반응형
/********************************************************************************************
-- Title : [CISSP] ™ 통신과 네트워크 보안
-- Reference : its21c.net
-- Key word : cissp
********************************************************************************************/
▶ OSI(Open System Interconnect) 7 Layer
- Application Layer (L7)
- 일반 사용자에게 최종 서비스를 제공
- TCP/IP 에서 SMTP, HTTP, FTP, WWW, Telnet, TFTP 가 해당
- 통신 기능, UI 제공
- Presentation Layer (L6)
- 표기법, Data 표현 방식
- 목적지 시스템에 의해 올바르게 데이터가 처리될 수 있도록 표현할 수 있는 공통 수단 제공
- 코드체계가 다른 컴퓨터 간 코드변환, 데이터 압축, 암호화 처리를 담당
- EBCDIC, ASCII, JPEG, MPEG, GIF
- Session Layer (L5)
- 두 Application 사이에 연결(session)을 생성, 관리, 복구
- SSL(Secure, Socket Layer), NFS(Network File System), SQL, RPC(Remote Procedure Call)
========================== ▲ Web Browser ==========================
- Transport Layer (L4)
- End-to-End (종단) 간 신뢰성 있는 데이터 전송을 보장
- Sequencing, ACK
- TCP(Transmission Control Protocol), UDP(User Data Protocol),
SPX(Sequence Packet Exchange)
- Network Layer (L3)
- 패킷이 올바르게 전달될 수 있도록 최적의 경로를 설정
- FROM(발신) - VIA(경유) - TO(수신)
- IP(Internet Protocol)
=============================== ▲ O/S ===============================
- Data Link Layer (L2)
- Lan card
- 패킷이 올바르게 전송되게 하기 위해 바이너리(bit)로 변환
- Point-to-Point 간 신뢰성 있는 데이터 전송을 보장
- Physical (MAC) Address
- Error detection, correction (CRC)
- ARP
- Physical Layer (L1)
- 전송매체
- TP (STP/UTP) Cable, Coaxcial Cable, Optical Fiber, Wireless
▶ TCP/IP
- Applicaton Layer : OSI 7 에서 L5 ~ L7
- Transport Layer : OSI 7 에서 L4
- Internet Layer : OSI 7 에서 L3
- Network Access Layer : OSI 7 에서 L1 ~ L2
- Internet Layer : 데이터 그램 정의 및 routing
- IP (Internet Protocol) : 패킷 Routed 를 위해 address 정보와 제어 정보를 가지고
Network Layer 에서 작동
각 패킷을 독립적으로 전송하기 때문에 신뢰성을 보장 할 수 없음
가장 널리 사용되는 프로토콜로 destination 까지 데이터그램 전달이 주 목적
- IP Address
- Class A : 1.0.0.0 ~ 126.255.255.255 , Host 갯수는 2^24 - 2 개
- Class B : 128.1.0.0 ~ 191.254.255.255 , Host 갯수는 2^16 - 2 개
- Class C : 192.0.1.0 ~ 223.255.254.255 , Host 갯수는 2^8 개
- Subnet 을 하는 이유
- A, B, C class address 의 IP address 를 쪼개서 이용
- IP 네트워크 주소 하나로 여러개의 네트워크 구성이 가능
- 자원의 지역적인 분산, 네트워크 트래픽 감소, IP Address의 효율적이고 체계적인 관리
- 사설 IP
- Class A : 10.0.0.0 ~ 10.255.255.255
- Class B : 172.16.0.0 ~ 172.31.255.255
- Class C : 192.168.0.0 ~ 192.168.255.255
- ARP (Address Resolution Protocol)
- IP Address 를 MAC Address 에 Mapping
- RARP (Reverse ARP)
- MAC Address 로 IP Address 을 알고자 할 때 사용
