네트워크 보안 3, 4

VLAN : 스위치를 통해 가상적(논리적)으로 구성
사유 : 브로드캐스트 도메인을 나누기 위하여 (기밀성)

VLAN의 종류
- PORT 기반 : 스위치 포트(물리적)를 각 VLAN에 할당하는 것
- MAC 기반 : 호스트들의 MAC 주소를 VLAN에 등록하여 같은 VLAN에 속한 호스트들끼리만 통신
- 네트워크 주소 기반 : 네트워크 주소별로 VLAN을 구성함 IP 네트워크 VLAN
- 프로토콜 기반 : 같은 통신 프로토콜을 가진 호스트들간에만 통신이 가능하도록 구성

 

 

무선 네트워크 구조별 특징
- WPAN : 단거리 Ad Hoc 방식 또는 Peer to Peer. 블루투스, 이어폰, 셀카봉 등
- WLAN : 유선랜의 확장개념. 임시 사무실같은 환경에서 사용
- WMAN : 대도시같은 넓은 지역에서 높은 전송속도 제공. 건물간 무선연결기능.

 

무선랜의 장단점
장점 : 이동이 자유롭고 유지보수가 용이함
단점 : 유선랜에 비해 상대적으로 느린 속도, 숨겨진 터미널 문제 발생 ( 충돌 )

 

 

★★★★★
주요 무선 랜 프로토콜

802.11 ( 2.4GHz/2Mbps )  
802.11b ( 2.4GHz/11Mbps )  
802.11a ( 5GHz/54Mbps ) 802.11b와 호환이 안 됨
802.11g ( 2.4GHz/54Mbps ) 802.11b와 호환되나 데이터 처리 효율이 줄어드는 문제점
802.11i ( 2.4GHz/11Mbps ) 802.11b 표준에 보안성 강화
802.11n ( 5GHz, 2.4GHz ) 최대 600Mbps. 다중입력/다중출력 기술

 

WPA1
기업-인증 : 802.1x/EAP (인증 서버 있음)
개인-인증 : PSK (인증 서버 없음)
기업-암호화 : TKIP (RC4 스트림 암호화)
개인-암호화 : TKIP

WPA2
기업-인증 : 802.1x/EAP
개인-인증 : PSK
기업-암호화 : CCMP (AES 암호화)
개인-암호화 : CCMP

 

WAP1, 2를 나누는 기준 : 암호화 기법

기업Enterprise과 개인Personal을 나누는 기준 : 인증 기법

 

★★★

블루투스의 보안 취약점
- 블루프린팅 : 서비스 발견 프로토콜SDP를 이용해 공격 가능 장치를 검색하고 모델 확인
- 블루스나핑 : 장비의 임의 파일에 접근
- 블루버깅 : 장치에서 임의의 동작을 실행
- 블루재킹(=스팸) : 스팸처럼 명함을 익명으로 퍼뜨리는 것

 

무선랜의 비인가 접근
- SSD ID 노출 : 32Byte의 식별자. 무선전송데이터의 모니터링을 통해 값을 획득해 무선랜으로의 불법적인 접속이 가능. 별도의 기술 없이도 기본적인 정보 수집 가능 (대책 : 폐쇄 시스템 운영)
- MAC 주소 노출 : 정상 사용자의 MAC 주소 도용으로 MAC 주소 필터링 무력화 가능 

 

★★★

무선랜 인증 기술
- SSD : AP를 구분하는 ID. 패킷헤더에 덧붙여지는 32바이트 고유식별자
- MAC 주소 필터링 : 48비트의 하드웨어 주소 (24비트는 제조사 구분, 24비트는 시리얼번호)
- EAP : PPP 인증방식을 쉽게 확장할 수 있도록 설계
- WEP : 공유키인 WEP를 통해 사용자를 인증

★★★★★
무선랜 암호화 기술
- WEP : 무선랜 데이터 스트림 보안 제공(RC4) 대칭키 구조 암호화 알고리즘(ICV)
- TKIP : RC4 보완. Key Mixing 함수, Dynamic WEP Key, 메시지 무결성 보장을 위한 스펙을 정의한 통신 규약.
- CCMP : AES 블록 암호를 사용한 데이터의 기밀성과 무결성을 보장하기 위한 규칙을 정의.

