[정보보안기사 필기 요약 보기]
정보보안기사 필기 요약 #1-1. 정보보호 개요 http://captech.tistory.com/2
정보보안기사 필기 요약 #2-1. 암호학 http://captech.tistory.com/3
정보보안기사 필기 요약 #2-2. 암호학 http://captech.tistory.com/4
정보보안기사 필기 요약 #3-1. 접근통제 http://captech.tistory.com/5
정보보안기사 필기 요약 #4-1. 시스템 보안 http://captech.tistory.com/6
정보보안기사 필기 요약 #5-1. 네트워크 보안 http://captech.tistory.com/7
정보보안기사 필기 요약 #5-2. 네트워크 보안 http://captech.tistory.com/8
정보보안기사 필기 요약 #5-3. 네트워크 보안 http://captech.tistory.com/9
정보보안기사 필기 요약 #6. 애플리케이션 보안 http://captech.tistory.com/10
모든 파트 중 네트워크 보안이 가장 내용이 많네요. 세 개의 포스팅입니다.
이번 포스팅은 네트워크 보안 마무리입니다 ~!!! 중요한 내용이 많네요.
네트워크 기반 공격
- 물리적 위협
- 기술적 공격
(1) 수동적 공격: 통신회선 상 정보를 무단으로 취득 - 제 3자 접속 방지, 데이터 암호화로 방어
(2) 능동적 공격: 통신회선 상 정보를 변조, 위조 - 암호화와 데이터 무결성 확인으로 방어
서비스 거부 공격(DoS)
- 정당한 사용자가 적절한 시간 내에 자원을 이용하는 것을 방해하는 행위, 시스템 과부하
- 소프트웨어 취약점을 이용한 공격, Flooding 유형의 공격
1. TCP Syn flooding Attack
- TCP 연결 과정의 3-Way Handshaking에서 Half-Open 시도가 가능하다는 취약점을 이용
공격자가 다수의 Syn 신호를 대상자에게 전송하면
대상자는 Ack/Syn 신호를 공격자에게 전달하는데
이 때 공격자가 Ack 신호를 발송하지 않으면
대상자는 일정 시간 신호를 기다리게 된다.
- 이 공격은 인터넷에 연결된 모든 TCP 서비스에 피해
- 완벽한 해결책은 없으며 영향 감소 방법만이 알려짐
- 대응책
(1) 접속 타임아웃 타이머 시간을 짧게 단축
(2) 큐 사이즈 증가(자원 감소 문제점 발생 가능)
(3) IDS 설치를 통해 동일 형태 패킷 탐지, 해당 IP대역 차단
(4) 방화벽에 RST 패킷을 보냄으로써 TCP 세션을 없앰
2. SMURF Attack
- DoS 공격 중 가장 피해가 크며 IP 위장, ICMP 특징을 이용한 공격
- ICMP 브로드캐스트, 공격자, 증폭 네트워크, 대상 서버를 이용
- 공격자는 IP를 대상자의 IP 주소로 위장하여 ICMP를 브로드캐스트로 다수 시스템들에게 전송
이 때 브로드캐스트를 수신한 다수 시스템들은 ICMP ECHO 패킷을 대상 서버로 전송한다.
대상 서버는 다수의 ICMP ECHO를 수신하여 시스템 성능 문제를 일으키게 된다.
이 때 다수 시스템들은 다수의 ICMP ECHO를 발생하므로 증폭 네트워크로 불린다.
- 대응책
(1) 라우터에서 다른 네트워크로부터 자신의 네트워크로 들어오는 IP 브로드캐스트를 막는다.
(2) 호스트는 IP 브로드캐스트 주소로 전송된 ICMP 패킷에 응답하지 않도록 설정한다.
3. UDP Flood Attack
- UDP는 비연결성 프로토콜로써 데이터를 전달하기 위해 연결 절차가 필요없다.
- 대상 서버에 UDP 패킷을 전송하여 목적지 시스템 포트에 어떤 어플리케이션이
서비스 하는지 조사하여 없다면 ICMP Unreachable 패킷을 전송하는데
이 때 너무 많은 UDP 패킷이 대상 서버에 전송되면 시스템에 과부가 발생
- 대응책
(1) 사용하지 않는 UDP 서비스를 중지
(2) 방화벽을 이용하여 패킷 필터링
(3) 리눅스 시스템의 경우 chargen과 echo 서비스 중지
4. Land Attack
- 공격자가 임의로 자신의 IP 주소와 포트를 대상 서버의 IP 주소와 포트로 변경하여 공격
- SYN Flooding처럼 동시 사용자 수를 증가시키며 CPU 부하를 올리게 된다.
- 대응책
탐지방법
(1) 공격자가 보낸 패킷의 TCP를 분석
(2) TCP 패킷의 소스 IP, 포트와 목적지 IP, 포트가 동일한지 확인
(3) 공격자가 보낸 패킷을 카운트하여 시간 내 공격 인정 수가 많으면 Land Attack으로 탐지
조치방법
(1) 라우터나 패킷 필터링 도구를 이용하여 자신과 동일한 주소를 가진 외부 패킷 필터링
(2) 공격 정보를 네트워크, 시스템 관리자에게 알려서 IPS 시스템에서
소스 IP, Port와 목적지 IP, Port가 동일하면 차단하도록 설정
5. Ping of Death
- 핑을 이용하여 ICMP 패킷을 정상 크기(65,535 bytes)보다 아주 크게 만든 것
- 크게 만들어진 패킷은 라우팅되어 대상 서버에 도달하는 동안 작은 조각이 된다.
