Notice
Recent Posts
Recent Comments
Gentle Breeze
[CISSP] Domain 3. 통신과 네트워크 보안 (II) 본문
▶ 통신보안기술
- SSH(Secure Shell)
- 패킷을 암호화 하여 IP 스푸핑, DNS 스푸핑 등으로 부터 보호
- RSA 기반의 공개키/개인키 pair 방식을 이용
- SSH1
- 기존의 Telnet 을 대체하기 위해 만들어 짐
- Public Key, OTP 를 이용한 인증
- SSH2
- 다양하며 강력한 암호화
- Secure Hash Algorithm 을 이용한 인증 (SHA256 / SHA512)
- SSL (Secured Socket Layer)
- 클라이언트는 서버를, 서버는 클라이언트를 인증
- Netscape 에서 개발
- WEB 버전 : HTTPS (클라이언트가 서버를 인증)
- S-HTTP (Secure HTTP)
- VISA card 에서 개발
- Request 와 Response 구조를 그대로 이용하면서 암호화 기능을 수행하기 위해 추가적 헤더 정보 사용
- 헤더 암호화를 통해 안전한 전송 지원
- RSA 공개 키 암호 방식, Kerberos 등을 지원
- Data 암호 알고리즘에 DES, 3DES, IDEA, RC2 등을 지원
- HTTPS
- SSL 의 Web 버전
- X.509 인증서 사용 지원
- 443 포트 사용
- NAT (Network Adderess Translation)
- 사설 IP를 사용
- 보안기능 향상
- 클라이언트에서는 동적주소할당, 서버에서는 정적주소할당
- Wireless 인증(802.1x)
- Access Client 가 접속 가능한 AP를 통해 RADIUS 서버에 무선 접속, 인증 요청
- backend repository 와 통신하여 사용자 인증, 최종인증 통보 후 접속 포트 개방 (EAP)
- Wireless LAN 보안 문제점
- 사용자 인증 문제점 : SSID, Open System Authentication, Shared Key Authentication
- 무선구간 데이터 암호화 문제 : WEP, 고정된 키 사용, 동일 AP 접속자끼리 암호화 의미없음
알려진 평문 공격에 취약
- WEP : Wi-Fi 표준, 전송되는 데이터를 암호화, 클라이언트-AP간 무선링크 보호
- IEEE 802.1x
- 포트기반의 이증을 위한 전반적인 구조 정의
- EAP를 만족하는 개별인증 알고리즘 사용 (EAP-MD5, EAP-TLS만 표준화)
- SSH 와 SSL
- 사용자의 ID/PW 가 암호화 되지 않은 채 네트워크 데이터로 전달되는 경우를 방지
▶ 네트워크 공격
- 소극적인 공격(Passive Attack) : 적극적 공격을 위한 정보 수집 단계
- 적극적 공격(Active Attack)
- 네트워크 공격의 종류
- 방해(Interruption) : DDoS
- 가로채기(Interception) : 도청
- 수정(Modification) : 무결성 훼손
- 위조 (Fabrication) : 위장
- 스캐닝 공격(Port Scanning)
- 특정 호스트에서 어떤 서비스가 작동되고 있는지 알아내기 위한 정보 수집
- Network Mapper (tool Eg: NMap, SuperScan)
- 종류 : TCP SYN Scan, UDP Scan, FIN Scan, NULL Scan, Wardialing
- 최소로 제한된 포트를 열고 지속적인 SW 패치 수행
- 스푸핑 공격(Spoofing)
- 자신의 식별 정보를 속여서 다른 시스템을 공격
- 종류: IP Spoofing, ARP Spoofing, E-mail Spoofing, DNS Spoofing
- IP/ARP Spoofing 의 목적 : 도청(Sniffing)
- Packet Filtering Router, IP 인증기반 접근제어, 취약 서비스 제거, 암호화 프로토콜 사용으로 방어
- 스니핑 공격(Sniffing)
- 도청
- 종류 : Switch Jamming, ARP Redirection, ICMP Redirect
- Switch Jamming : 위조된 MAC Address 를 스위치 허브에 보내어 주소테이블을 Overflow 시켜 도청
