02_네트워크_3

- 패킷 필터링 : OSI 7 계층에서 네트워크, 트랜스포트 계층에 있는 데이터로 인/아웃 바운드 서비스

방화벽에 비해 속도 빠름, 강력한 Logging 및 사용자 인증 지원 안함

 

- 애플리케이션 게이트웨이

Application 계층 동작, Proxy 를 통한 연결, 패킷 필터링보다 보안 우수, 강력한 Logging 및 Audit, 성능 느림, 새로운 서비스에 유연성 결여

 

- 회선 게이트 웨이

application - session 계층 사이, 수정된 client 프로그램 필요, Circuit 형성

 

- 상태기반 패킷 검사(Stateful Packet Inspection)

전 계층 동작, 헤더 내용 분석하여 위배되는 패킷 차단, 방화벽 표준

데이터 내부에 악의적 내용 포함할 수 있는 프로토콜에 대응 어려움

 

- 침입 차단 시스템 구축 유형

1. 스크리닝 라우터

IP, TCP, UDP 헤더 부분에 포함된 내용 분석 후 내/외부 트래픽 허용/차단

OSI 3,4 계층만 방어, 패킷내의 데이터는 차단 불가, 로그관리 어려움

 

2. 베스천 호스트

외/내부 연결하는 라우터 뒤에 위치, Lock Down 상태, 베스천 호스트 손상 시 내부망 손상, Logging 정보 생성 관리 편리, 접근 제어, 인증 및 로그 기능 제공

3. 듀얼 홈드 호스트

2개의 인터페이스를 가진 베스천 호스트

→ 1개 NIC 내부 네트워크, 1개 NIC 외부 네트워크

IP 패킷을 라우팅 하지 않아 Proxy 기능 부여

 

4. 스크린드 호스트

라우터가 패킷 필터링 후 베스천 호스트로 전달

네트워크 + 응용 2단계 방어, 가장 많이 사용, 구축 비용 높음

 

5. 스크린드 서브넷

스크린드 호스트의 보안 결함 보완

내/외부 사이에 경계 네트워크를 둠

2개 스크리닝 라우터와 한개의 베스천 호스트

가장 안전한 구조, 구축 비용 높음

 

- 침입탐지 시스템(IDS) : 시스템 침입을 실시간 모니터링, 침입탐지 여부를 확인

정보 수집 → 정보 가공 및 축약 → 침입 분석 및 탐지 → 보고 및 조치

	오용탐지(Misuse)	이상탐지(Abnormaly)
동작방식	시그니처, 지식 기반	프로파일, 행동, 통계 기반
판단 방법	미리 정의된 공격 패턴 매칭	미리 학습된 사용자 패턴에 어긋남
사용기술	패턴 비교, 전문가 시스템	신경망, 통계적 방법, 특징 추출
장점	빠른 속도, False Positive 낮음	Zero Day Attack 대응
단점	False Negative 큼	False Positive 큼

 

	NIDS	HIDS
동작	네트워크 패킷들 검사	시스템상에 설치
자료원	promisc 모드 네트워크 카드나 스위치	시스템 로그, 콜, 로그
탐지 기능	스캐닝, Dos, 해킹	내부자 공격, 바이러스, 웜, 트로이 목마
장점	실시간 탐지, 감시 영역 큼	설치 및 관리 간단, 실제 해킹 판단 용이
단점	부가 장비 필요, 암호화 패킷 분석 불가	감시 영역 한정, 탐지 영역 한계

 

-snort

plug-in 형태로 기능 추가

패킷 → 스니퍼 → 전처리기 → 탐색 엔진 → 경고 및 로깅 → 로그 파일

탐지 룰

1. 스니퍼 : 입력되는 패킷을 수신, promisc 모드, WinPcap 라이브러리가 수신하는것

2. 전처리기 : 특정 행위 탐지될 경우 탐색 엔진으로 전송

3. 탐색 엔진 : 등록된 Rule 과 동일 여부 확인

4. 경고 및 로깅 : 탐지된 정보에 대해 로그파일, 네트워크 SNMP 등으로 결과 발생

5. 로그파일 : alert.ids

 

* 구성

alert tcp any any → any any (msg:”test”; sid:10000001;)

 

1. 패킷을 처리하는 방법 : alert(알람 발생, 로그기록), log(로그 기록), pass(무시), dynamic(activate 시그니처와 같이 사용), activate