대상 서버는 작게 조각화된 패킷을 모두 처리해야 되기 때문에 많은 부하가 걸리게 된다.
6. Teardrop Attack
- 네트워크에서 IP가 패킷을 전송할 때 IP 단편화가 발생하게 된다.
수신자는 단편화된 데이터를 재조립을 통해 복구하는데, 이 때 정확한 조립을 위해
오프셋(Offset)이란 값을 더해야 한다. 공격자는 오프셋 값을 단편화 간 중복되도록
고의로 수정하거나 정상적인 오프셋보다 큰 값을 더한다.
오프셋 범위를 넘어서는 오버플로우를 발생시켜 시스템을 마비시키는 DoS 기법
- 대상 서버는 네트워크 연결이 끊어지거나 Blue Screen of Death 오류 화면을 표시
- 시스템에 직접적인 피해는 없으나 시스템의 정지로 인해 피해가 있을 수 있다.
- 현재 대부분 시스템에서 IP 패킷 재조합 시 0보다 작은 패킷 처리 루틴으로 방어
7. Inconsistent Fragmentation Attack
(1) Bonk
- 패킷을 단편화하여 전송할 때 조작하여 대상 서버에 시스템 부하를 증가시킨다.
- 처음 패킷을 1번으로 보낸 후 다음 패킷을 보낼 때 순서번호를 모두 1번으로 조작
(2) Boink
- 처음 패킷을 1번으로 보낸 후 다음 패킷을 100번, 다음 패킷을 200번 등
정상적으로 보내다가 20번 째 패킷을 2002, 21번 째 패킷을 100 등으로
중간에 패킷 시퀀스 번호를 비정상적인 상태로 보내는 공격 기술이다.
8. IP Fragmentation Attack-Tiny Fragmentation
- 최초의 단편화를 아주 작게 만들어서 IDS나 패킷 필터링 장비를 우회하는 공격
- TCP 헤더가 2개의 단편화로 나누어질 정도로 자게 쪼개서 목적지 TCP 포트 번호가
첫 번째 단편에 위치하지 않고 두 번째 단편에 위치하도록 조작한다.
IDS나 패킷 필터링 장비는 필터링 결정을 위해 포트 번호를 확인하는데
포트 번호가 포함되지 않을 정도로 작게 단편화된 첫 번째 단편을 통과시킨다.
실제 포트 번호가 포함된 두 번째 단편은 검사하지 않고 통과된다.
대상 서버에서는 이 패킷들이 재조합되어 공격자의 의도를 달성한다.
DDoS 공격
- 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트나 시스템을 공격함으로써
엄청난 분량의 패킷을 동시에 범람시켜 네트워크 성능 저하나 시스템 마비를 가져옴
- 구성 요소
(1) 공격자: 공격자의 주 컴퓨터
(2) 마스터: 공격자의 명령을 받는 시스템으로 여러 대의 슬레이브를 관리
(3) 슬레이브/좀비: 공격 대상에 직접적인 공격을 가하는 시스템으로 감뎜된 시스템
(4) 표적: 공격 대상이 되는 시스템
- 공격방식
(1) 트리누(Trinoo) 공격
- UDP flood 서비스 거부 공격을 유발하는 도구, 몇 개의 서버와 많은 클라이언트로 구성
공격자는 트리누 마스터에 접속하여 마스터에게 대상에 공격 수행 명령을 내린다.
(2) TFN 공격
- UDP flood 공격 뿐만 아니라 TCP SYN flood 공격, ICMP echo 요청 공격, SMURF 공격 가능
(3) Stacheldraht 공격
- 트리누와 TFN에서 발전한 도구로써 마스터와 에이전트 데몬 간 통신에 암호화 기능 추가
(4) TFN2K 공격
- 통신에 특정 포트가 사용되지 않고 암호화되어 있음
TCP, UDP, ICMP 복합적 사용, 포트 임의 결정 가능, 지정된 TCP 포트에 백도어 실행 가능
- 대응책
(1) 라우터의 ACL을 이용하여 공격주소와 포트를 등록하여 관리
(2) 라우터의 Ingress 필터링을 이용하여 지정 IP 도메인의 패킷만이 라우터를 통과하게 필터링
(3) 라우터의 Egress 필터링을 이용하여 IP 위조 패킷이 나가는 것을 ISP 단계에서 필터링
(4) 라우터의 CAR(Committed Access Rate, 약속된 접근 비율) 기능을 이용하여
단위시간 동안 일정량 이상의 패킷이 들어올 경우 그 이상은 통과하지 않도록 관리
(5) 방화벽의 포트 필터링을 이용하여 방지
(6) 시스템 패치, Hot Fix를 이용하여 취약점과 버그를 이용하는 악성코드, 침입을 방지
(7) 안정적인 네트워크 설계로써 취약점이 없도록, SPoF이 없도록 설계
(8) IDS(Intrusion Detection System)을 이용하여 DDoS 공격을 탐지
(9) 로드 밸런싱을 이용하여 대용량 트래픽을 분산처리하고 네트워크 대역폭 성능을 강화
(10) 서비스 별 대역폭을 제한하여 공격에 따른 서비스 피해를 최소화
(11) DPI(Deep Packet Inspection)을 이용하여 네트워크 전 계층 패킷과 콘텐츠 검사
DRDOS(Distributed Reflection DoS)
- 분산 반사 서비스 거부 공격,
별도의 에이전트 설치 없이 프로토콜 구조의 취약성을 이용하여
정상적으로 운영하는 시스템을 공격의 에이전트로 활용한다.
