된 EAPoL-Key 프레임을 활용하여 4-way handshake 과정을 통해 확인하여 인증 수행

 

 - WPA-PSK 인증방식의 취약점

   점속/인증 패스워드를 짧게 설정하거나 추측하기 쉬운 값으로 설정할 경우 사전 공격을 통해 손쉽게 패스워드 크랙할 수 있는 취약점 있다.

 

 

 

3. WAP(Wireless Application Protocol)

(1) WAP(무선 응용 프로토콜) 개요

1) 개요

 WAP 포럼에서 개발한 통합된 표준

 웹과 같은 정보 서비스에 접근하기 위해 모바일 폰과 페이지(비퍼), PDA같은 장비에서 이 표준 사용

 모든 기존 무선 네트워크 기술 및 IP, XML, HTML, HTTP 등의 인터넷 기술과 가능한 한 호환해서 사용할 수 있게 설계

 

 - WAP 규격

   WWW 프로그래밍 모델과 기반한 프로그래밍 모델

   XML과 무선 마크업 언어(WML, Wireless Markup Language)

   모바일 무선 단말기에 적합한 소형 브라우저의 규격

   경량 통신의 프로토콜 스택

   무선 전화 응용(WTA, Wireless Telephony Application)을 위한 프레임 워크

 

2) 운용 개요

 클라이언트, 게이트워에, 오리지널 서버

 

3) 무선 마크업 언어(WML, Wireless Markup Language)

 제한된 통신 용량, 제한된 화면 크기 및 제한된 사용자 입력 기능을 가진 장비에서 콘텐츠와 양식을 표현하기 위해 설계

 WML은 키패드, 스타일러스 펜 및 기타 모바일 장비에 흔히 사용되는 입력 기능과 함께 동작

 

4) 무선 응용 환경(WAE, Wireless Application Environment)

 모바일 전화, 페이저, PDA 같은 무선 장비의 응용 프레임워크를 규격화

 WAP가 지원하는 응용 프로그램과 장비 개발을 쉽게 하기 위한 도구와 형식의 집합

 

5) WAP 프로토콜 구조

- 무선 세션 프로토콜

- 무선 트랜잭션 프로토콜

- 무선 데이터그램 프로토콜

 

(2) WTLS(무선 전공 계층 보안)

 모바일 장비(클라이언트)와 WAP 게이트웨이 간의 보안 서비스 제공

 SSL을 보안하여 산업표준 전송 계층보안 프로토콜에 기반

 WTLS와 TLS 사이 변환 담당

 

(3) WAP(종단-대-종단 보안)

 WAP 클라이언트, 게이트웨이 그리고 웹 서버를 포함

 

 

4. 디바이스 인증기술(기기 인증)

1) 기기인증의 정의

 네트워크에 참여하는 다양한 기기의 안전한 운영을 위하여 해당 기기를 식별하고 진위를 판단할 수 있는 신뢰된 인증방법을 말하며, 특히 기기인증서 기반의 인증을 의미

 

2) 기기인증 도입 배경

- 기기 사양의 고도화

- 네트워크 환경의 변화

- 서비스의 다양화

- 해킹 수법의 발전

 

3) 기기인증 도입의 장점

- 보안성

- 경제성

- 상호연동성

 

4) 기기인증 기술

- 아이디/패스워드 기반 인증

- MAC 주소값 인증

- 암호 프로토콜을 활용한 인증

- Challenge/Response 인증

 

 

 

5. RFID

(1) RFID의 기본 개념

1) 개요

 가청 주파수 대역인 무선 주파수와 제품에 붙이는 태그에 생산, 유통, 보관, 소비의 전 과정에 대한 정보와 연동되는 식별자인 전자칩을 이용하여 물체를 식별할 수 있는 기술을 말한다.

 

2) RFID의 네트워크 공격유형

- 도청

- 트래픽분석

- 위조

- 서비스 거부(DoS, Denial of Service) 공격

 

3) RFID 보안 기술

- 암호 기술을 사용하지 않는 정보보호 대책

 킬(kill) 명령어

 Sleep 명령과 Wake 명령어 기법

 블로커(Blocker) 태그 기법

 Farada Cage

 Jamming

 

- 암호 기술을 이용한 정보보호 대책

 해시 락(Hash Lock) 기법

 XOR(Exclusive OR)기반 원타임 패드 기법

 

 

 

6. 모바일 보안

(1) BYOD 보안 기술

1) MDM(Mobile Device Management)

 IT 부서가 기기를 완전히 제어할 수 있도록 지원의 스마트패드와 스마트폰에 잠금, 제어, 암호화, 보안 정책 실행을 할 수 있는 기능 제공

 

2) 컨테이너화(Containerization)

 하나의 모바일 기기 내에 업무용 데이터와 개인용 데이터를 분리하고 관리

 

3) 모바일 가상화(Hypervisors)

 하나의 모바일 기기에 개인용과 업무영 OS를 동시에 담아 개인과 사무 정보를 완전히 분리

 

4) MAM(Mobile Application Management)

 스마트 기기 전체가 아니라 기기에 설치된 업무 관련 앱에만 보안 및 관리 기능 적용

 

5) NAC(Network Access Control)

 사용자 기기가 기업 내부 네트워크 접근 전 보안 정책을 준수했는지 여부를 검사하여 비정상 접근 여부에 따라 네트워크 접속을 통제하는 기술

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.

+ Recent posts