+ TKIP와 CCMP는 MIC 사용

★★★★★
무선랜 인증 및 암호화 복합 기술
- 802.1x 보안 : 브리지, 무선 AP에서 물리적인 포트의 사용권을 획득하는 절차 규정

   (3가지 요소 : 스테이션 supplicant, 인증 AP Authenticator, 인증서버 Authentication Server)
- WPA : Wi-Fi에서 정의한 무선랜 보안규격. 802.11i의 보안 규격 일부 기능을 수용하여 만든 표준. 소프트웨어 업그레이드를 통해 지원 가능
- WPA2 : 2세대 WPA. AES기반으로 CCMP 암호화 방식을 사용하는 IEEE 802.11i 수정안을 포함한 보안 기술

 

★★★

802.11i 인증 참조

	정적 WEP	동적 WEP	WAP1	WAP2
보안키 적용 방식	WEP (24 비트 IV)	WEP (24 비트 IV)	TIKP(48 비트 IV)	CCMP
암호화 알고리즘	RC4			AES

IV: 초기화벡터

 

 

WAP 프로토콜 구조
- WAE : 도구와 형식의 모음 제공
- WSP : 세션 서비스 제공
- WTP : 트랜잭션 관리
- WTLS : TLS의 이전? 버전
- WDP : 전송을 위해 알맞게 변형

 

 

WAP 프로그래밍 모델
WAP 장치 -> WTLS 보호 영역 -> WAP 게이트웨이 -> TLS 보호구역 -> 웹 서버
                      ( 무선 네트워크 )                                   ( 유선 네트워크 )

+ WAP 게이트웨이에서 일시적인 평문 상태로, 공격될 위험이 있음
이때문에 WAPv2에서 Bypass 형식 사용

 

 

802.11i 인증 기술 (디바이스 인증)
1) 아이디/패스워드 기반 : 어느 기기를 사용해도 쉽게 인증 허가됨. 단점은 별도의 애플리케이션이나 프로토콜이 필요하고 부인방지 불가능
2) MAC 주소 기반 : 접속이 용이. 기기가 바뀌면 MAC 주소를 재등록해야 함. 새 사용자가 추가, 탈퇴될 때마다 추가/삭제가 필요. 관리가 어려움. 레지스트리에 의한 MAC 주소 변경으로 타인의 주소를 도용 가능.
3) 암호 프로토콜을 이용 : 다양한 인증 방식이 존재함. 부인방지 가능.
4) 챌린지/리스폰스 인증
5) PKI 기반 인증서 : 부인방지 가능, 인증서 관리 필요. CRL 리스트 관리 필요

 

 

★★★★★

IOS와 안드로이드의 보안 체계 비교

	IOS	안드로이드
운영체제	유닉스에서 파생된 OS X	리눅스
보안 통제권	관리자	개발자 또는 사용자
서명	애플이 자신의 CA를 통해 서명	개발자가 서명
샌드박스	프로그램간 데이터 통신 통제 (API)	비교적 자유롭게 통신 가능

 

 

★★★★★

IOS와 안드로이드의 주요 차이점

	IOS	안드로이드
정책	폐쇄적	개방적
검수	애플의 검수 통과 후 앱스토어에 등록	누구나 마켓에 등록 가능
관리자 권한 획득	Jailbreaking	Rooting

 

 

BYOD 보안 기술

- MDM : 기기를 완전히 제어할 수 있도록 스마트폰의 잠금, 제어, 암호화 등 정책실행 가능. 원격 자료 삭제 가능.
- MAM : 기기에 설치된 업무 관련 앱에만 보안 및 관리 기능 적용
- 컨테이너화 : 모바일 기기 내에 업무용과 개인용 영역(데이터)을 구분해 보안과 프라이버시 보호 문제 해결
- 모바일 가상화 : 모바일 기기에 개인용과 업무용 운영체제를 동시에 담아 개인과 공적 영역을 분리
- NAC : 사용자 기기가 보안정책을 준수했는지 여부를 검사해 비정상 접근 여부에 따라 네트워크 접속을 통제하는 기술

 

 

네트워크 5대 관리 기능
- 계정 관리 : 비용을 계산하고 요금을 부과
- 구성 관리 : 상호 연결 및 네트워크 정보 제공
- 성능 관리 : 네트워크 동작 및 효율성 평가
- 장애 관리 : 비정상 동작 발견하고 대처
- 보안 관리 : 관리대상에 대한 보안 기능

 

 

SNMP (네트워크 매니지먼트 시스템)
- 관리자와 에이전트의 개념을 사용.
- 관리자 : 라우터나 서버인 에이전트의 집단을 제어하고 감시함. SMNP 클라이언트 프로그램을 수행하는 호스트.
- 에이전트 : 관리대상 스테이션. SMNP 서버 프로그램을 수행하는 라우터(또는 호스트)
- SMI : 객체의 이름을 붙이고 객체 유형을 정의하며 객체와 값들을 부호화하는 방법을 나타내기 위한 일반적인 규칙들 정의
- MIB의 역할 : 관리될 각 개체를 위해 객체의 수를 결정하고, 규칙에 따라 이름을 붙이고, 객체에 유형을 연결. (데이터베이스 형태)