- 네트워크 부팅에 사용
- ICMP (Internet Control Message Protocol)
- 인터넷 상의 호스트들에게 오류메세지나 제어메세지를 송신하도록 하여 오류나 환경 정보 제공
- Ping, Tracert / Traceroute
- TCP (Transmission Control Protocol)
- 연결 지향적인(connection orinted) 프로토콜
- 에러 검출
- 순서 검사
- ACK
- 흐름 제어
- 패킷 복구
- Full Duplex 가상 회선
(실제 Half Duplex 지만 일종의 시분할 개념을 통해 Full Duplex 처럼 사용 가능)
- UDP (User Datagram Protocol)
- Sequencing 정보는 있지만 ACK 정보는 없음
- 비 신뢰성, 비 전달 보장
- 네트워크 전송 효율은 좋음
- Eg) Windows 네트워크 내 파일 공유
- MBone (Multicast Backbone)의 경우 오류상황에서 ACK를 주고 받거나 오류 복구가 필요없어
UDP 사용
- Application Protocol
- OSI 7 Layer 의 L5 ~ L7 에 해당
- Telnet, FTP, SMTP, HTTP, HTTPS
▶ LAN
- LAN (Local Area Network) : 근거리 네트워크
- WAN (Wide Area Network) : 원거리 네트워크
- 전송매체
- TP (Twist pair cable)
- Coaxcial Cable
- Optical Fiber : 감쇄나 전자파의 영향을 받지 않음
- 전송방식 : Baseband (Half Duplex)
- 케이블 문제
- Noise (노이즈)
- Attenuation (감쇄) : 신호가 전송되는 동안 약해지는 것
- Crosstalk (혼선)
- Network Topology
- Star : Hub 사용, 장애검출 및 유지보수가 쉬움
중앙제어장치 고장 시 전체 네트워크 장애 (주로 사용하는 방식)
- Ring : FDDI, 대학 구내 망, 각 Ethernet 간의 기간망을 구성
토큰이 네트워크를 돌며 각 토큰에 정보를 실어 보냄
하나의 노드 고장 시 전체 네트워크 장애
- Bus : 전송 신뢰도는 높지만 복잡한 구성
- Mesh : 각각의 컴퓨터가 별도의 케이블을 통해 모든 다른 컴퓨터에 연결 (주로 사용하는 방식)
중복 경로를 제공
한 케이블에 단선이 발생해도 다른 케이블이 트래픽을 전달 (우회 전달이 가능)
많은 Redundancy 를 제공
▶ Routing Protocol
- Internetwork 를 통해 source 에서 destination 으로 데이터가 전달될 수 있도록 하는 기능
- Static Routing Protocol
- 관리자가 네트워크 경로 정보를 직접 지정
- 경로정보가 변하지 않아 통신량이 발생하지 않음
- 설정 관리가 어렵고 동적 경로 변경 불가능
- Dynamic Routing Protocol
- RIP(Routing Information Protocol), OSPF, EIGRP, BGP
- 설정이 쉽고 동적 경로 변경 가능
- 경로 정보가 유동적이어서 추가적인 트래픽이 발생
- AS (Autonomous System) - 동일한 관리도메인 하에 있는 네트워크의 모음
- IGP (Interior Gateway Protocols) - 같은 AS 내에서 사용되어지는 Protocol
- EGP (Exterior Gateway Protocols) - 서로 다른 AS 간의 Routing 정보, BGP
- Distance Vector : 거리와 방향에 중점, RIP, IGRP
- Link State : 전체 네트워크 위상 정보 이용, OSPF
▶ 네트워크 장비
- Repeater (L1) : 신호 증폭
- Bridge (L2) : MAC Address 기반 패킷 전송, 필터링
- Router (L3) : 여러 LAN 을 분리, 연결 및 IP 기반 필터링
- Switch (L4) : 통신 장비 사이의 사설 가상 링크 제공
- L2 Switch : Switch HUB 기능 수행
- L3 Switch : Router 기능을 수행
- L4 Switch : 신뢰성 있는 전송을 보장, Port, Traffic
L4 Switch에 여러 Application Server 에 연결하여 장애 극복 및 Load Balancing
제공
- Gateway (L7) : 서로 다른 종류의 네트워크 연결, 프로토콜 및 포맷의 변환
Eg) HTML --- (WAP 변환 GW) ---> WML
▶ 통신보안기술
- SSH(Secure Shell)
- 패킷을 암호화 하여 IP 스푸핑, DNS 스푸핑 등으로 부터 보호
- RSA 기반의 공개키/개인키 pair 방식을 이용
- SSH1
- 기존의 Telnet 을 대체하기 위해 만들어 짐