- 공격 에이전트를 찾아 제거하는 DDoS 공격의 방어와는 다르게
공격자가 사용하기 쉽고, 공격을 당한 사이트의 복구가 어렵다.
포트 스캔
- 공격자가 목표 대상 내 서버나 호스트들의 생존여부와 서비스 등을 확인, 식별
- TCP Open 스캔: 열린 포트에 세션을 성립시켜 활성화 상태 파악, 로그 남고 느림
열린 경우: 공격자 SYN 보냄 - 서버 SYN+ACK 보냄 - 공격자 ACK 보냄
닫힌 경우: 공격자 SYN 보냄 - 서버 RST+ACK 보냄
- TCP Half Open 스캔:
열린 경우: 공격자 SYN 보냄 - 서버 SYN+ACK 보냄 - 공격자 RST 보냄(끊음)
닫힌 경우: 공격자 SYN 보냄 - 서버 RST+ACK 보냄
- 스텔스 스캔
로그를 남기지 않거나, 공격 대상을 속이고 자신의 위치를 숨기는 모든 스캔 통칭
세션을 완전히 성립하지 않고 포트 활성화 여부를 알아내므로 로그가 남지 않음
(1) FIN 스캔: Finish 패킷을 보내 포트가 열린 경우 응답없음, 닫힌 경우 RST 돌아옴
(2) NULL 스캔, XMAS 스캔: NULL은 플래그 없는 경우, XMAS는 플래그 모두 설정(같은 결과)
- UDP 스캔: UDP 패킷이 전달되는 동안 라우터나 방화벽에 손실될 수 있으므로 신뢰 어려움
열린 경우: 공격자 UDP 패킷 보냄 - 서버 응답 없음
닫힌 경우: 공격자 UDP 패킷 보냄 - 서버 ICMP Unreachable 보냄
- Remote Finger Printing: 텔넷 IP 포트 형태로 포트를 서비스 형태로 지정하여 명령어 실행
OS, 서비스의 정보를 얻을 수 있다. TCP/IP 특성 이용, RFC 문서를 통한 전송 응답 형태 이용
스푸핑
- 골탕 먹이다, 속이다의 뜻. 공격자가 호스트의 IP나 이메일 주소를 바꾸어서 해킹하는 방법
신뢰관계 시스템 간 정보를 교환할 때 공격자가 한 쪽으로 위장하여 정보를 탈취하는 행위
패킷 스니핑
- 스니핑은 상대방의 패킷 교환을 엿듣는 것을 의미한다. 네트워크 트래픽을 도청하는 과정
- TCP/IP 프로토콜을 이용한 통신에서는 패킷 암호화가 되지 않은 상태이므로 도청 가능성
- 허브 환경 스니핑, 스위치 환경 스니핑
- 대응책
(1) 암호화 기능 및 보안 프로토콜을 사용한다.(SSL, IPSEC, PGP)
(2) 스니핑 탐지 방안
- Ping request 이용: 위조 MAC 주소로 ping echo request를 다른 시스템에 보냈을 때
만약 ping echo reply를 받게 된다면 해당 호스트는 스니핑하고 있는 호스트이다.
- ARP 이용: 위조 ARP로 ARP request를 보냈을 때, response가 온다면 스니핑 호스트
- Anti-sniffer: 네트워크 카드의 promiscuous(무차별) 유무를 체크하여 스니핑을 체크
세션 하이재킹
- 연결 중인 세션을 하이재킹하는 공격기법, 접근 권한을 얻기 위한 인증 절차를 건너뜀
(1) 목표설정
(2) 시퀀스 넘버 난이도 검사
(3) 공격 대상 세션 설정
(4) 시퀀스 넘버 추측
(5) 사용자 DoS 공격
(6) 세션 하이재킹
- 대응책: 암호화, 지속적인 인증, 패치
그 외 Remote Attack
- 공격자는 원격 Remote Attack 후에 접근권한을 얻어 Local Attack
- Trojan은 건전하게 위장하여 사용자가 실행하도록 만든 후 정보 유출, 자신을 숨김
- Exploit는 OS 버그를 이용하여 루트 권한 획득, 특정 기능을 수행하는 공격 코드
침입 탐지 시스템(IDS; Intrusion Detection System)
- 컴퓨터나 네트워크의 이벤트들을 모니터링하여 침입발생 여부를 탐지하고 대응
- 로컬 네트워크나 호스트에 위치하여 자원의 무결성, 기밀성, 가용성 저해 행위 탐지
- IDS 실행단계
(1) 데이터 수집(Raw Data Collection): 탐지대상으로부터 생성되는 감사 데이터 수집
(2) 데이터 가공 및 축약(Data Reduction and Filtering): 침입 판정 가능하도록 전환