- ARP Redirection : APR Reply를 위조해 모든 호스트에 보내 도청
- ICMP Redirection : ICMP Reply를 위조해 패킷을 도청
- SSL, PGP, VPN 등을 이용하여 데이터 패킷을 암호화, 스니핑 호스트를 주기적 점검
- Session Hijacking
- 종류 : TCP Session Hijacking, Web Session Hijacking
- TCP Session Hijacking : IP Spoofing, Sniffing 을 이용해 user 의 telnet session을 가로챔, SSH로 방어
- Web Session Hijacking : 쿠키를 가로채 poisoning, HTTPS로 방어
- 서비스 거부공격(Denial of Service)
- 과도한 패킷 트래픽을 발생시켜서 시스템의 자원을 소진시켜 가용성을 침해
- 종류 : Ping of Death, TearDrop Attack, Syn Floods, Smurf Attack, Land Attack
- Syn Floods : half-open TCP 연결을 계속 시도, 호스트의 listen queue를 포화시켜 TCP 서비스 연결 거부
- 분산 서비스 거부 공격(Distributed Denial of Service) tool : netbot, 도깨비, DDoSer, 카스
▶ 방화벽
- 승인되지 않은 외부 사용자가 내부 네트워크 정보에 불법적으로 접근하는 것을 방지
- Packet Filtering 방식
- OSI 모델의 Network Layer (IP Protocol) 와 Translate Layer (TCP Protocol) 수준에서만 작동
- 특정 IP 및 포트로만 접근 가능하도록 차단
- 패킷의 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어
- Packet 안에 포함된 Data 까지 확인하지는 않음
- Application Gateway 방식
- Application = Service
- Service 마다 Gateway 가 존재
- OSI 모델의 Application Layer 에서 작동
- 내부 ~ 외부 시스템간 방화벽의 Proxy를 통해서만 연결 허용, 직접 연결(IP Connection)은 허용되지 않음
- 외부에 대한 내부망의 완벽한 경계선 방어, 내부 Host 들의 IP 주소를 숨길 수 있음
- Circuit Gateway 방식
- OSI 모델의 L5 ~ L7 사이에 존재
- Proxy(Gateway)가 하나 뿐이어서 어떤 Service 든지 동일한 공통의 Proxy를 사용
- SOCKS Protocol
: 서버~클라이언트 간 TCP/UDP 통신을 Proxy Server를 거쳐서 진행하도록 도와주는 protocol
- Stateful Inspection(상태 정밀 검사)
- Packet Filtering 기술을 기본적으로 사용하여 클라이언트/서버 모델을 유지
- 모든 계층의 전후상황에 대한 Context (문맥) 데이터를 제공
- State Table : Context Data 를 저장하는 테이블
- Packet 변조에 대응할 수 있음 (Packet Filtering 방식의 이전 방화벽의 한계)
- 방화벽 구축 형태
- 스크리능 라우터 구조 : Packet Filtering 방식의 Router(스크린 라우터)를 하나 두어 구축
Packet Filtering 방식의 방화벽
- 베스천 호스트 구조 : 외부~내부 네트워크 사이에 Bastion Host를 거쳐 내부망으로 진입 가능하도록 구축
인증, 접근제어, Logging 가능
Application Gateway 방식의 방화벽
- 듀얼 홈드 호스트 구조 : 2개의 네트워크 인터페이스(LAN Card)를 가진 Bastion Host
하나는 내부, 하나는 외부에 연결
- 스크린드 호스트 구조 : Packet Filtering 방식의 Router가 앞단에 있고 Bastion Host가 후단에 연결
- 스크린드 서브넷 구조 : 외부망에 연결된 Router 와 내부망에 연결된 Router 를 따로 둠
두 Router 사이에 만들어진 작은 Subnet에 Bastion Host 를 둠
