[정보보안기사] 네트워크 보안

네트워크 보안은 DDoS 등의 가용성 저해 공격 및 스푸핑(변조) 공격, APT 공격 등이 포인트입니다.

 

- iptables

: 패킷 필터링 및 네트워크 주소변환(NAT) 기능을 수행

 

- TCP Syn Flooding

: TCP 3 Way handshaking을 이용하여 대량의 SYN 패킷을 발송하여 시스템 백로그 큐에 오버플로가 발생하도록 만드는 DDOS 공격

* 대응법

sysctl -w net.ipv4.tcp_mx_syn_backlog = 2048

=> 백로그 큐를 늘림

외부에서 내부 네트워크로 들어오는 IP대역 차단

TCP Timeout 시간을 최소한으로 설정

/etc/sysctl.conf 파일의 net.ipv4.tcp=1 설정

=> 1초에 보낼수 있는 패킷을 제한

 

- Land Attack

: 송신자 IP와 수신자 IP 값을 동일하게 하여 대상 컴퓨터에 전송

* 대응법

방화벽 및 라우터에서 내부 IP 주소와 동일한 송신자 IP 주소 패킷을 차단

 

- Smurfing Attack(ICMP Flooding)

: 공격자는 송신자 IP를 공격 대상의 IP로 위장하여 ICMP 패킷을 브로드캐스트로 모든 노드에게 전송하고 ICMP Request를 받은 단말은 공격대상 IP로 Reply 패킷을 한 번에 전송하여 과부하를 유도하는 공격

* 대응법

IDS - 침입 유형이 발생하면 탐지하여 대응

IPS - 트래픽을 감시하고 보안정책에 위배되는 경우 패킷을 감시, 차단

Direct Broadcast를 차단하는 것

(Fraggle Attack : Smurfing 공격과 동일한 방식이지만 UDP 패킷 이용)

 

- UDP Flooding

UDP 프로토콜을 사용하여 서버에 연속적을 전송

- Trinoo
Master/Agent로 구성되어 Master의 명령으로 Agent가 작업을 수행하는 DDos 공격(UDP Flooding)
 

- GET Flooding
HTTP Get Method를 계속 호출하여 공격하는 DDoS 공격

정상적인 TCP 연결 이후에 정상적으로 보이는 HTTP Transaction 과정을 수행하는 방식

TCP의 3-way-handshaking 이후 공격을 수행하기 때문에 IP를 변조하지 않음

* 형태

Get HTTP/1.1

User Aget : 

Contents_Length : 42

* 대응법

ngrep -l Serverl.pcap -twbyline | grep GET | sort | uniq -c | sort -rn

 

- Cache Control Attack
: HTTP RFC 2616에 규정된 Cache-Control-Header 옵션을 사용, 이 옵션은 Cache 기능을 사용하지 않고 자주 변경되는 데이터에 대해서 새롭게 HTTP 요청과 응답을 요구하는 옵션.
즉, Cache-Control을 사용하지 않으므로 시스템에 더 많은 부하를 줌
* 형태
Get /a1.asp
.....
Cache-control : max-age=0
//캐시 유효시간이 0 = 캐시를 사용하지 않음
 

- Slow HTTP Post Attack

: HTTP Post Method를 사용하여 HTTP Header의 Content-Length 필드에 임의의 큰 값을 입력하여 웹 서버가 클라이언트에서 해당 크기의 메시지를 전송할 때까지 Connection을 유지하게 되며 공격자는 소량의 데이터를 느린 속도로 전송하여 장기간의 세션을 유지하는 공격

* 대응법

POST 메시지의 크기를 제한(POST_MAX_SIZE)

최저 데이터 전송 속도를 제한

TCP 상태를 모니터링

 

- Tear Drop : 서버는 IP 프로토콜에서 MTU보다 큰 패킷이 오면 분할하는데 호스트나 라우터가 분할을 수행한다.