(3) 침입분석 및 탐지: 핵심 단계이며, 비정상적 행위 탐지 기술과 오용 탐지 기술
(4) 보고 및 대응(Reporting and Response): 침입 판정 시 대응, 보안관리자에게 보고
IDS 분류 방법
1. 탐지방법
(1) 지식 기반/오용 침입 탐지
- 특정 공격 분석결과를 바탕으로 패턴 설정, 패턴(시그니처)와 비교하여 일치하면 침입 판정
- 오탐률(False Positive) 낮음, 전문 시스템(추론, 지식베이스) 이용, 트로이목마, 백도어 탐지
- 새로운 공격탐지를 위해 지속적 갱신 필요, 패턴 없는 공격 탐지 불가, 속도 문제
(2) 행위 기반/비정상행위 침입 탐지
- 사용자 행동양식을 분석하여 정상 행동과 비교해 이상함, 급격한 변화가 발견되면 침입 판정
정량적/통계적 분석, 형태 관찰, 프로파일 기반 이상 여부(I/O 사용량, 로그인 횟수, 패킷량)
- 인공지능 알고리즘 스스로 판단하여 패턴 업데이트 불필요, 새로운 공격탐지 가능
- 오탐률(False Positive) 높음, 정상과 비정상 구분을 위한 임계치 설정 어려움
2. 대응방법
(1) 수동적 대응: 침입 탐지 시 별도 대응 없이 관리자에게 경보
(2) 능동적 대응: 침입 탐지 시 스스로 대응을 수행하여 공격을 막거나 방어
3. 데이터 수집원
(1) 네트워크 기반 IDS(NIDS)
- NIDS는 감지기를 이용, 필요 소프트웨어가 설치된 컴퓨터나 어플라이언스 장비
네트워크 세그먼트 당 하나의 감지기만 설치하면 되므로 설치 용이
- 무차별 모드(promiscuous mode)에서 동작하는 네트워크 인터페이스(NIC)에 설치되어 있다.
네트워크에서 실행되어 개발서버 성능저하 없음, 여러 유형 침입 탐지, 해커 IDS 공격방어
- 모든 네트워크 트래픽 모니터링, 분석하지만 자신에게 향하는 트래픽 관찰 불가 - HIDS 필요
- 네트워크 패킷이 암호화 전송 시 탐지 불가, 트래픽 증가 시 문제 야기, 오탐률 높음
(2) 호스트 기반 IDS(HIDS)
- 개인의 워크스테이션 또는 서버에 설치되어 비정상적이거나 변칙적인 행동 탐지
서버에 직접 설치되므로 네트워크 환경과 무관
- 사용자들로 하여금 시스템 파일 관리, 설정값 재설정, 위험에 노출되지 않도록 이용
- 기록되는 다양한 로그를 통해 정확한 침입 방지 가능, 트로이목마, 백도어, 내부자 공격 탐지
- 해커에 의한 로그 변조 가능성, DoS에 무력화 가능, 호스트 성능에 의존적, 리소스 사용
* NIDS는 네트워크 트래픽을 분석 - HIDS는 컴퓨터 자체를 제한
4. 탐지시점
(1) 사후분석 시스템: 수집된 감사 데이터를 정해진 시간에 분석하여 침입 즉시 대응 불가
(2) 실시간 탐지 시스템: 실시간 정보수집과 동시에 감사 데이터 발생, 침입 탐지와 대비책 실행
* 침입 탐지 중
1. 오탐(False Positive): 정상 사용을 공격으로 판단(옳다고 잘못 판단)
2. 미탐(False Negative): 공격을 정상 사용으로 판단(틀리다고 잘못 판단)
* 스텔스 모드 탐지 시스템: IDS 호스트에 네트워크 감시용, 관리용 인터페이스
네트워크 감시용 인터페이스는 외부로 패킷을 보내지 않음(외부에서 인지 못함)
IDS의 장단점
- 장점: 침입차단시스템보다 적극적인 방어, 내부 사용자 탐지 및 방어, 근원지 추적 가능
- 단점: 관리와 운영 어려움, 새로운 침입에 취약, 근본적 해결책 안됨
False Positive가 많이 발생하면 공격 분별 어려움, 수동적, 새로운 공격탐지에 한계
침입 방지 시스템(IPS; Intrusion Prevention System)
- 다양한 보안기술을 이용하여 침입 전에 막고, 유해 트래픽을 차단하는 능동형 보안 솔루션
- IDS는 탐지적이고 사후에 조치한다면, IPS는 예방적이고 사전에 조치를 취하는 기술
- IDS가 구축된 영역에는 다수의 호스트 기반 IPS와 네트워크 기반 IPS 장비가 있다.