2. 프로토콜 : TCP, UDP, ICMP, IP

3. 출발지 주소

4. 출발지 포트

5. Direction : 패킷의 방향, <> 의 경우는 모든 패킷

6. 수신자 주소

7. 수신자 포트

8. 탐지 조건

msg : 설정된 문장을 로그파일에 기록

sid : 시그니처 ID, 1,000,000 이상이 사용자 정의

dsize : 버퍼오버플로우 주로 탐지, 패킷사이즈 식별 가능

dzise:<바이트, dsize:바이트<>바이트 

nocase : 대소문자 구분 없음

content : 페이로드 검색하여 지정한 문자열 확인, 단순 문자열은 대소문자 구분, 바이너리 문자열은 16진수 → “| FF AA |”

* 패턴 매칭 옵션

! : 입력한 값과 일치하지 않으면 → content:!”google”;

| : Hex 표현할때 사용

\ : 특수기호 탐지할 때 사용

flags : SYN, FIN, URG, ACK 등 지정 → flags: SF; 또는 NULL 의 경우 flags: 0;

flow : established 지정, 전송되는 곳 지정 → to_server, to_client, from_server, from_client

itype : icmp 타입 →  itype: 0;  //echo reply

sameip : Land Attack 탐지를 위해 사용

session : printable → 세션 기록

threshold : 무작위 공격 방지

threshold: type [init, threshold, both] track [by_src, by_dst] count [횟수] seconds [몇 초]

react: block;  //패킷 차단

react: warn: msg;  //사용자 브라우저에 msg 문구 전송

 

* 탐지룰 예제

- SYN 탐지

alert tcp any any → any any (msg:”Syn”; flags: S; threshold: type both, track by_src, count  10, seconds 20; sid: 10000011;)

- NULL 탐지

alert tcp any any → any any (msg:”Null”; flags:0; threshold: type both, track by_src, count 10, seconds 20; sid: 10000022;)

- Ping of Death

 

- 침입 대응 시스템(IPS) : 비정상적인 패킷 탐지 및 차단 → IDS 문제점 보완

NIPS : 공격 탐지에 기초해 트래픽 통과 여부 결정

HIPS : 호스트 OS 위에서 수행

 

- 허니팟(HoneyPot) : 해커의 정보를 얻기 위한 하나의 개별 시스템 → 해커의 행동, 공격 기법 등 분석

ZeroDay 공격 탐지 수단, Padded-cell → IDS 와 연계

* 위치

- 방화벽 앞 : 내부 네트워크 위험도 증가 없음

- 방화벽 내부 : 내부 네트워크 위험도 커짐

- DMZ 내부 : 가장 적당한 위치, 다른 서버와의 연결 막아야 함

* 고려사항 : 시스템 구성요소 갖춰야 함, 모든 패킷 검사, 노출되어 취약해 보여야 함, 관리자에게 알려야 함

 

- VPN : 2-Factor 인증 + 터널링

VPN 소프트웨어 설치, 인증을 위한 USB 를 통해 기업 서버 연결

 

- SSL VPN : 웹 브라우저를 통해 언제 어디서나 사용 가능, 별도 소프트웨어 불필요

RSA, X.509 로 인증

인증, 무결성, 기밀성, 부인 봉쇄

 

- IPSEC VPN : 가상적인 전용회선 구축

* 전송 모드

- 터널 모드 : 중간에 IPSEC 을 탑제한 중계 장비가 패킷 전체 암호화 후 중계 장비 IP 전송

- 전송 모드 : End-to-End 보안 제공

* 키관리

- ISAKMP : SA 관리 정의, 키 교환 매커니즘 언급 없음

- IKE : 키 교환 담당, UDP 500port 를 통한 전달

* 인증, 암호화를 위한 헤더

- AH : 무결성과 인증 제공, MAC 기반, 재전송 공격 방지, MD5, SHA-1 인증, 같은키 검증

- ESP : 암호화, 인증, 무결성, 재전송 공격 방지, DES, 3DES, 알고리즘, 전송모드(전송계층), 터널모드(전체 암호화)

 

# SA :  보안을 만족시키기 위해, 구체적으로 합의되어야 할 요소들의 결합을 말함

 

- AH 헤더

                          1byte                                       1byte                                           2byte                

Next Header	Payload Length	Reserved
SPI(Security Parameter Index)
Sequence Number
Authentication Data

 

- Payload Length : AH 길이

- SPI : SA 를 식별

- Sequence Number : SA 구성될때 0 으로 초기화, 송신될때마다 값 증가, 재생 공격 방지

- Authentication Data : ICV(무결성 검사) 값으로 구성됨

 

- AH 전송 모드

전

이더넷 헤더

IP 헤더

데이터

후

이더넷 헤더

IP 헤더

AH

데이터

 

- AH 터널 모드

전

이더넷 헤더

IP 헤더

데이터

후

이더넷 헤더

New IP 헤더

AH

IP 헤더

데이터

 

- ESP 헤더

SPI
Sequence Number
payload Data
	Padding(0-255)
	payload Length	Next header
Authentication Data

 

