네트워크 보안 5, 6

 

DDoS 공격 순서
해커 -> 마스터 컴퓨터(Handler) -> 수많은 좀비 컴퓨터(Slave, Agent) -> 타겟

최신 DDoS 공격 순서
봇마스터 -> C&C 서버 -> 봇넷 -> 타겟

+ 봇넷 : 봇들의 모음

 

★★★

DDoS 구성요소
- 봇마스터 : 공격을 주도하는 해커의 컴퓨터. C&C 서버에 공격명령을 전달함.
- C&C 서버 : 여러대의 에이전트를 관리
- 핸들러 프로그램 : 마스터 시스템의 역할을 수행하는 프로그램
- 에이전트 : 슬레이브, 좀비
- 데몬 프로그램 : 에이전트 시스템 역할을 수행하는 프로그램
- 타겟 : 공격 대상

 

DDoS 공격의 사례

- 트리누 : UDP Flood 서비스 거부 공격

- TFN 공격 : UDP Flood 공격 + 스머프 공격

- Stacheldraht 공격 : 트리누와 TFN을 참고하여 제작된 도구. 암호화기능 추가

- TFN2K :  TFN의 발전된 형태. 암호화, 포트도 임의로 결정됨

 

★★★★★

TCP OPEN 스캔
- 열린 포트의 경우 SYN -> SYN+ACK -> RST (로그를 남기지 않기 위해 RST를 보냄)
닫힌 포트의 경우 SYN -> RST+ACK (Half-Open 스캔과 동일)
- 포트가 닫혀있는지 열려있는지 확인하는 사전조사에 해당

 

★★★★★

FIN, NULL, XMAS 스캔
- 포트가 열려있을 때는 아무 응답이 없음
닫혀있을 때는 RST 패킷 응답이 돌아옴

 

★★★★★

UDP 스캔
- 포트가 열려있을 때는 응답없음
닫혀있을 때는 ICMP Unreachable 패킷이 응답온다

 

 

포트 스캔 종류
- TCP Connect 스캔 : 포트 오픈 확인
- TCP Half Open (SYN) 스캔 : SYN 플래그만 설정하여 전송
- TCP ACK 스캔 : ACK 플래그만 설정해 전송
- TCP FIN, NULL, Xmas 스캔 : FIN 플래그만 설정, 모든 플래그 미설정, 모든 플래그 설정하여 전송
- UDP 스캔 : UDP 패킷 송신

 

 + UAPRSF

 

★★★★★

스푸핑 유형
- IP 스푸핑 : (3계층) 다른 컴퓨터의 IP 주소 도용
- 이메일 스푸핑 : (7계층) 발신자를 위장하여 메일을 전송
- 웹 스푸핑 : (7계층) 웹페이지 내용을 가로채 조작하여 보내는 방법
- DNS 스푸핑 : (7계층) DNS를 사칭하여 위조사이트로 접속되도록 DNS에서 전달하는 IP 주소를 변경

 

 

세션 하이재킹 방어대책
- 암호화
- 지속적인 인증 (로그인 후 일정시간 내 재인증 요청)
- 패치

 

+ TCP 세션 하이재킹(시퀀스 넘버 도용/조작), HTTP 세션 하이재킹 (세션 쿠키 탈취)

+ 동기화가 끊어져 비동기화가 되고, 대량의 ACK 패킷이 전송되면 TCP 세션 하이재킹을 의심할 수 있다

 

★★★

IDS의 장단점
장점 : IPS에 비해 적극적인 방어 가능, 내부 사용자의 오남용 탐지 및 방어 가능(방화벽이 탐지하지 못한), 해킹사고 발생시 어느정도 근원지 추적 가능
단점 : 대규모 네트워크에 사용 곤란, 관리 운영이 어렵고 새로운 침입기법에 즉각적인 대응이 안됨(Zeroday 공격 등), 보안사고에 대한 근본적인 해결책이 되지 못함

+ IDS은 침입탐지, IPS는 침입방지(차단) 시스템

 

 