IPS 분류방법
1. 공격 패턴 인지 방식
(1) Signature Based IPS: 침입방지 패턴 DB 기반, 공격에 시그니처를 정의하여 매칭되면 차단
새로운 공격의 경우 시그니처 리스트가 업데이트되지 않아 차단 불가하지만, 오탐 가능성 적음
IDS와 기본적으로 동일한 형태의 인지 방식이며 대부분의 IPS가 채택하는 방식
(2) Heuristics Based IPS: Anomaly Detection/Prevention 방식
알려지지 않은 공격에도 수집, 축적되는 정보를 이용하여 오탐을 줄이고 대처하는 방식
2. 구성 형태
(1) Network IPS(NIPS): 방지능력, 속도를 위해 In-Line 위치, 독립된 솔루션 기반 제품
세션 기반 탐지 지원, 다양한 방지 방법(시그니처, Protocol Anomaly, Action)을 이용
실시간 패턴 처리, 오탐 최소화, 변형 공격과 오용 공격의 탐지, 실시간 반응 기술 사용
- 하드웨어 기반, 호스트 독립적, 고성능
(2) Host IPS(HIPS): 기존 호스트 운영 서버 상 소프트웨어 기반 IPS
Kernel Dependant: 커널과 함께 동작하여 이벤트를 가로채 처리, 접근제어 포함 Secure OS
Kernel Independent: 커널과 독립적으로 시그니처와 행동 기반 분석, 규칙 위배 이벤트 필터링
- 소프트웨어 기반, 호스트 종속적
침입 차단 시스템, 방화벽(Firewall)
방화벽의 기능
1. 패킷 필터링: ACL을 생성해 두고 패킷 헤더 정보를 바탕으로 트래픽 제어
2. 사용자 인증: 방화벽은 내부 네트워크 접속 시 반드시 통과하므로 인증에 적합
3. 로깅 및 감사추적: 모든 접근이 방화벽을 통과할 때 접속정보 등 유용한 통계를 제공
4. NAT(Network Address Translation): 방화벽 내부 시스템의 IP가 외부에 공개되지 않도록하여
방화벽 내부 네트워크 구성 은닉 및 다양한 네트워크 구성이 가능하도록 효율성 제공
방화벽의 장단점
- 장점: 취약 서비스 보호, 호스트 시스템 접근제어, 로그와 통계, 내부 네트워크에 일관된 정책
- 단점: 제한된 서비스 제공, 우회 트래픽 제어 불가, 악의적 내부 사용자 곤란, 새로운 공격 곤란
방화벽 기술
1. NAT(Network Address Translation)
- 라우터에 의해 적은 숫자의 유효 IP로 많은 시스템이 인터넷에 접속할 수 있게 하는 서비스
외부에서 내부 네트워크로 직접적인 접근이 불가능하게 되므로 네트워크 보안 효과
2. 패킷 필터링
- 일정한 규칙에 의해 선택적으로 네트워크의 흐름을 조절, 패킷에 대한 차단과 통과 규칙
사용 목적에 맞는 패킷을 미리 규칙으로 규정해야함, 라우터나 독립적 호스트로도 구현
3. 경계 네트워크(Perimeter Network)
- 외부 네트워크와 보호 대상 네트워크 사이에 존재하면서 경계를 구분하는 네트워크, DMZ
내부와 외부 네트워크를 분리하고 내부 시스템의 안정성을 높이는 역할을 수행
4. 프록시
- 네트워크 프로그램의 일종, 서버와 클라이언트 간 특정 서비스를 중계
클라이언트: 서비스를 프록시 서버에 요청 - 서버: 요청에 따라 외부 네트워크 연결 중계
5. 베스천 호스트(Bastion Host)
- 침입 차단 소프트웨어가 설치되어, 내부와 외부 네트워크 간 게이트웨이 역할 수행, 보안 기능
내부 네트워크 사용자들의 주요 접속점, 인터넷에 노출되므로 불필요 명령, 파일은 삭제 필요
주로 웹 서비스나 파일 전송 서비스에 대한 프록시 역할, 인증, 로그기능 담당
방화벽 유형
1. 패킷 필터링 방화벽
- 필터링을 위해 IP, 포트 목록을 작성하여 목록을 기반으로 3, 4계층의 차단 필터링, ACL 이용
- 확장 가능, 높은 성능, 응용 프로그램 독립적, 헤더 조사 안함, 낮은 보안, 연결상태 추적 안함
2. 상태 기반 검사 방화벽(Stateful Inspection)
- 패킷 필터링과 달리 각 패킷이 종료될 때까지 패킷 전달 정보를 기억
일정시간 내 송수신 패킷을 모두 검사, 특정 수신을 요청한 송신 패킷이 적절한지 확인할 경우
방화벽을 통과, 방화벽이 상태정보 테이블을 유지하도록 요구, 3, 4계층에서 동작
3. 프록시 방화벽
- 메시지가 목적지로 전달되기 전에 가로채고 검사
- 보호되는 네트워크와 보호되지 않는 네트워크 사이에 위치하여 양방향 연결 형성
외부와 대화하는 유일한 시스템, 외부 컴퓨터가 내부 컴퓨터로 직접 접근할 수 없도록 보장
- 가능한 경우 응용 프로그램 계층까지 전체적으로 패킷 정보검사, 패킷 필터링보다 높은 보안
- 트래픽 성능 저하, 응용 프로그램 기반 프록시 방화벽은 확장성, 성능 문제, 기능상 단점 존재
(1) 응용 프로그램 수준 프록시 방화벽
- 패킷 전체를 검사하고 패킷 내 문맥에 기반하여 접근결정을 내림, 프로토콜과 명령어 구분
- 응용 프로그램 프록시는 하나의 서비스나 프로토콜을 위해 동작, 서비스마다 필요
(2) 회선 수준 프록시 방화벽
- 클라이언트와 서버 사이에 회선을 생성시키고 세션 계층의 보호방법을 제공
- 주소, 포트, 프로토콜 유형에 따라 접근권한을 결정하는 패킷 필터와 유사하게 동작
패킷의 페이로드 데이터보다는 패킷 헤더 데이터를 검사, 패킷 내 컨텐츠는 확인 불가
- 비표준포트로 우회하는 접근에 대해서는 방어 불가
- SOCKS: 회선 수준 프록시 게이트웨이, 내부에서 외부 서버 접근할 때 침입 차단 기능
(3) 커널 프록시 방화벽
- 패킷이 커널 프록시 방화벽에 도착하면 새로운 가상 네트워크 스택이 생성되는데
이것은 수신된 패킷을 검사하는데 필요한 프로토콜 프록시로만 구성되어 있다.