- Public Key, OTP 를 이용한 인증
- SSH2
- 다양하며 강력한 암호화
- Secure Hash Algorithm 을 이용한 인증 (SHA256 / SHA512)
- SSL (Secured Socket Layer)
- 클라이언트는 서버를, 서버는 클라이언트를 인증
- Netscape 에서 개발
- WEB 버전 : HTTPS (클라이언트가 서버를 인증)
- S-HTTP (Secure HTTP)
- VISA card 에서 개발
- Request 와 Response 구조를 그대로 이용하면서 암호화 기능 수행위해 추가적 헤더 정보 사용
- 헤더 암호화를 통해 안전한 전송 지원
- RSA 공개 키 암호 방식, Kerberos 등을 지원
- Data 암호 알고리즘에 DES, 3DES, IDEA, RC2 등을 지원
- HTTPS
- SSL 의 Web 버전
- X.509 인증서 사용 지원
- 443 포트 사용
- NAT (Network Adderess Translation)
- 사설 IP를 사용
- 보안기능 향상
- 클라이언트에서는 동적주소할당, 서버에서는 정적주소할당
- Wireless 인증(802.1x)
- Access Client 가 접속 가능한 AP를 통해 RADIUS 서버에 무선 접속, 인증 요청
- backend repository 와 통신하여 사용자 인증, 최종인증 통보 후 접속 포트 개방 (EAP)
- Wireless LAN 보안 문제점
- 사용자 인증 문제점 : SSID, Open System Authentication, Shared Key Authentication
- 무선구간 데이터 암호화 문제 : WEP, 고정된 키 사용, 동일 AP 접속자끼리 암호화 의미없음
알려진 평문 공격에 취약
- WEP : Wi-Fi 표준, 전송되는 데이터를 암호화, 클라이언트-AP간 무선링크 보호
- IEEE 802.1x
- 포트기반의 이증을 위한 전반적인 구조 정의
- EAP를 만족하는 개별인증 알고리즘 사용 (EAP-MD5, EAP-TLS만 표준화)
- SSH 와 SSL
- 사용자의 ID/PW 가 암호화 되지 않은 채 네트워크 데이터로 전달되는 경우를 방지
▶ 네트워크 공격
- 소극적인 공격(Passive Attack) : 적극적 공격을 위한 정보 수집 단계
- 적극적 공격(Active Attack)
- 네트워크 공격의 종류
- 방해(Interruption) : DDoS
- 가로채기(Interception) : 도청
- 수정(Modification) : 무결성 훼손
- 위조 (Fabrication) : 위장
- 스캐닝 공격(Port Scanning)
- 특정 호스트에서 어떤 서비스가 작동되고 있는지 알아내기 위한 정보 수집
- Network Mapper (tool Eg: NMap, SuperScan)
- 종류 : TCP SYN Scan, UDP Scan, FIN Scan, NULL Scan, Wardialing
- 최소로 제한된 포트를 열고 지속적인 SW 패치 수행
- 스푸핑 공격(Spoofing)
- 자신의 식별 정보를 속여서 다른 시스템을 공격
- 종류: IP Spoofing, ARP Spoofing, E-mail Spoofing, DNS Spoofing
- IP/ARP Spoofing 의 목적 : 도청(Sniffing)
- Packet Filtering Router, IP 인증기반 접근제어, 취약 서비스 제거, 암호화 프로토콜 사용으로 방어
- 스니핑 공격(Sniffing)
- 도청
- 종류 : Switch Jamming, ARP Redirection, ICMP Redirect
- Switch Jamming : 위조된 MAC Address 를 스위치 허브에 보내어 주소테이블을 Overflow 시켜
도청
- ARP Redirection : APR Reply를 위조해 모든 호스트에 보내 도청
- ICMP Redirection : ICMP Reply를 위조해 패킷을 도청
- SSL, PGP, VPN 등을 이용하여 데이터 패킷을 암호화, 스니핑 호스트를 주기적 점검
- Session Hijacking
- 종류 : TCP Session Hijacking, Web Session Hijacking
- TCP Session Hijacking :
IP Spoofing, Sniffing 을 이용해 user 의 telnet session을 가로챔, SSH로 방어
- Web Session Hijacking : 쿠키를 가로채 poisoning, HTTPS로 방어
- 서비스 거부공격(Denial of Service)
- 과도한 패킷 트래픽을 발생시켜서 시스템의 자원을 소진시켜 가용성을 침해
- 종류 : Ping of Death, TearDrop Attack, Syn Floods, Smurf Attack, Land Attack
- Syn Floods : half-open TCP 연결을 계속 시도, 호스트의 listen queue를 포화시켜 TCP 서비스