IDS의 종류
침입탐지 시스템
1) 탐지방법
- 행위기반 Anomaly (비정상행위 탐지)
- 지식기반 Misuse (오용탐지)
2) 대응방법
- 수동적
- 능동적
3) 데이터 수집원
- 호스트 로그파일 HIDS (비용 ↑, 성능저하, 트로이목마 등 탐지 가능)
- 네트워크 패킷 NIDS (전체 네트워크 탐지 가능, 암호화된 패킷 탐지X, 고부하, 스위치 네트워크 사용X)
4) 탐지시점
- 사후분석
- 실시간 분석

 

 

 

★★★★★

탐지방법에 의한 분류

	Misuse	Anomaly
특징	비정상 케이스 등록, 수집하여 시그니쳐 signature 패턴을 설정 지식기반	사용자의 행동양식 수집 -> 통계, 프로파일 이상한 행동, 급격한 변화가 발견되면 불법침입으로 탐지 신경망모델, 인공지능 활용 비정상행위 탐지
ZeroDay 공격	대응 어려움	대응 가능
단점	미탐 ↑ (탐지 못하는 경우) false negative 새로운 공격에 대한 대응이 어려움	오탐 ↑ (잘못 탐지하는 경우) false positive 정상-비정상행위 구분을 위한 임계값 설정이 어려움
장점	오탐률이 낮음 트로이목마, 백도어 탐지 가능	패턴 업데이트 불필요 알려지지 않은 공격 탐지 가능

+ ZeroDay 공격 : 취약점 발견 후 패치되기 전에 공격

 

★★★★★

데이터 수집원에 따른 분류

	호스트 기반 HIDS	네트워크 기반 NIDS
특징	서버에 직접 설치	네트워크 세그먼트당 하나의 감지기 설치(용이)
장점	다양한 로그자료를 통해 침입방지 침투탐지 (트로이목마, 백도어, 내부자에 의한 탐지/차단)	개발서버의 성능저하 없음 여러 유형 탐지 IDS 공격에 대한 방어, 존재사실 은닉가능 (스텔스 IDS)
단점	해커에 의한 로그자료 변조 가능성 DoS공격으로 무력화 호스트 성능에 의존적 리소스 사용시 서버부하	암호화패킷 침입탐지 불가 네트워크 트래픽 증가로 성능문제 야기 오탐률이 높음

 

 

허니팟 개념도
 [인터넷]                                [DMZ]                                     [내부 네트워크]
크래커/웜  →  허니팟  →   분석시스템  →  대응시스템  →  서버, 사용PC
               침입           수집                    대응

+허니넷 : 허니팟으로 구성됨

 

비교

	유인Enticement 허니팟	함정Entrapment
대상	시스템에 허가되지 않은 접근을 시도한 책임자	침입 의도가 없는 사용자
합법여부	합법, 윤리적	불법, 비윤리적
목적	침입의 증거 수집	범죄유발
기타	증거를 잡아내기 위해 범인이 범죄의 순간을 충분히 유지하도록 하는 것	의사가 없던 사람에게 범죄를 저지르게 하는 것

 

 

Firewall, IDS, IPS 비교

	Firewall	IDS	IPS
	접근통제 및 인가	침입여부 탐지	침입방지,차단
기능	패킷차단	패킷 내용 분석 오용 탐지 이상 탐지	패킷 차단 패킷 내용 분석 오용 탐지 오용 차단 이상 탐지 이상 차단
장점	엄격한 접근 통제	실시간 탐지 사후분석	실시간 즉각 대응 세션 탐지
단점	내부자 공격 취약	변형된 패턴, 새로운 공격에 대응 어려움	오탐률이 높음 장비 고가

+ IPS에 IDS + Firewall + Secure OS를 포함하기도

 

 

★★★

방화벽의 장단점
장점
- 취약한 서비스 보호 가능
- 호스트 시스템 접근제어 기능
- 로그와 통계자료 유지, 감사추적
- 일관된 보안정책 적용
- 암호화(vpn의 경우)

단점
- 제한된 서비스
- 우회하는 트래픽 제어 불가
- 내부 사용자로부터 취약
- 바이러스, 새로운 형태의 위협에 대한 방어 곤란

 

 

방화벽의 운영 정책
Deny all : 모든 트래픽을 먼저 차단하고 허용할 트래픽만 선별적으로 허용 (주로 외부->내부)
Permit all : 모든 트래픽을 허용하고 특정 트래픽만 선별적으로 차단 (주로 내부->외부)

 