Fragmet 재조합 과정의 취약점을 이용한 공격으로 목표시스템 정지나 재부팅을 유발, TCP 헤더 부분의 offset field 값이 중첩되는 데이터 패킷을 대상 시스템에 전송

 

- WEP 보안 취약점

WEP : Wired Equivalent Privacy, IEEE 802.11 암호화 기법으로 AP와 단말 간의 송수신 데이터를 AP와 단말기가 약속한 공유 비밀키와 임의의 선택된 IV 값을 조합한 64bit 혹은 128bit를 이용하여 데이터를 암호화하는 단방향 인증 암호화 방식, RC4 암호화 알고리즘 사용, CRC-32 체크섬 사용

* 취약점

RC4 암호화 알고리즘 취약점으로 무작위 공격에 약함

IV 노출, IV 반복 사용될 가능성이 존재
40bit와 24Bit의 IV의 짧은 키 길이

IEEE 802.11i가 확정되면서 표준에서 제외됨

* 대응법
WPA 무선 LAN 보안 사용(WEP 취약점을 해결한 TKIP를 사용, AES를 사용한 CCMP, 키 인증에 4-way 핸드쉐이크 방식)

 

- Router의 No IP Unreachable

ICMP Unreachable 메시지를 보고 공격자가 에러에 대해 스캐닝이 가능

=> No IP Unreachable  설정하여 메시지를 발생시키지 않음

 

- 세션 하이재킹

: 다시 연결되는 정보를 가로채는 공격

* 방법

Client와 Server 간 통신을 위해 세션 수립 > 공격자는 세션 정보 갈취 > 공격자가 갈취한 세션 정보로 Client인 척 인증 시도

* 도구

Hunt, Arpspoof, IP Watcher, Ferret, Hamster, Paros, Cain&Abel, WireShark

* 대응법

보안 프로토콜 사용, 원격 접근 최소화, 인증을 강력하게, 시퀸스 넘버 체크하여 비동기화 상태 감지, RST 패킷을 탐지(이 패킷을 보내서 패킷 유실 및 재전송을 하기 때문), 지속적인 인증으로 세션 유효성 확인

 

- Replay Attack

: 세션을 담고 있는 쿠키 값을 가로채 다시 사용하는 재생 공격

* 방법

공격자가 세션 정보가 들어있는 쿠키 값을 전송받을 웹 서버를 구동 > 취약한 게시판이 존재하는 사이트에 XSS를 이용하여 악의적 글 업로드(세션 쿠키를 웹 서버로 전송하는 스크립트) > 글을 읽는 Client의 세션 정보가 웹 서버로 전송됨 > 획득한 세션 쿠키 값으로 자신의 세션 정보와 바꾸어 인증하여 서비스 진입

* 대응법 

세션 만기 시 초기화, 브라우저 종료시 세션 만기, 쿠키 값이 캐시되지 않도록, XSS 취약점에 대해 대응, 세션 내 IP 정보를 암호화, 다른 IP에서의 중복 로그인 차단, 무선환경 사용시 암호화 강화

 

- TCP Dump

네트워크 인터페이스를 통과하는 프레임을 캡처하는 도구

tcpdump -nn host 192.168.2.165 and port 23

 

- VLAN

: 네트워크 관리자가 논리적 네트워크 디바이스 그룹을 생성

* 장점

네트워크 리소스 보안 강화, 비용절감, 네트워크 설정 작업 용이, 불필요한 트래픽 감소

 

- NAT(Network Address Translation)

: 사설 IP를 라우팅될 수 있는 공인 IP로 변경하는 주소변환

* 장점

공인 IP 부족 해결 - 내부망에서는 사설 IP, 외부망에서는 공인 IP 사용

보안성 - 내부를 사설망으로 하여 공인망으로부터 보호

ISP 변경에 따른 내부 IP 변경을 최소화

 

- APT(Advanced Persistent Threat) 공격

특정 타겟 대상, 명확한 목적을 가지고 침투, 검색, 수집, 유출 시나리오로 지속적으로 공격하는 지능화 해킹 기법

(다양한 IT 기술과 공격 기법으로 특정 대상에게 지속적인 공격을 하는 행위)