 

 

SNMP 주요 연산 기능
- Read : 폴링방식, 관리정보를 읽는 메시지 (GetRequest, GetNextRequest)
- Write : 관리정보를 변경해 장비의 동작 상태를 바꾸는 메시지 (SetRequest)
- Response : 요청 메시지에 대한 응답 (GetResponse)
- Notification : 장비에서 인터럽트 방식을 사용하여 SNMP 매니저에게 정보를 전송하는 메시지 (Trap)

+ Trap 메시지만 장비에서 매니저로 전송됨

 

 

★★★

SSH 컴포넌트
- SSH 전송 계층 프로토콜TRANS : TCP상에 안전한 채널 생성하는 프로토콜을 사용
- SSH 인증 프로토콜AUTH : 클라이언트에 대해 서버 인증이 이루어진 후, 서버에 대해 클라이언트를 인증하는 상호인증
- SSH 연결 프로토콜CONN : 논리적 통신채널의 다중화 수행

- SSH 응용Application : 연결단계를 마치면 몇 가지 응용 프로그램이 그 연결을 사용할 수 있도록 함

 

+ 암호화 미지원 대응
- rlogin(원격 로그인), rcp(원격복사), rsh(원격 명령실행), ftp, telnet

 

★★★★★

유닉스 네트워크 기반 프로그램 활용
- 연결테스트 PING : 진단 목적 (ICMP Echo request / reply)
- 경로추적traceroute : 목적지까지 데이터 도달여부를 확인하는 도구 (IP, ICMP, UDP33434, TCP)
- 네트워크 인터페이스 진단netstat : TCP/IP 프로토콜 진단
- 네트워크 인터페이스 설정 ifconfig : 설정정보를 알아보거나 ip주소, 서브넷마스크 설정 변경시 사용
- 라우팅 테이블 설정route : 라우팅 경로를 추가하거나 삭제 (정적 라우팅)
- nslookup : dns 진단 유틸리티
- dig : dns 진단 유틸리티
- 네트워크 패킷/로그 분석 tcpdump : 네트워크 인터페이스를 거치는 패킷의 내용 출력

 

 

 

비법노트 요약)

라우팅
정적 : 관리자 수동 조작. 변경이 적을 때, route 명령 이용
동적
- IGP : 느린 수렴시간의 거리벡터(홉수기준 RIP, IGRP), 빠른 수렴 시간의 링크상태(OSPF, 변경시만 라우팅 갱신)
- EGP : 패스벡터(BGP)

 

네트워크 장비
L1 - 물리 - 리피터(증폭), 허브(모든포트)
L2 - 데이터링크 - 브리지(확장, 충돌분리), L2SW(하드웨어, VLAN구성)
L3 - 네트워크 - 라우터(경로선택, 에러패킷 폐기(ICMP 응답), 이종 네트워크 연결, 브로드캐스트 분리)
L4 - 전송 - L4SW(로드밸런싱)
L7 - 응용 - Gateway(프로토콜 변환)

 

WPA, WPA2의 모드별 비교

	WPA		WPA2
	인증	암호화	인증	암호화
엔터프라이즈(기업)	802.1x/EAP	TKIP/MC	802.1x/EAP	AES-CCMP
퍼스널(개인)	PSK	TKIP/MC	PSK	AES-CCMP

 

무선랜 보안기술
인증
- SSID : 32바이트 (대책: 폐쇄시스템 운영)
- MAC : 48비트 하드웨어 주소, 관리의 번거로움
- WEP : 고정된 대칭키 사용(일방향 인증), 취약
- EAP : 다양한 인증방법 수용
암호화
- WEP : 대칭키(64/128비트) 이용, ICV(무결성)
- TKIP : WEP 보완, RC4
- CCMP : Counter 모드 기반, AES
인증/암호화
- WAP : TKIP 사용
- WAP2 : CCMP 사용
- WAP-PSK : 인증서버가 없는 소규모 망
- WAP-Enterprise : 인증서버, EAP 사용

 

네트워크 기반 프로그램
- ping : 연결 테스트
- traceroute : ICMP, TTL, UDP 33434
- netstat : 네트워크 진단
- route : 라우팅 경로 추가삭제
- nslookup, dig : DNS 관련 유틸리티
- tcpdump : 패킷 내용 출력

 