★★★

패킷 필터링 방화벽의 장단점
장점
- 확장 가능, 높은 성능
- 응용프로그램에 독립적

단점
- 패킷에서 헤더정보 이상을 조사하지 않음
- 상대적으로 낮은 보안
- 연결상대를 추적하지 않음(감사추적 기능 부족)

- 사용자 인증 취약

 

+ 3,4 계층의 IP나 PORT 등을 보고 통과여부를 판단

+ 패킷 필터링은 보통 라우터를 통해서 많이 사용

 

프락시 방화벽의 장단점

장점

- 응용 계층까지 전체적으로 패킷 정보를 검사

- 패킷 필터링보다 보안 향상

- 보호 시스템과 비보호 시스템 사이 연결을 차단

 

단점

- 일부 프록시 방화벽은 제한된 응용 프로그램 번호만 지원
- 트래픽 성능 저하
- 확장성과 성능에 대한 논점을 일으킴
- 클라이언트/서버 모델을 깨뜨리며 일부 프록시 방화벽은 기능상의 단점이 있다

 

 

Bastion Host 방식의 장단점 ( 패킷 필터링에 비해 전용으로 많이 사용 )
장점
- 스크리닝 라우터 방식보다 안전
- 정보 지향적인 공격 방어
- 각종 기록 정보 생성 및 관리 용이

단점
- 손상되면 내부 네트워크 보호 불가
- 로그인 정보가 유출되면 내부 네트워크 보호 불가

 

 

★★★

응용프로그램 수준과 회선수준 프락시 방화벽 비교
응용프로그램 수준 프락시
- 모니터 되는 각 프로토콜을 위해 서로 다른 프락시가 요구됨
- 비교적 보안 향상
- 비교적 느리다

회선 수준 프락시

- 서로 다른 프락시가 요구되지 않음
- 응용프로그램수준 방화벽이 제공하는 깊은 검사 능력이 없음
- 비교적 낮은 보안
- 비교적 빠르다

 

※ 방화벽의 배치

스크리닝 라우터Screening Router
: 외부 -> S.R -> 내부

Bastion 호스트
: 외부 -> B.H -> 내부

Dual-Home
: 외부 -> [외부용 NIC]  B.H [내부용 NIC] -> 내부

Screened Host 스크린드 호스트
: 외부 -> S.R -> [외부용 NIC]  B.H [내부용 NIC] -> 내부
(Screening스크리닝 Router + Dual-Home 듀얼-홈드)

Screened Subnet 스크린드 서브넷
: 외부 -> S.R -> [외부용 NIC]  B.H [내부용 NIC] -> S.R -> 내부

              (                               D M Z                                 )

 

 

★★★★★

방화벽 구조
1) 스크리닝Screening 라우터
- 멀티 플레이어. 방화벽, VPN, NAT 기능 제공
- 구조가 간단하고 장비 추가비용 소요가 없음
- 복잡한 필터링 규칙설정이 필요하고 인증 불가, 내부구조를 숨기기 어려우며 방어 깊이가 약함

2) 이중 네트워크 호스트 Dual-Homed
- 두 개의 인터페이스를 가지는 장비
- 외부 네트워크와 내부 네트워크가 다른 인터페이스를 가짐
- 라우팅 기능이 없는 방화벽을 설치하는 형태
- 각종 기록정보를 생성하고 방화벽의 관리, 설치, 유지보수 용이, 내부네트워크 숨길 수 있음
- 사용자정보 입력이 필요, Bastion host가 손상되거나 로그인 정보가 누출되면 내부 네트워크 보호 불가

3) 스크린드Screened 호스트 게이트웨이
- 듀얼홈드 게이트웨이와 스크리닝 라우터를 결합한 형태
- 2단계 방어가 가능, 방어의 깊이가 개선됨
- 해커나 악의의 내부자에 의해 라우팅 테이블이 변경되면 내부 네트워크 방어 불가

4) 스크린드Screened 서브넷 게이트웨이

- 스크리닝 라우터들 사이에 듀얼홈드 게이트웨이가 위치하는 구조

- DMZ 구역을 생성

- 매우 안전하고 모듈러하고 유연하며 높은 방어의 깊이

- 비교적 설치와 관리가 어렵고 구축비용이 많이 들며 서비스 속도가 느려짐

+ DNS 서버, 웹서버는 가능하지만, DB서버는 불가능한 방식

 

 

★★★

VPN 기능 (공중망을 전용 네트워크처럼 사용)
- 데이터 기밀성 : 암호화
- 데이터 무결성 : 암호화 및 전자서명(부인방지)
- 데이터 근원 인증 : 해당 송신자에 의해 전송된 것임을 확인할 수 있는 서비스 제공
- 접근 통제 : 인증된 사용자에게만 접근 허용. 제3자의 접근을 통제.