연결 거부
- 분산 서비스 거부 공격(Distributed Denial of Service) tool : netbot, 도깨비, DDoSer, 카스
▶ 방화벽
- 승인되지 않은 외부 사용자가 내부 네트워크 정보에 불법적으로 접근하는 것을 방지
- Packet Filtering 방식
- OSI 모델의 Network Layer (IP Protocol) 와 Translate Layer (TCP Protocol) 수준에서만 작동
- 특정 IP 및 포트로만 접근 가능하도록 차단
- 패킷의 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어
- Packet 안에 포함된 Data 까지 확인하지는 않음
- Application Gateway 방식
- Application = Service
- Service 마다 Gateway 가 존재
- OSI 모델의 Application Layer 에서 작동
- 내부 ~ 외부 시스템간 방화벽의 Proxy를 통해서만 연결 허용, 직접 연결(IP Connection)은 허용
되지 않음
- 외부에 대한 내부망의 완벽한 경계선 방어, 내부 Host 들의 IP 주소를 숨길 수 있음
- Circuit Gateway 방식
- OSI 모델의 L5 ~ L7 사이에 존재
- Proxy(Gateway)가 하나 뿐이어서 어떤 Service 든지 동일한 공통의 Proxy를 사용
- SOCKS Protocol
: 서버~클라이언트 간 TCP/UDP 통신을 Proxy Server를 거쳐서 진행하도록
도와주는 protocol
- Stateful Inspection(상태 정밀 검사)
- Packet Filtering 기술을 기본적으로 사용하여 클라이언트/서버 모델을 유지
- 모든 계층의 전후상황에 대한 Context (문맥) 데이터를 제공
- State Table : Context Data 를 저장하는 테이블
- Packet 변조에 대응할 수 있음 (Packet Filtering 방식의 이전 방화벽의 한계)
- 방화벽 구축 형태
- Screening Router 구조 : Packet Filtering 방식의 Router(스크린 라우터)를 하나 두어 구축
Packet Filtering 방식의 방화벽
- Bastion Host 구조 : 외부~내부 네트워크 사이에 Bastion Host를 거쳐 내부망으로 진입
가능하도록 구축 인증, 접근제어, Logging 가능
Application Gateway 방식의 방화벽
- Dual-Homed Host 구조 : 2개의 네트워크 인터페이스(LAN Card)를 가진 Bastion Host
하나는 내부, 하나는 외부에 연결
- Screened Host 구조 : Packet Filtering 방식의 Router가 앞단에 있고 Bastion Host가 후단에
연결
- Screened Subnet 구조 : 외부망에 연결된 Router 와 내부망에 연결된 Router 를 따로 둠
두 Router 사이에 만들어진 작은 Subnet에 Bastion Host 를 둠
내부 네트워크에서 발생하는 모든 트래픽은 Bastion Host 를 거치도록 함
두 Router 사이에 www, FTP, SMTP, VPN 등의 Server 기능을
설치(DMZ)
최근의 가장 기본적인 방화벽 형태
- 방화벽의 한계
- 방화벽을 통과하지 않는 트래픽에 대해서는 대응할 수 없음
- terminal server 를 설정할 경우 취약 (Eg : NateON Terminal)
- 재생 공격(허용된 패킷의 변조)에 취약
▶ IDS (Intrusion Detection System : 침입 탐지 시스템)
- 탐지 형태
- 오용 탐지 : 침입 행위를 패턴형태로 저장하여 해당 시도를 인지하도록 함
신규 침입 행위에 대한 패턴 정보의 갱신이 반드시 이루어져야 함
False Alarm 가능성 낮음, 공격을 탐지하지 못할 가능성 높음
- 이상 탐지 : 정상 or 비정상 행위에 대한 범위를 설정
해당 범위를 벗어나면 침입으로 규정
보안 정책과 연동하여 침입 시도를 차단
False Alarm 가능성 높음
- IDS 기능
- 경보 기능(Alarm)
- 세션 차단 기능
- 셔닝 기능(shunning) : IDS에서 탐지를 하고 Router나 방화벽에게 알려서 차단하도록 하는 기법
- 사용자 프로그램의 실행
- Pros
- 보안 위협에 대해 적극적이고 능동적인 대응 -> IPS 사용
- 공격 전 단계의 행위를 감지 (IP Spoofing을 위한 Syn Floods 를 감지) -> 공격 원천 무산
- Cons
- 침입에 대한 민감도
- False Alarm 발생 가능성
- HoneyPot (허니팟)
- DMZ 내에 구축
- 공격자들이 운영되는 시스템을 대신하여 공격하도록 유인
- 취약점을 만들어 쉽게 접근할 수 있도록 유인, 침입자의 활동을 로그 파일로 저장하여 감시