네트워크 기반 공격 유형
DOS
- TCP Syn Flooding : Half-Open 연결 시도 (대응: Syn-Cookie, 백로그큐 자동푸시/삭제)
- Land : 출발지/목적지 ip 동일
- Ping of Death : ICMP 정상 패킷보다 크게 전송
- Smurf : ICMP, 브로드캐스트, 공격자-증폭네트워크-표적
- Teardrop : 단편화중복
- Bonk : 모든 순서번호가 1
- Boink : 순서번호 예측못하게

DDoS (분산)
- Trinoo : udp flood 서비스 거부
- TFN : udp flood 서비스 거부 + @
- Stacheldraht : 철조망. 암호기능 추가
- TFN2K : TFN의 발전형태. 포트를 임의로 결정함.
- Get Flooding : 특정 페이지를 Get Method로 무한 실행
- 동적 HTTP Request Flooding : 지속적으로 요청 페이지를 변경하면서 요청
- CC Attack : 캐시 서버 무력화
- Slowloris (HTTP Header Dos) : 쓰레기 헤더를 보냄, 종료(블랭크 라인) 없음 
- Slow HTTP POST DoS : 장시간 분할 전송. Content-Length를 아주 크게.
- Slow HTTP Read DoS : 처리율 감소, Window size를 작게함 (ACK만 보냄)
- HashDos : 해시테이블(매개변수 저장) 충돌
- HulkDoS : URL을 지속적으로 변경해 가용량을 모두 사용하도록 함

 

스캐닝
- TCP Open : 포트 열림: SYN->SYN+ACK->ACK포트 닫힘: RST+ACK 응답
- TCP Half Open : 포트 열림: SYN->SYN+ACK+RST (로그를 남기지 않기 위해 RST) 포트 닫힘: RST+ACK 응답
- UDP Scan : 포트 닫힘: ICMP Unreachable
- FIN, Null, XMAS : 닫혔을 때 RST 응답

 

스니핑
1) 허브 - Promiscuous : 무차별 모드, 모든 패킷을 엿봄
2) 스위치
- Swithch Jamming : Mac Table Overflow. Fail Open 정책
- ARP Spoofing : IP -> MAC (위조)
- ARP Redirect : 라우터까지 속이는 공격
- ICMP Redirect : 패킷 흐름을 바꿈 (라우터)
- SPAN 포트 미러링 : 하드웨어 장비 이용

 

3) 탐지
- ping : 정상 응답X 스니핑시 응답O
- ARP : 정상 응답X 스니핑시 응답O
- DNS : Inverse DNS Lookup
- Decoy : 가짜 계정/패스워드 정보를 뿌려서 유인
- ARP Watch : 초기 mac 주소/ip 매칭값 저장 후 관찰

스푸핑
- ARP Spoofing : MAC 주소 위조 (스니핑을 하기 위해서 스푸핑(위조)을 하는 것)
- IP Spoofing : 신뢰관계 악용. 출발지 주소가 내부 IP
- DNS Spoofing : 시간차 공격, 파밍
- 이메일 Spoofing : 신분위장 이메일 발송, 사회공학 기법

세션 하이재킹
- TCP Session Hijacking : Sequence Number 이용, 비동기화 상태일 때 대량의 ACK 전송
- HTTP Session Hijacking : 세션쿠키 탈취

 

 

 

 

네트워크 보안 공격의 종류
- 수동적 공격 : 기밀성과 관련, 직접적인 피해가 없고 탐지가 어렵다. ex 스니핑, 도청
- 능동적 공격 : 무결성/가용성과 관련, 직접적인 피해가 있고 탐지가 쉽다. ex 재전송 공격, 변조, DDoS, 세션 하이재킹

 

★★★★★

서비스 거부공격DoS 정리

TCP Syn flooding Attack : 3-way handshakeing 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격
SMURF Attack : 직접적인 icmp 브로드캐스트와 세 가지 구성요소(공격자, 증폭 네트워크, 공격대상서버) 이용 (증폭 네트워크의 응답을 공격대상서버로 보낸다)
Land Attack : 공격자가 임의로 자신의 IP와 포트를 타겟 서버의 IP 주소 및 포트와 동일하게 하여 서버에 접속 (무한루프)
Ping of Death : ping을 이용해 ICMP 패킷을 아주 크게 만든 것
Teardrop Attack : 오프셋 값을 단편화간에 중복되도록 하거나, 정상값보다 더 큰 값을 더해 오버플로우를 일으켜 시스템의 기능을 마비시키는 공격
Bonk : 패킷을 단편화하여 전송시 패킷을 조작(순서번호 모두 1)하여 결과적으로 타겟에게 시스템 부하는 증가시키는 공격
Boink : Bonk와 유사, 패킷 시퀀스 번호를 비정상적인 상태로 보내는 공격기술