+ 터널링 기능, 암호화 인증, 접근제어

 

★★★

계층별 터널링 프로토콜 비교

	2계층	3계층	MPLS (2~3계층)
프로토콜	LTP, PPTP	IPSec, GRE	MPLS
구현형태	클라이언트-서버	호스트-호스트	호스트-호스트
캡슐화 대상	IP, IPX, 애플토크등	IP	IP
인증	비표준, 자체지원	IPSec	비표준
암호화	비표준, 자체지원	IPSec	비표준
특징	PPP 기술 활용	다중 서비스 지원	QoS

 

★★★

IPSec vpn과 SSL vpn 비교

	IPSec VPN	SSL VPN
접근 제어	정교한 접근제어 미흡	어플리케이션 차원의 정교한 접근제어 제공
적용 계층	TCP/IP의 3계층	TCP/IP의 5계층
지원성	별도 소프트웨어 설치 필요	웹 브라우저 자체 지원
암호화	패킷단위	메시지단위
적합성	호스트-호스트	브라우저-웹서버
장점	종단간 보안 가능 종단 부하 없음	Client - Server 상호 인증 접속, 관리 편리

+ 공통점 : 터널링(캡슐화) 기능 제공

 

 

★★★★★

AH 전송모드
4계층 : TCP Data
IPSec : IPSec 헤더 + TCP Data
3계층 : IP 헤더 + IPSec 헤더 + TDP Data

           └ ─ ─ ─ ─ ─ ─ 인증 ─ ─ ─ ─ ─ ─ ┘

 

★★★★★
AH 터널모드
4계층 : TCP Data
3계층 : IP 헤더 + TDP Data
IPSec : IPSec 헤더 + IP 헤더 + TDP Data
가상의 3계층 : new IP 헤더 + IPSec 헤더 + IP 헤더 + TDP Data

                      └ ─ ─ ─ ─ ─ ─ ─ ─ ─ 인증 ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┘

=> new IP 헤더의 목적지(중간지점)는 계속 변동된다.

=> IP 헤더는 최종 목적지 정보를 담고 있으며 변동되지 않는다.

 

★★★★★

ESP 전송모드

4계층 : TCP Data

IPSec : IPSec 헤더 + TCP Data + IPSec 트레일러
3계층 : IP 헤더 + IPSec 헤더 + TDP Data + IPSec 트레일러

                           │                     └ ─ ─ ─ ─ 암호화 ─ ─ ─ ─ ┘

                          └ ─ ─ ─ ─ ─ ─ ─ ─ 인증 ─ ─ ─ ─ ─ ─ ─ ─ ┘

 

★★★★★

ESP 터널모드
4계층 : TCP Data
3계층 : IP 헤더 + TDP Data
IPSec : IPSec 헤더 + IP 헤더 + TDP Data + IPSec 트레일러
가상의 3계층 : new IP 헤더 + IPSec 헤더 + IP 헤더 + TDP Data + IPSec 트레일러

                                              │                     └ ─ ─ ─ ─ ─ ─  암호화  ─ ─ ─ ─ ─ ─ ┘

                                             └ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─  인증  ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┘

 

 

 

요약

인증

AH 프로토콜 : 전체

ESP 프로토콜 : IP헤더 제외

암호화

AH 프로토콜 : X

ESP 프로토콜 : O

- 전송 : TCP Data + IPSec 트레일러

- 터널 : IP 헤더 + TCP Data + IPSec 트레일러

 

 

IPSec AH/ESP 프로토콜

- 공통 : 접근제어, 비연결형 무결성, 데이터 원본 인증, 재전송 방지

- ESP만 해당 : 기밀성, 제한적 트래픽 흐름의 기밀성(ESP 터널모드)

 

 

ESM 구성요소

1) ESM 클라이언트

- 에이전트 : 방화벽, IDS 등의 보안장비에 탑재되어 운영
ESM 매니저로부터 각종 보안 정책 적용 및 개별 보안 솔루션의 기능 수행 명령을 받음