- 수집된 정보를 바탕으로 향후 공격에 대응
-- Title : [CISSP] ™ 통신과 네트워크 보안
-- Reference : its21c.net
-- Key word : cissp
********************************************************************************************/
▶ OSI(Open System Interconnect) 7 Layer
- Application Layer (L7)
- 일반 사용자에게 최종 서비스를 제공
- TCP/IP 에서 SMTP, HTTP, FTP, WWW, Telnet, TFTP 가 해당
- 통신 기능, UI 제공
- Presentation Layer (L6)
- 표기법, Data 표현 방식
- 목적지 시스템에 의해 올바르게 데이터가 처리될 수 있도록 표현할 수 있는 공통 수단 제공
- 코드체계가 다른 컴퓨터 간 코드변환, 데이터 압축, 암호화 처리를 담당
- EBCDIC, ASCII, JPEG, MPEG, GIF
- Session Layer (L5)
- 두 Application 사이에 연결(session)을 생성, 관리, 복구
- SSL(Secure, Socket Layer), NFS(Network File System), SQL, RPC(Remote Procedure Call)
========================== ▲ Web Browser ==========================
- Transport Layer (L4)
- End-to-End (종단) 간 신뢰성 있는 데이터 전송을 보장
- Sequencing, ACK
- TCP(Transmission Control Protocol), UDP(User Data Protocol),
SPX(Sequence Packet Exchange)
- Network Layer (L3)
- 패킷이 올바르게 전달될 수 있도록 최적의 경로를 설정
- FROM(발신) - VIA(경유) - TO(수신)
- IP(Internet Protocol)
=============================== ▲ O/S ===============================
- Data Link Layer (L2)
- Lan card
- 패킷이 올바르게 전송되게 하기 위해 바이너리(bit)로 변환
- Point-to-Point 간 신뢰성 있는 데이터 전송을 보장
- Physical (MAC) Address
- Error detection, correction (CRC)
- ARP
- Physical Layer (L1)
- 전송매체
- TP (STP/UTP) Cable, Coaxcial Cable, Optical Fiber, Wireless
▶ TCP/IP
- Applicaton Layer : OSI 7 에서 L5 ~ L7
- Transport Layer : OSI 7 에서 L4
- Internet Layer : OSI 7 에서 L3
- Network Access Layer : OSI 7 에서 L1 ~ L2
- Internet Layer : 데이터 그램 정의 및 routing
- IP (Internet Protocol) : 패킷 Routed 를 위해 address 정보와 제어 정보를 가지고
Network Layer 에서 작동
각 패킷을 독립적으로 전송하기 때문에 신뢰성을 보장 할 수 없음
가장 널리 사용되는 프로토콜로 destination 까지 데이터그램 전달이 주 목적
- IP Address
- Class A : 1.0.0.0 ~ 126.255.255.255 , Host 갯수는 2^24 - 2 개
- Class B : 128.1.0.0 ~ 191.254.255.255 , Host 갯수는 2^16 - 2 개
- Class C : 192.0.1.0 ~ 223.255.254.255 , Host 갯수는 2^8 개
- Subnet 을 하는 이유
- A, B, C class address 의 IP address 를 쪼개서 이용
- IP 네트워크 주소 하나로 여러개의 네트워크 구성이 가능
- 자원의 지역적인 분산, 네트워크 트래픽 감소, IP Address의 효율적이고 체계적인 관리
- 사설 IP
- Class A : 10.0.0.0 ~ 10.255.255.255
- Class B : 172.16.0.0 ~ 172.31.255.255
- Class C : 192.168.0.0 ~ 192.168.255.255
- ARP (Address Resolution Protocol)
- IP Address 를 MAC Address 에 Mapping
- RARP (Reverse ARP)
- MAC Address 로 IP Address 을 알고자 할 때 사용
- 네트워크 부팅에 사용