* 단계 

1. 공격 준비 : 악성 코드 배포

2. 악성코드 유포 시도 : 대상자가 악성코드를 실행하도록 유도

3. 감염 및 공격자 침입 : 공격자가 장악한 좀비 PC를 통해 개인 정보 및 기밀 정보 유출

4. 보안사고 : 공격 수행한 후 공격 사실 은폐

5. 공격종료 : 공격은 종료하지만 악성코드는 그대로 심어놓음

* 역사

1990년 표적형 이메일 공격 등장 (스피어 피싱)

2007년 APT 공격 명칭 정의 (시스템 잠복 및 지속적 공격)

2010년 APT 공격 대중 각인 (스턱스넷, OP 오로라 등)

2019년 KISA 선정 7대 사이버 공격 (금성121, 김수키, TA505 등 많은 APT 그룹의 지능적 공격이 지속되고 있음)

 

- tcpd 설정

: inetd을 통해 동작하는 애플리케이션에 대한 접근 통제 및 로깅을 수행하는 데몬 프로세스

telnet stream tcp nowit rppt/usr/sbin/tcpd in.telnetd

=> inetd.conf에서 tcpd 설정

hosts.allow, hosts.deny에 정책 설정

inetd 재시작

 

- netstat

netstat -b : IP에 대해 프로세스 식별 가능
netstat -an 으로 SYN_RECV 이 많으면 TCP SYN Flooding

보통 "netstat -anux | grep ***" 로 사용하여 검색

 

- 메일 관련 보안 도구

1. Saniitizer : 확장자를 사용한 필터링, MS Office 매크로 검사, 악성메일 Score, 감염된 메시지 보관 장소 설정
2. Procmail : 메일 크기, 내용, 보낸 사람 등으로 필터링을 지원
3. Inflex :내부 혹은 외부로 발송되는 메일을 검사하고 첨부파일 필터링 가능, 내용 스캔, 메일 In 혹은 Out 정책

4. Spam Assassin : Rule을 기반으로 하여 메일 헤더 및 내용을 분석하고 RBL을 참조하여 Rule에 매칭되고 총점수가 임계치를 넘으면 스팸 메일로 설정
5. RBL(Real time Black List) : SPAM 메일 방지를 위해서 IP Black List 관리
6. SPF(Send Policy Framework) : 허용된 도메인 혹은 IP 등에서 발송여부 확인, DNS를 설정하여 SPAM 메일을 방지

 

 

- 라우터의 비밀번호 설정 과정
0. 처음 접속 : User EXEC 모드(라우터 상태 확인 가능, 명령 실행 불가능)

1. enable : 라우터를 Privileged 모드로 변경(명령 실행 가능)
2. conf t : Configuration 모드로 진입

3. line con 0 : Console Configuration 모드로 진입
4. password [패스워드] : 패스워드 설정

 

- MAC 주소 변조(ARP Spoofing)
MAC 주소는 48비트 = 미국전기전자학회(IEEE)에서 앞 24bit, 벤더가 뒤 24bit 할당

* 단계

1. ARP Request 브로드캐스팅 (LAN 내부 IP/MAC 정보 수집)

2. 위조 MAC 주소 전송 (ARP 캐시 정보 변경)

3. ARP Reply 지속 전송 (캐시 위조 정보 유지)

4. 위조 MAC 주소로 정보 전송 및 탈취 성공 (MITM 성공)

* 대응법
ARP Table을 static으로 설정(arp -s [IP 주소][MAC 주소])

네트워크를 주기적으로 모니터링하여 비정상 ARP 패킷 검사(arp -a => MAC 주소 중복 여부 확인 가능)

 

- Promiscuous 모드 :
NIC의 디바이스 드라이버가 자신이 아닌 다른 호스트의 주소로 전송되는 ethernet frame을 버리지 않고 상위 계층으로 전달
스니퍼가 이더넷 인터페이스를 promiscuous 모드로 설정하여 로컬 네트워크를 지나는 모든 트래픽을 도청할 수 있음
* 대응법

ifconfig eth0를 쳐서 PROMISC가 있으면 해당 모드인 것으로
ifconfig eth0 -promisc 입력하여 모드 제거