* SPI : SA 식별

* Sequence Number : SA 구성 시 0으로 초기화, 송신될 때마다 값 증가, 재생 공격 방지

* Authentication Data : ICV 로 구성

 

- ESP 전송 모드

전

이더넷 헤더

IP 헤더

데이터

후

이더넷 헤더

IP 헤더

ESP

데이터

패딩

ESP Trail

MAC

 

- ESP 터널 모드

전

이더넷 헤더

IP 헤더

데이터

후

이더넷 헤더

New IP 헤더

ESP

IP 헤더

데이터

패딩

ESP Trail

MAC

- PPTP VPN

PPP 의 패킷을 IP 패킷으로 암호화, 2계층, MS 의 RAS 기반

- L2F VPN

시스코

- L2TP VPN

PPTP + L2F, 2계층

 

- NAC

등록되지 않은 단말기 식별하여 차단 → Agent 방식, Agentless 방식

PacketFence : NAC 솔루션의 오픈소스

* 구성

1. 정책 관리 서버 : 정책 설정, 접근 로그 관리

2. 차단 서버 : 단말기 통제, 유해 트래픽 감지 및 차단

3. 에이전트 : 단말기에 설치

4. 콘솔 : 웹기반으로 정책 설정, 감사, 모니터링, 대시보드 제공

* 기능

- 네트워크 정보 자동 수집 및 업데이트 지원

- IP 관리 및 충돌 보호

- 인증 서버 연동 → RADIUS, AD, DB 등

- 네트워크 접속 강제화 및 필수 프로그램 설치 유도

- 보안 무결성 확인

- 무선 AP 정보수집 및 비인가 AP 접속 통제

- DHCP

 

- ESM : 통합 보안관제 시스템, 각종 보안 장비 이벤트 수집 및 분석

* 기능 : 통합 보안 관제, Agent 관리, 분석 보고서

* 구성 : Agent(수집), Manager(분석), Console(모니터링)

##SIEM 과 ESM 차이

거의 유사하나 SIEM 은 빅데이터 사용, 인덱싱 사용

기업의 모든 자원의 정보 및 로그 통합

 

- 무선 LAN

무선 주파수(RF : Radio Frequency) 사용

SDR(Software Defined Radio) : 무선 네트워크 수신을 위한 안테나와 소프트웨어 구성

* 구성 : 인증, 암호화

* 보안 기술

1. SSID : 동일한 SSID 를 가진 클라이언트만 접속 허용

2. WEP : IEEE802.11b 표준화, RC4 대칭암호키 40bit, 24bit IV, 무작위 공격 취약, 정적 키관리

3. WPA : IEEE802.1x/EAP, 128bit 동적 암호화 및 복호화, TKIP 방식으로 키 동적 생성

4. WPA2 : IEEE802.11i, AES 암호화, 사전인증 및 캐시

 

- 무선 LAN 공격 기법

WPA 는 4way-handshaking 사용, 이 과정 중 사전 파일 대입하여 패스워드 복호화

aircrack-ng 도구를 통한 

iwconfig : 무선 LAN 카드 확인

monitor 모드 : airmon-ng <WLAN 명>

스니핑 : airodump-ng mon0

DDos : airplay-ng -3 -b <AP MAC> -h <LAN MAC> mon0

크랙 : aircrack-ng -b <AP MAC> -w <사전 파일> <패킷 파일>

- RFID 보안 기술

* Kill Tag : 요청에 따른 태그 무효화

* FaraDay Cage 원리 : 차폐망 이용(주파수 차단)

* 방해전파 : 신호를 인식할 수 없도록 방해신호 전송

* Blocker Tag : 외부 침입 막기 위한 차단 태그

* 재 암호화 방법 : 다시 정기적 암호화

 

-Dynamic NAT : 내부 사설 IP 가 미리 정해진 공인 IP 로 랜덤하게 매핑, 모두 매핑된 경우 사용 불가

-Static NAT : 특정 사설 IP 가 특정 공인 IP 만 사용하도록 미리 지정

- PAT : 포트 변환을 통해 많은 수의 사설 IP 매핑

 

- 망분리

* 물리적 망분리 : 업무망, 인터넷망 완전 분리, LAN 케이블 공사 필요

업무 PC, 인터넷 PC 분리 필요

* 논리적 망분리

CBC : PC 1대 사용, 가상영역을 인터넷용

SBC : PC 1대 사용, 서버 접속용 프로그램 통한 인터넷 PC 호출

 

* 융합형

사용자 2대 PC, 네트워크 1개 가상화

 

# 망분리 대상 -> 일일 사용자수 100만명, 매출액 100억원 이상, ISMS 의무 인증 대상자

 

 

참고 서적 : www.yes24.com/Product/Goods/89220771