- ICMP (Internet Control Message Protocol)
- 인터넷 상의 호스트들에게 오류메세지나 제어메세지를 송신하도록 하여 오류나 환경 정보 제공
- Ping, Tracert / Traceroute
- TCP (Transmission Control Protocol)
- 연결 지향적인(connection orinted) 프로토콜
- 에러 검출
- 순서 검사
- ACK
- 흐름 제어
- 패킷 복구
- Full Duplex 가상 회선
(실제 Half Duplex 지만 일종의 시분할 개념을 통해 Full Duplex 처럼 사용 가능)
- UDP (User Datagram Protocol)
- Sequencing 정보는 있지만 ACK 정보는 없음
- 비 신뢰성, 비 전달 보장
- 네트워크 전송 효율은 좋음
- Eg) Windows 네트워크 내 파일 공유
- MBone (Multicast Backbone)의 경우 오류상황에서 ACK를 주고 받거나 오류 복구가 필요없어
UDP 사용
- Application Protocol
- OSI 7 Layer 의 L5 ~ L7 에 해당
- Telnet, FTP, SMTP, HTTP, HTTPS
▶ LAN
- LAN (Local Area Network) : 근거리 네트워크
- WAN (Wide Area Network) : 원거리 네트워크
- 전송매체
- TP (Twist pair cable)
- Coaxcial Cable
- Optical Fiber : 감쇄나 전자파의 영향을 받지 않음
- 전송방식 : Baseband (Half Duplex)
- 케이블 문제
- Noise (노이즈)
- Attenuation (감쇄) : 신호가 전송되는 동안 약해지는 것
- Crosstalk (혼선)
- Network Topology
- Star : Hub 사용, 장애검출 및 유지보수가 쉬움
중앙제어장치 고장 시 전체 네트워크 장애 (주로 사용하는 방식)
- Ring : FDDI, 대학 구내 망, 각 Ethernet 간의 기간망을 구성
토큰이 네트워크를 돌며 각 토큰에 정보를 실어 보냄
하나의 노드 고장 시 전체 네트워크 장애
- Bus : 전송 신뢰도는 높지만 복잡한 구성
- Mesh : 각각의 컴퓨터가 별도의 케이블을 통해 모든 다른 컴퓨터에 연결 (주로 사용하는 방식)
중복 경로를 제공
한 케이블에 단선이 발생해도 다른 케이블이 트래픽을 전달 (우회 전달이 가능)
많은 Redundancy 를 제공
▶ Routing Protocol
- Internetwork 를 통해 source 에서 destination 으로 데이터가 전달될 수 있도록 하는 기능
- Static Routing Protocol
- 관리자가 네트워크 경로 정보를 직접 지정
- 경로정보가 변하지 않아 통신량이 발생하지 않음
- 설정 관리가 어렵고 동적 경로 변경 불가능
- Dynamic Routing Protocol
- RIP(Routing Information Protocol), OSPF, EIGRP, BGP
- 설정이 쉽고 동적 경로 변경 가능
- 경로 정보가 유동적이어서 추가적인 트래픽이 발생
- AS (Autonomous System) - 동일한 관리도메인 하에 있는 네트워크의 모음
- IGP (Interior Gateway Protocols) - 같은 AS 내에서 사용되어지는 Protocol
- EGP (Exterior Gateway Protocols) - 서로 다른 AS 간의 Routing 정보, BGP
- Distance Vector : 거리와 방향에 중점, RIP, IGRP
- Link State : 전체 네트워크 위상 정보 이용, OSPF
▶ 네트워크 장비
- Repeater (L1) : 신호 증폭
- Bridge (L2) : MAC Address 기반 패킷 전송, 필터링
- Router (L3) : 여러 LAN 을 분리, 연결 및 IP 기반 필터링
- Switch (L4) : 통신 장비 사이의 사설 가상 링크 제공
- L2 Switch : Switch HUB 기능 수행
- L3 Switch : Router 기능을 수행
- L4 Switch : 신뢰성 있는 전송을 보장, Port, Traffic
L4 Switch에 여러 Application Server 에 연결하여 장애 극복 및 Load Balancing
제공
- Gateway (L7) : 서로 다른 종류의 네트워크 연결, 프로토콜 및 포맷의 변환
Eg) HTML --- (WAP 변환 GW) ---> WML
▶ 통신보안기술
- SSH(Secure Shell)
- 패킷을 암호화 하여 IP 스푸핑, DNS 스푸핑 등으로 부터 보호
- RSA 기반의 공개키/개인키 pair 방식을 이용
- SSH1
- 기존의 Telnet 을 대체하기 위해 만들어 짐
- Public Key, OTP 를 이용한 인증
- SSH2
- 다양하며 강력한 암호화