내부 네트워크에서 발생하는 모든 트래픽은 Bastion Host 를 거치도록 함
두 Router 사이에 www, FTP, SMTP, VPN 등의 Server 기능을 설치(DMZ)
최근의 가장 기본적인 방화벽 형태
- 방화벽의 한계
- 방화벽을 통과하지 않는 트래픽에 대해서는 대응할 수 없음
- terminal server 를 설정할 경우 취약 (Eg : NateON Terminal)
- 재생 공격(허용된 패킷의 변조)에 취약
▶ IDS (Intrusion Detection System : 침입 탐지 시스템)
- 탐지 형태
- 오용 탐지 : 침입 행위를 패턴형태로 저장하여 해당 시도를 인지하도록 함
신규 침입 행위에 대한 패턴 정보의 갱신이 반드시 이루어져야 함
False Alarm 가능성 낮음, 공격을 탐지하지 못할 가능성 높음
- 이상 탐지 : 정상 or 비정상 행위에 대한 범위를 설정
해당 범위를 벗어나면 침입으로 규정
보안 정책과 연동하여 침입 시도를 차단
False Alarm 가능성 높음
- IDS 기능
- 경보 기능(Alarm)
- 세션 차단 기능
- 셔닝 기능(shunning) : IDS에서 탐지를 하고 Router나 방화벽에게 알려서 차단하도록 하는 기법
- 사용자 프로그램의 실행
- Pros
- 보안 위협에 대해 적극적이고 능동적인 대응 -> IPS 사용
- 공격 전 단계의 행위를 감지 (IP Spoofing을 위한 Syn Floods 를 감지) -> 공격 원천 무산
- Cons
- 침입에 대한 민감도
- False Alarm 발생 가능성
- HoneyPot (허니팟)
- DMZ 내에 구축
- 공격자들이 운영되는 시스템을 대신하여 공격하도록 유인
- 취약점을 만들어 쉽게 접근할 수 있도록 유인, 침입자의 활동을 로그 파일로 저장하여 감시
- 수집된 정보를 바탕으로 향후 공격에 대응
- SSH(Secure Shell)
- 패킷을 암호화 하여 IP 스푸핑, DNS 스푸핑 등으로 부터 보호
- RSA 기반의 공개키/개인키 pair 방식을 이용
- SSH1
- 기존의 Telnet 을 대체하기 위해 만들어 짐
- Public Key, OTP 를 이용한 인증
- SSH2
- 다양하며 강력한 암호화
- Secure Hash Algorithm 을 이용한 인증 (SHA256 / SHA512)
- SSL (Secured Socket Layer)
- 클라이언트는 서버를, 서버는 클라이언트를 인증
- Netscape 에서 개발
- WEB 버전 : HTTPS (클라이언트가 서버를 인증)
- S-HTTP (Secure HTTP)
- VISA card 에서 개발
- Request 와 Response 구조를 그대로 이용하면서 암호화 기능을 수행하기 위해 추가적 헤더 정보 사용
- 헤더 암호화를 통해 안전한 전송 지원
- RSA 공개 키 암호 방식, Kerberos 등을 지원
- Data 암호 알고리즘에 DES, 3DES, IDEA, RC2 등을 지원
- HTTPS
- SSL 의 Web 버전
- X.509 인증서 사용 지원
- 443 포트 사용
- NAT (Network Adderess Translation)
- 사설 IP를 사용
- 보안기능 향상
- 클라이언트에서는 동적주소할당, 서버에서는 정적주소할당
- Wireless 인증(802.1x)
- Access Client 가 접속 가능한 AP를 통해 RADIUS 서버에 무선 접속, 인증 요청
- backend repository 와 통신하여 사용자 인증, 최종인증 통보 후 접속 포트 개방 (EAP)
- Wireless LAN 보안 문제점
- 사용자 인증 문제점 : SSID, Open System Authentication, Shared Key Authentication
- 무선구간 데이터 암호화 문제 : WEP, 고정된 키 사용, 동일 AP 접속자끼리 암호화 의미없음
알려진 평문 공격에 취약
- WEP : Wi-Fi 표준, 전송되는 데이터를 암호화, 클라이언트-AP간 무선링크 보호
- IEEE 802.1x
- 포트기반의 이증을 위한 전반적인 구조 정의
- EAP를 만족하는 개별인증 알고리즘 사용 (EAP-MD5, EAP-TLS만 표준화)