- 모든 조사와 진행이 커널에서 이루어지고 응용 프로그램 계층까지 전달할 필요가 없어서
응용 프로그램 레벨 방화벽보다 좋은 성능을 가짐
- 내부와 외부 사이의 연결은 중개인에 차단될 수 있고, 송신지 주소를 바꾸어 NAT 수행 가능
* 네트워크 계층: 패킷 필터링 방화벽, 상태기반 감시 방화벽
전송 계층: 회선 수준 프록시 방화벽
응용 프로그램 계층: 응용 프로그램 수준 프록시 방화벽
4. 개인 방화벽
- 네트워크에서 오는 원하지 않는 트래픽을 차단하기 위한 애플리케이션 프로그램
- 일반 방화벽의 작업을 보완, 개인 DSL, 케이블 모뎀 연결 같은 방화벽 없는 경우 대책
방화벽 구조
1. 스크리닝 라우터 구조(Screening Router)
- 라우터를 이용해 패킷을 필터링하여 내부 서버 접근을 통제
연결 요청에 따라 패킷 헤더를 분석하여 송수신지 주소, 포트, 제어필드 분석 후
패킷 필터링 규칙에 의해 트래픽의 통과 또는 차단 여부를 판별한다.
- 구조가 간단하고 장비 추가비용이 없음,
- 라우터에 복잡한 필터링 필요, 인증 불가, 내부구조 숨기기 어려움, 1개 장애물: 방어 약함
2. 이중 네트워크 호스트 구조(Dual-Homed Host Architecture)
- 두 개의 인터페이스를 가지는 장비, 각각 내부와 외부 네트워크 연결, 라우팅 기능 없음
- Dual-Homed 게이트웨이가 베스천호스트 기능, 네트워크들의 데이터 공유를 도와주어서
여러 개의 네트워크가 동시에 통신할 수 있도록 지원하는 변환기 역할
- 네트워크의 모든 패킷에 대해 검사 및 필터링하므로 소규모 네트워크에 적합
- 기록정보 생성, 방화벽 관리가 용이하며 내부 네트워크를 숨길 수 있음
- 사용자 정보 입력 필요, 베스천 호스트가 손상되거나 유출되면 취약
3. 스크린드 호스트 게이트웨이 구조(Screened Host Gateway)
- 스크리닝 라우터와 이중 네트워크 게이트웨이를 결합한 형태로
내부 네트워크 베스천 호스트와 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성
- 한 포트를 외부 네트워크에 연결, 다른 포트는 내부 네트워크에 연결하는 구조
- 네트워크 계층(스크리닝 라우터)과 응용 계층(베스천 호스트)에서 방어하므로
2단계 방어가 가능, 기본 필터보다 필터링 규칙이 단순하며 방어의 깊이가 개선
- 베스천 호스트 침해 시 보안에 취약, 해커나 악의의 내부자에 의해 스크린라우터의
라우팅 테이블이 변경되면 외부 트래픽이 베스천 호스트 없이 내부 네트워크로 침입
4. 스크린드 서브넷 구조(Screened Subnet)
- 스크리닝 라우터들 사이에 이중 네트워크 게이트웨이가 위치하는 구조
인터넷과 내부 네트워크 사이에 DMZ라는 네트워크 완충지역 서브넷을 운영
- 공격자가 내부 접근권한 획득 전에 세 개의 장비가 유기적으로 협력하여 동작, 강력한 보안
- DMZ 보안층을 가지고 있어 안전, 모듈러와 유연, 높은 방어 깊이
- 설치 관리가 어렵고, 구축비용이 높음, 서비스 속도가 느려짐
방화벽 운영 정책과 추가 기능
1. Deny All: 모든 트래픽을 차단하고, 특정 트래픽만 선별적으로 허용, 중요 서버 접속 등
2. Permit All: 모든 트래픽을 허용하고, 특정 트래픽만 선별적으로 차단, 내부망 > 외부 차단 등
방화벽의 한계점
- 방화벽은 내부 시스템이 직접 노출되지 않도록 위험지역 축소, 외부 노출 서비스 방어 어려움
- 네트워크 트래픽 필터링이므로 허용된 트래픽에 해킹 코드가 있어도 차단하거나 감지 못함
- 방화벽을 통과하지 않는 트래픽은 제어가 불가
VPN(Virtual Private Network)
- 공중 네트워크를 이용하여 사설 네트워크가 요구하는 서비스를 제공
- 공중 네트워크를 경유하여 데이터가 전송되어도 외부로부터 안전하게 보호되도록
주소 및 라우터 체계의 비공개, 데이터 암호화, 사용자 인증 및 접근권한 제한
- ISP가 제공하는 인터넷 망을 이용하여 구축하므로 장비와 회선비용 절감 가능
- IPSec, MPLS 등으로 VPN 구축 가능, 위치와 상관없이 ISP의 POP로 접속가능
- 명확한 표준 없음, 암호화 기술 노출 및 정책적 보안 부족, LAN에 비해 성능 부족
VPN 구현 기술
1. 터널링
- VPN 내 두 호스트 간 가상경로를 설정하여 투명한 통신 서비스를 제공
- 인터넷과 같은 안전하지 않은 네트워크에서 전용선과 같은 강력한 보안 제공
2. 암호화 및 인증
- 정보의 기밀성을 제공하기 위해 VPN에서는 대칭키 암호를 사용
암호화 대칭키는 공개키 암호방식을 통한 키 교환을 통해 공유
- 메시지 인증은 MAC 또는 해시함수를 이용하여 맞는 출처에서 온 사실, 변경 여부를 확인
- 사용자 인증은 VPN 접속요구 시 신원을 확인하는 프로세스이며 보안 서버에서 인증 후 허가
3. 접근제어
- 필터링은 접근제어를 결정할 수 있지만 암호화하지 않은 IP 패킷에서만 가능하다.