- Secure Hash Algorithm 을 이용한 인증 (SHA256 / SHA512)
- SSL (Secured Socket Layer)
- 클라이언트는 서버를, 서버는 클라이언트를 인증
- Netscape 에서 개발
- WEB 버전 : HTTPS (클라이언트가 서버를 인증)
- S-HTTP (Secure HTTP)
- VISA card 에서 개발
- Request 와 Response 구조를 그대로 이용하면서 암호화 기능 수행위해 추가적 헤더 정보 사용
- 헤더 암호화를 통해 안전한 전송 지원
- RSA 공개 키 암호 방식, Kerberos 등을 지원
- Data 암호 알고리즘에 DES, 3DES, IDEA, RC2 등을 지원
- HTTPS
- SSL 의 Web 버전
- X.509 인증서 사용 지원
- 443 포트 사용
- NAT (Network Adderess Translation)
- 사설 IP를 사용
- 보안기능 향상
- 클라이언트에서는 동적주소할당, 서버에서는 정적주소할당
- Wireless 인증(802.1x)
- Access Client 가 접속 가능한 AP를 통해 RADIUS 서버에 무선 접속, 인증 요청
- backend repository 와 통신하여 사용자 인증, 최종인증 통보 후 접속 포트 개방 (EAP)
- Wireless LAN 보안 문제점
- 사용자 인증 문제점 : SSID, Open System Authentication, Shared Key Authentication
- 무선구간 데이터 암호화 문제 : WEP, 고정된 키 사용, 동일 AP 접속자끼리 암호화 의미없음
알려진 평문 공격에 취약
- WEP : Wi-Fi 표준, 전송되는 데이터를 암호화, 클라이언트-AP간 무선링크 보호
- IEEE 802.1x
- 포트기반의 이증을 위한 전반적인 구조 정의
- EAP를 만족하는 개별인증 알고리즘 사용 (EAP-MD5, EAP-TLS만 표준화)
- SSH 와 SSL
- 사용자의 ID/PW 가 암호화 되지 않은 채 네트워크 데이터로 전달되는 경우를 방지
▶ 네트워크 공격
- 소극적인 공격(Passive Attack) : 적극적 공격을 위한 정보 수집 단계
- 적극적 공격(Active Attack)
- 네트워크 공격의 종류
- 방해(Interruption) : DDoS
- 가로채기(Interception) : 도청
- 수정(Modification) : 무결성 훼손
- 위조 (Fabrication) : 위장
- 스캐닝 공격(Port Scanning)
- 특정 호스트에서 어떤 서비스가 작동되고 있는지 알아내기 위한 정보 수집
- Network Mapper (tool Eg: NMap, SuperScan)
- 종류 : TCP SYN Scan, UDP Scan, FIN Scan, NULL Scan, Wardialing
- 최소로 제한된 포트를 열고 지속적인 SW 패치 수행
- 스푸핑 공격(Spoofing)
- 자신의 식별 정보를 속여서 다른 시스템을 공격
- 종류: IP Spoofing, ARP Spoofing, E-mail Spoofing, DNS Spoofing
- IP/ARP Spoofing 의 목적 : 도청(Sniffing)
- Packet Filtering Router, IP 인증기반 접근제어, 취약 서비스 제거, 암호화 프로토콜 사용으로 방어
- 스니핑 공격(Sniffing)
- 도청
- 종류 : Switch Jamming, ARP Redirection, ICMP Redirect
- Switch Jamming : 위조된 MAC Address 를 스위치 허브에 보내어 주소테이블을 Overflow 시켜
도청
- ARP Redirection : APR Reply를 위조해 모든 호스트에 보내 도청
- ICMP Redirection : ICMP Reply를 위조해 패킷을 도청
- SSL, PGP, VPN 등을 이용하여 데이터 패킷을 암호화, 스니핑 호스트를 주기적 점검
- Session Hijacking
- 종류 : TCP Session Hijacking, Web Session Hijacking
- TCP Session Hijacking :
IP Spoofing, Sniffing 을 이용해 user 의 telnet session을 가로챔, SSH로 방어
- Web Session Hijacking : 쿠키를 가로채 poisoning, HTTPS로 방어
- 서비스 거부공격(Denial of Service)
- 과도한 패킷 트래픽을 발생시켜서 시스템의 자원을 소진시켜 가용성을 침해
- 종류 : Ping of Death, TearDrop Attack, Syn Floods, Smurf Attack, Land Attack
- Syn Floods : half-open TCP 연결을 계속 시도, 호스트의 listen queue를 포화시켜 TCP 서비스
연결 거부