 

2) ESM 서버

- ESM 매니저 : 통합 보안 정책의 생성, 적용 관리. 에이전트로부터 수집된 이벤트 정보, 로그정보 저장, 분석. 관리자에게 보고

- ESM 콘솔 : 해킹 분석 결과 확인

 

3) ESM 데이터 매니지먼트

- ESM Event Log Repository : 로그 데이터베이스

- ESM Policy Repository : 보안 정책 데이터베이스

 

 

+ ESM과 UTM
ESM
- 이기종 보안 시스템 통합 관리.
- 단, 관리가 어렵고 로그가 많다
UTM
- 관리가 용이하고 공간절약
- 장애 발생시 전체에 영향

 

 

ESM의 통합 보안관제 기능
- 통합 로그 관리
- 이벤트 필터링
- 실시간 통합 모니터링, 경보, 상황전파
- 긴급대응
- 리포팅
- 통합 운영 관리 기능(보안정책관리, 보안감사, 이력관리, 권한관리)

 

 

NAC의 주요 기능 (무선보안)
- 접근 제어/인증 : 모든 IP 기반 장치 접근 제어
- PC 및 네트워크 장치 통제 (무결성 체크) : 백신, 패치, 자산관리 등
- 해킹, 웜, 유해 트래픽 탐지 및 차단

 

 

 

비법노트 정리)
IDS의 종류
1) HIDS 호스트 기반, 로그파일 탐지, 암호화 패킷 탐지에 유리, 종속적, 스위치 환경에 적합, 오버헤드
2) NIDS 네트워크 기반, 패킷 탐지, 암호화 패킷 탐지 불가, 독립적, 스위치 환경에 부적합, 네트워크 공격 감지
3) Misuse 오용, 비정상 패턴 탐지, 미탐 높음, 전문가 시스템, 새로운 공격패턴에 대응 어려움
4) Anomaly 비정상, 정상 프로파일 기반, 오탐 높음, 통계적 방법, 인공지능, 임계치 설정 어려움, 새로운 공격에 대응가능

 

방화벽
1) NAT
- Static 정적: 1:1 매핑
- Dynamic 동적: 범용주소 풀 사용
- PAT : 웰론포트가 아닌 임시포트로 구분

2) 유형
- 패킷 필터링 : 로깅기능 제한적, 인증X, 사용자 투명성 제공
- 상태 검사기반 : ACK 스캔 대응, 인증O, 사용자 투명성 제공
- APP Level GW : 응용계층, 투명성 저하, 개별 프락시 필요
- Cricut Level GW : 사용자 투명성 제공, 수정된 클라이언트 PG 필요

3) 배치
- 스크리닝 라우터 : 라우터 이용, 구조 간단, 비용절약
- 배스친 로스트 : Lock Down 상태 유지, 프락시 서버 설치, 인증, 로그 등.
- 듀얼홈드 호스트 : 두 개의 NIC 카드 사용, 정보지향적 공격 방어
- 스크린드 호스트 : 듀얼홈드+스크리닝 라우터. 2단계 방어. 로그인정보노출시 내부 네트워크 보호X
- 스크린드 서브넷 : DMZ 구간 구성, 안전, 설치, 관리 어렵고 속도 느림. DB서버는 적용 불가

 

VPN
1) 2계층
- PPTP, L2F, L2TP

2) 3계층 (IPSec)
가) AH 프로토콜 (암호화X)
- 전송모드 : 전체인증
- 터널모드 : 전체인증, New Ip 헤더

구조
전송: IP 헤더 + AH 헤더 + Payload
터널: New IP 헤더 + AH 헤더 + IP 헤더 + Payload

나) ESP 프로토콜
- 전송모드 : IP헤더 제외 인증, Payload + IP Sec 트레일러 암호화
- 터널모드 : New IP헤더 제외 인증, IP헤더 + Payload + IPSec 트레일러 암호화

구조
전송: IP 헤더 + ESP 헤더 + Payload + IP Sec 트레일러 + ESP 인증
터널: New IP 헤더 + ESP 헤더 + IP 헤더 + Payload + IP Sec 트레일러+ ESP 인증

* 제한적 트래픽 흐름의 기밀성