VPN 구성형태 분류
1. Intranet VPN
- 기업 내부 또는 지사까지 VPN을 통해 연결, TCP/IP 기반으로 인터넷과 동일한 장비와
응용 프로그램을 사용할 수 있으며, 방화벽 및 ID, PW 입력하여 접속하는 보안 서비스
2. Extranet VPN
- 밀접한 관계가 있는 고객사나 협력업체에게 Intranet을 이용할 수 있도록 확장한 개념
기업 간 원활한 데이터 교환을 목적으로 사용, 자사 - 고객 - 협력업체를 VPN으로 구성
3. Remote Access VPN
- 재택근무자, 원격 접속자는 무선 및 전화접속으로 ISP의 NAS(Network Access Server) 접속
- 접속경로는 PSTN, ISDN, xDSL 등, NAS는 사용자 접속 인증과 터널링 기능을 수행
- 가장 중요한 요소는 보안, 사용자의 접속 장소와 시간을 알 수 없으므로 철저한 보안 필요
VPN 구성
1. 터널링
- 송수신자 간 전송로에 외부 침입을 막기 위해 일종의 파이프를 구성, 보안 기능 지원
- 터널링되는 데이터를 페이로드(Payload)라고 부르며 내용은 터널링 구간에서 변경되지 않음
2. 2계층 터널링 프로토콜
- 사용자와 접속하고자 하는 위치의 LAN을 연결, Client-to-LAN, Remote Access VPN에 사용
- 사용자 측에서 다이얼 업을 이용하여 접속할 때 ID, PW 인증절차를 거쳐 터널링을 시작
- 2계층 터널링 프로토콜의 터널 구성방법은 클라이언트 개시 VPN과 NAS 개시 VPN이 있다.
(1) 클라이언트 개시 VPN(Client-Initiated VPN)
- PC 등 사용자 장비에 VPN 지원 소프트웨어 설치 필요, 소규모 네트워크 사용
인증절차 이후 NAS는 터널링 프로토콜에 관여하지 않음(터널링 설정할 때 미관여)
- 접속절차: 사용자는 NAS로 접속 - ID, PW 인증 - 목적지 게이트웨이와 VPN 터널링
(2) NAS 개시 VPN(NAS-Initiated VPN)
- PC 등 사용자 장비에 별도 장치 및 소프트웨어 불필요
- NAS가 인증 및 터널링 설정에 책임(NAS 복잡, 하나의 터널에 다중접속 지원으로 효율적)
- NAS에 VPN 기능 추가 필요
- 접속절차: NAS로 접속 - 인증 - VPN 터널링
(3) PPTP(Point-to-Point Tunneling Protocol)
- IP, IPX, NetBEUI(IBM) 페이로드를 암호화하고 IP헤더로 캡슐화하여 전송
- 서버가 MS 윈도우 NT 서버로 제약, 사용자는 별도의 PPTP 지원 소프트웨어 필요
하나의 터널에 하나의 접속, 헤더 압축, 터널 인증 미지원
(4) L2F(Layer 2 Forwarding Protocol)
- NAS 개시 VPN형, 전송 계층 프로토콜로 UDP를 사용
(5) L2TP(Layer 2 Tunneling Protocol)
- PPTP와 L2F를 결합, 호환성 좋음, 터널 인증 기능하지만 패킷 인증, 암호화, 키 관리 미지원
IPSec ESP를 이용하여 보안기능을 제공, 인터넷, X.25, Frame Relay, ATM 지원, UDP 사용
- 하나의 터널에 다수 접속가능, 헤더 압축 지원, 터널 인증 지원
3. 3계층 터널링 프로토콜
- IPSec과 MPLS로 대표, 주로 LAN-to-LAN VPN에 이용, 주체는 LAN 단위 네트워크
- 네트워크 관리자는 원격 노드나 CPE(Customer Premises Equipment)에 소프트웨어 불필요
- IPSec: IP 계층 보안을 위해 IETF가 제안, VPN 구현에 널리 사용
AH(Authentication Header)와 ESP(Encapsulation Security)를 통해 인증, 무결성, 기밀성 제공
ISAKMP/IKE(Internet Security Association and Key Management Protocol
/Internet Key Exchange)에서는 AH/ESP에 필요한 보안 협상과 키 관리를 담당
- IPSec의 두 가지 모드
(1) 전송모드: IP 페이로드를 암호화하여 IP 헤더로 캡슐화
(2) 터널모드: IP 패킷을 모두 암호화하여 전송
- IPSec의 헤더
(1) AH: 데이터와 순서번호 보유, 송신자 확인, 메시지 미수정 보장, 암호화 기능 없음
(2) ESP: IP 페이로드를 암호화하여 데이터 기밀성 제공, 제 3자에 데이터 노출 차단
|
구분 |
전송 |
터널 |
|
AH |
IP헤더와 IP페이로드 사이 AH/ESP 헤더 삽입하여 전송 |
IP헤더와 IP페이로드로 새로운 IP 헤더와 AH/ESP 헤더로 캡슐화하여 전송 |