- 분산 서비스 거부 공격(Distributed Denial of Service) tool : netbot, 도깨비, DDoSer, 카스
▶ 방화벽
- 승인되지 않은 외부 사용자가 내부 네트워크 정보에 불법적으로 접근하는 것을 방지
- Packet Filtering 방식
- OSI 모델의 Network Layer (IP Protocol) 와 Translate Layer (TCP Protocol) 수준에서만 작동
- 특정 IP 및 포트로만 접근 가능하도록 차단
- 패킷의 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어
- Packet 안에 포함된 Data 까지 확인하지는 않음
- Application Gateway 방식
- Application = Service
- Service 마다 Gateway 가 존재
- OSI 모델의 Application Layer 에서 작동
- 내부 ~ 외부 시스템간 방화벽의 Proxy를 통해서만 연결 허용, 직접 연결(IP Connection)은 허용
되지 않음
- 외부에 대한 내부망의 완벽한 경계선 방어, 내부 Host 들의 IP 주소를 숨길 수 있음
- Circuit Gateway 방식
- OSI 모델의 L5 ~ L7 사이에 존재
- Proxy(Gateway)가 하나 뿐이어서 어떤 Service 든지 동일한 공통의 Proxy를 사용
- SOCKS Protocol
: 서버~클라이언트 간 TCP/UDP 통신을 Proxy Server를 거쳐서 진행하도록
도와주는 protocol
- Stateful Inspection(상태 정밀 검사)
- Packet Filtering 기술을 기본적으로 사용하여 클라이언트/서버 모델을 유지
- 모든 계층의 전후상황에 대한 Context (문맥) 데이터를 제공
- State Table : Context Data 를 저장하는 테이블
- Packet 변조에 대응할 수 있음 (Packet Filtering 방식의 이전 방화벽의 한계)
- 방화벽 구축 형태
- Screening Router 구조 : Packet Filtering 방식의 Router(스크린 라우터)를 하나 두어 구축
Packet Filtering 방식의 방화벽
- Bastion Host 구조 : 외부~내부 네트워크 사이에 Bastion Host를 거쳐 내부망으로 진입
가능하도록 구축 인증, 접근제어, Logging 가능
Application Gateway 방식의 방화벽
- Dual-Homed Host 구조 : 2개의 네트워크 인터페이스(LAN Card)를 가진 Bastion Host
하나는 내부, 하나는 외부에 연결
- Screened Host 구조 : Packet Filtering 방식의 Router가 앞단에 있고 Bastion Host가 후단에
연결
- Screened Subnet 구조 : 외부망에 연결된 Router 와 내부망에 연결된 Router 를 따로 둠
두 Router 사이에 만들어진 작은 Subnet에 Bastion Host 를 둠
내부 네트워크에서 발생하는 모든 트래픽은 Bastion Host 를 거치도록 함
두 Router 사이에 www, FTP, SMTP, VPN 등의 Server 기능을
설치(DMZ)
최근의 가장 기본적인 방화벽 형태
- 방화벽의 한계
- 방화벽을 통과하지 않는 트래픽에 대해서는 대응할 수 없음
- terminal server 를 설정할 경우 취약 (Eg : NateON Terminal)
- 재생 공격(허용된 패킷의 변조)에 취약
▶ IDS (Intrusion Detection System : 침입 탐지 시스템)
- 탐지 형태
- 오용 탐지 : 침입 행위를 패턴형태로 저장하여 해당 시도를 인지하도록 함
신규 침입 행위에 대한 패턴 정보의 갱신이 반드시 이루어져야 함
False Alarm 가능성 낮음, 공격을 탐지하지 못할 가능성 높음
- 이상 탐지 : 정상 or 비정상 행위에 대한 범위를 설정
해당 범위를 벗어나면 침입으로 규정
보안 정책과 연동하여 침입 시도를 차단
False Alarm 가능성 높음
- IDS 기능
- 경보 기능(Alarm)
- 세션 차단 기능
- 셔닝 기능(shunning) : IDS에서 탐지를 하고 Router나 방화벽에게 알려서 차단하도록 하는 기법
- 사용자 프로그램의 실행
- Pros
- 보안 위협에 대해 적극적이고 능동적인 대응 -> IPS 사용
- 공격 전 단계의 행위를 감지 (IP Spoofing을 위한 Syn Floods 를 감지) -> 공격 원천 무산
- Cons
- 침입에 대한 민감도
- False Alarm 발생 가능성
- HoneyPot (허니팟)
- DMZ 내에 구축
- 공격자들이 운영되는 시스템을 대신하여 공격하도록 유인
- 취약점을 만들어 쉽게 접근할 수 있도록 유인, 침입자의 활동을 로그 파일로 저장하여 감시
- 수집된 정보를 바탕으로 향후 공격에 대응
반응형