- SSH 와 SSL
- 사용자의 ID/PW 가 암호화 되지 않은 채 네트워크 데이터로 전달되는 경우를 방지
▶ 네트워크 공격
- 소극적인 공격(Passive Attack) : 적극적 공격을 위한 정보 수집 단계
- 적극적 공격(Active Attack)
- 네트워크 공격의 종류
- 방해(Interruption) : DDoS
- 가로채기(Interception) : 도청
- 수정(Modification) : 무결성 훼손
- 위조 (Fabrication) : 위장
- 스캐닝 공격(Port Scanning)
- 특정 호스트에서 어떤 서비스가 작동되고 있는지 알아내기 위한 정보 수집
- Network Mapper (tool Eg: NMap, SuperScan)
- 종류 : TCP SYN Scan, UDP Scan, FIN Scan, NULL Scan, Wardialing
- 최소로 제한된 포트를 열고 지속적인 SW 패치 수행
- 스푸핑 공격(Spoofing)
- 자신의 식별 정보를 속여서 다른 시스템을 공격
- 종류: IP Spoofing, ARP Spoofing, E-mail Spoofing, DNS Spoofing
- IP/ARP Spoofing 의 목적 : 도청(Sniffing)
- Packet Filtering Router, IP 인증기반 접근제어, 취약 서비스 제거, 암호화 프로토콜 사용으로 방어
- 스니핑 공격(Sniffing)
- 도청
- 종류 : Switch Jamming, ARP Redirection, ICMP Redirect
- Switch Jamming : 위조된 MAC Address 를 스위치 허브에 보내어 주소테이블을 Overflow 시켜 도청
- ARP Redirection : APR Reply를 위조해 모든 호스트에 보내 도청
- ICMP Redirection : ICMP Reply를 위조해 패킷을 도청
- SSL, PGP, VPN 등을 이용하여 데이터 패킷을 암호화, 스니핑 호스트를 주기적 점검
- Session Hijacking
- 종류 : TCP Session Hijacking, Web Session Hijacking
- TCP Session Hijacking : IP Spoofing, Sniffing 을 이용해 user 의 telnet session을 가로챔, SSH로 방어
- Web Session Hijacking : 쿠키를 가로채 poisoning, HTTPS로 방어
- 서비스 거부공격(Denial of Service)
- 과도한 패킷 트래픽을 발생시켜서 시스템의 자원을 소진시켜 가용성을 침해
- 종류 : Ping of Death, TearDrop Attack, Syn Floods, Smurf Attack, Land Attack
- Syn Floods : half-open TCP 연결을 계속 시도, 호스트의 listen queue를 포화시켜 TCP 서비스 연결 거부
- 분산 서비스 거부 공격(Distributed Denial of Service) tool : netbot, 도깨비, DDoSer, 카스
▶ 방화벽
- 승인되지 않은 외부 사용자가 내부 네트워크 정보에 불법적으로 접근하는 것을 방지
- Packet Filtering 방식
- OSI 모델의 Network Layer (IP Protocol) 와 Translate Layer (TCP Protocol) 수준에서만 작동
- 특정 IP 및 포트로만 접근 가능하도록 차단
- 패킷의 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어
- Packet 안에 포함된 Data 까지 확인하지는 않음
- Application Gateway 방식
- Application = Service
- Service 마다 Gateway 가 존재
- OSI 모델의 Application Layer 에서 작동
- 내부 ~ 외부 시스템간 방화벽의 Proxy를 통해서만 연결 허용, 직접 연결(IP Connection)은 허용되지 않음
- 외부에 대한 내부망의 완벽한 경계선 방어, 내부 Host 들의 IP 주소를 숨길 수 있음
- Circuit Gateway 방식