|
데이터 원본 인증, 무결성: MD5/SHA 이용 재생공격에 대한 보호: 순서번호 삽입 | ||
|
전송 계층 이상 프로토콜에 대한 인증만 수행 |
전체 IP패킷에 대한 인증 새로운 IP헤더 오버헤드 | |
|
ESP |
데이터 기밀성, 원본 인증, 무결성, 재생공격 방지 | |
|
IP페이로드를 ESP헤더와 트레일러로 캡슐화, 암호화 |
IP헤더까지 포함한 원본 패킷을 새로운 IP패킷의 페이로드로 삽입하여 원본 패킷 자체를 암호화 | |
4. 인증
- 데이터 변형 여부하는 데이터 인증, 송신자 접근권한 부여하는 사용자 인증 등
- Remote Access VPN은 초기 VPN 접근 시 보안서버로부터 인증절차 필요
- Peer-Peer 방식, Client-Server 방식
(1) Peer-Peer 방식
- 독립적인 2개의 호스트 간 요청과 응답을 통해 사용자 인증을 수행하는 방식, PKI, IPSec
- PAP(Password Authentication Protocol)과 CHAP(Challenge Handshake Authentication P)
- PAP는 2-way handshaking 방식으로 인증 요청 호스트에서 사용자 ID, PW를
일반 텍스트 형태로 전달하므로 인증 정보의 외부 노출에 취약하다.
- CHAP는 3-way handshaking 방식으로 인증 서버가 호스트에 challenge 메시지를 보내면
호스트는 보안을 위해 해시함수 계산 값을 보내고 인증 서버는 값이 일치하면 인증
- Peer-Peer 방식은 호스트 사용자 별로 차별화된 네트워크 접근권한이 불가한 단점
(2) Client-Server 방식
- 보안관리에 더 편리하고 유연한 방식으로 TACACS, RADIUS가 있음, L2TP
- TACACS(Terminal Access Controller Access-Control System)는 인증에 필요한
사용자 ID, PW, PIN, 암호키를 인증서버 DB에서 관리하며 클라이언트 인증 요청 처리
사용자와 서버 사이에 전달되는 모든 데이터는 일반 텍스트 형태
TACACS+에서 MD(Message-Digest), 해시함수를 추가, 멀티프로토콜 로그인 지원
- RADIUS(Remote Access Dial-In User Service)는 사용자 인증 외에 연결 관리를 위해
NAS와 연동하여 인증 시스템을 구성, NAS는 접속 제공 서버와 동시에 RADIUS 클라이언트
TACACS와 마찬가지로 인증서버에서 인증에 관련된 정보를 단일 DB 형태로 관리
사용자 암호의 안전한 송수신을 위해 비밀키 암호화 방식을 사용
- Client-Server 방식은 PAP과 CAHP 인증 지원 및 Proxy 서버역할도 지원함으로써
Peer-Peer 방식에 비해 더 유연하고 신뢰성 있는 인증 기능을 제공
네트워크 보안 동향
- 역추적(traceback)은 해커의 실제 위치를 실시간으로 추적하는 기술
TCP connection traceback, connection traceback, IP packet trace back, packet traceback
호스트 기반 연결 역추적 기술, 네트워크 기반 연결 역추적 기술
1. ESM(Enterprise Security Management)
- 기업과 기관의 보안 정책을 반영, 다양한 보안 시스템을 관리하여 조직의 보안 목적 실현
- 각종 네트워크 보안제품 인터페이스를 표준화하여 중앙 통합 관리, 침입 종합대응, 모니터링
- 통합 관제, 운영을 통한 비용 절감, 보안정책 통합 관리를 통한 일관성, 보안 관리 효율성
- 크로스 플랫폼(Cross Platform) 기반의 오픈 아키텍처로 유연성과 상호 운영성 및
개별 보안 솔루션과 ESM의 연계 및 통제를 위한 에이전트 기반의 클라이언트 통제
2. NAC(Network Access Control)
- 네트워크에 접속하는 접속 단말의 보안성을 검증하여 보안성을 강제화하고 접속을 통제
'Post 3. 개발 일지 > 1. 정보보안기사' 카테고리의 다른 글
| 정보보안기사 필기 요약 #6. 애플리케이션 보안 (0) | 2017.09.03 |
|---|---|
| 정보보안기사 필기 요약 #5-2. 네트워크 보안 (0) | 2017.08.20 |
| 정보보안기사 필기 요약 #5-1. 네트워크 보안 (0) | 2017.08.18 |
| 정보보안기사 필기 요약 #4. 시스템 보안 (0) | 2017.08.18 |
| 정보보안기사 필기 요약 #3. 접근통제 (0) | 2017.08.16 |
댓글