- OSI 모델의 L5 ~ L7 사이에 존재
- Proxy(Gateway)가 하나 뿐이어서 어떤 Service 든지 동일한 공통의 Proxy를 사용
- SOCKS Protocol
: 서버~클라이언트 간 TCP/UDP 통신을 Proxy Server를 거쳐서 진행하도록 도와주는 protocol
- Stateful Inspection(상태 정밀 검사)
- Packet Filtering 기술을 기본적으로 사용하여 클라이언트/서버 모델을 유지
- 모든 계층의 전후상황에 대한 Context (문맥) 데이터를 제공
- State Table : Context Data 를 저장하는 테이블
- Packet 변조에 대응할 수 있음 (Packet Filtering 방식의 이전 방화벽의 한계)
- 방화벽 구축 형태
- 스크리능 라우터 구조 : Packet Filtering 방식의 Router(스크린 라우터)를 하나 두어 구축
Packet Filtering 방식의 방화벽
- 베스천 호스트 구조 : 외부~내부 네트워크 사이에 Bastion Host를 거쳐 내부망으로 진입 가능하도록 구축
인증, 접근제어, Logging 가능
Application Gateway 방식의 방화벽
- 듀얼 홈드 호스트 구조 : 2개의 네트워크 인터페이스(LAN Card)를 가진 Bastion Host
하나는 내부, 하나는 외부에 연결
- 스크린드 호스트 구조 : Packet Filtering 방식의 Router가 앞단에 있고 Bastion Host가 후단에 연결
- 스크린드 서브넷 구조 : 외부망에 연결된 Router 와 내부망에 연결된 Router 를 따로 둠
두 Router 사이에 만들어진 작은 Subnet에 Bastion Host 를 둠
내부 네트워크에서 발생하는 모든 트래픽은 Bastion Host 를 거치도록 함
두 Router 사이에 www, FTP, SMTP, VPN 등의 Server 기능을 설치(DMZ)
최근의 가장 기본적인 방화벽 형태
- 방화벽의 한계
- 방화벽을 통과하지 않는 트래픽에 대해서는 대응할 수 없음
- terminal server 를 설정할 경우 취약 (Eg : NateON Terminal)
- 재생 공격(허용된 패킷의 변조)에 취약
▶ IDS (Intrusion Detection System : 침입 탐지 시스템)
- 탐지 형태
- 오용 탐지 : 침입 행위를 패턴형태로 저장하여 해당 시도를 인지하도록 함
신규 침입 행위에 대한 패턴 정보의 갱신이 반드시 이루어져야 함
False Alarm 가능성 낮음, 공격을 탐지하지 못할 가능성 높음
- 이상 탐지 : 정상 or 비정상 행위에 대한 범위를 설정
해당 범위를 벗어나면 침입으로 규정
보안 정책과 연동하여 침입 시도를 차단
False Alarm 가능성 높음
- IDS 기능
- 경보 기능(Alarm)
- 세션 차단 기능
- 셔닝 기능(shunning) : IDS에서 탐지를 하고 Router나 방화벽에게 알려서 차단하도록 하는 기법
- 사용자 프로그램의 실행
- Pros
- 보안 위협에 대해 적극적이고 능동적인 대응 -> IPS 사용
- 공격 전 단계의 행위를 감지 (IP Spoofing을 위한 Syn Floods 를 감지) -> 공격 원천 무산
- Cons
- 침입에 대한 민감도
- False Alarm 발생 가능성
- HoneyPot (허니팟)
- DMZ 내에 구축
- 공격자들이 운영되는 시스템을 대신하여 공격하도록 유인
- 취약점을 만들어 쉽게 접근할 수 있도록 유인, 침입자의 활동을 로그 파일로 저장하여 감시
- 수집된 정보를 바탕으로 향후 공격에 대응
'⑨ 직무역량강화 > CISSP' 카테고리의 다른 글
[CISSP] Domain 5. 시스템 운영 보안 (0) | 2012.01.11 |
---|---|
[CISSP] Domain 4. 응용 시스템 및 시스템 개발 보안 (0) | 2012.01.11 |
[CISSP] Domain 3. 통신과 네트워크 보안 (I) (0) | 2012.01.09 |
[CISSP] Domain 2. 보안관리실무 (0) | 2012.01.09 |
[CISSP] Domain 1. 접근통제 (0) | 2012.01.09 |
Comments