[CISSP] Domain 3. 통신과 네트워크 보안 (II)

▶ 통신보안기술
  - SSH(Secure Shell)
      - 패킷을 암호화 하여 IP 스푸핑, DNS 스푸핑 등으로 부터 보호
      - RSA 기반의 공개키/개인키 pair 방식을 이용

  - SSH1
      - 기존의 Telnet 을 대체하기 위해 만들어 짐
      - Public Key, OTP 를 이용한 인증

  - SSH2
      - 다양하며 강력한 암호화
      - Secure Hash Algorithm 을 이용한 인증 (SHA256 / SHA512)

  - SSL (Secured Socket Layer)
      - 클라이언트는 서버를, 서버는 클라이언트를 인증
      - Netscape 에서 개발
      - WEB 버전 : HTTPS (클라이언트가 서버를 인증)

  - S-HTTP (Secure HTTP)
      - VISA card 에서 개발
      - Request 와 Response 구조를 그대로 이용하면서 암호화 기능을 수행하기 위해 추가적 헤더 정보 사용
      - 헤더 암호화를 통해 안전한 전송 지원
      - RSA 공개 키 암호 방식, Kerberos 등을 지원
      - Data 암호 알고리즘에 DES, 3DES, IDEA, RC2 등을 지원

  - HTTPS
      - SSL 의 Web 버전
      - X.509 인증서 사용 지원
      - 443 포트 사용

  - NAT (Network Adderess Translation)
      - 사설 IP를 사용
      - 보안기능 향상
      - 클라이언트에서는 동적주소할당, 서버에서는 정적주소할당

  - Wireless 인증(802.1x)
      - Access Client 가 접속 가능한 AP를 통해 RADIUS 서버에 무선 접속, 인증 요청
      - backend repository 와 통신하여 사용자 인증, 최종인증 통보 후 접속 포트 개방 (EAP)

  - Wireless LAN 보안 문제점
      - 사용자 인증 문제점 : SSID, Open System Authentication, Shared Key Authentication
      - 무선구간 데이터 암호화 문제 : WEP, 고정된 키 사용, 동일 AP 접속자끼리 암호화 의미없음
                                                   알려진 평문 공격에 취약

  - WEP : Wi-Fi 표준, 전송되는 데이터를 암호화, 클라이언트-AP간 무선링크 보호

  - IEEE 802.1x
      - 포트기반의 이증을 위한 전반적인 구조 정의
      - EAP를 만족하는 개별인증 알고리즘 사용 (EAP-MD5, EAP-TLS만 표준화)

  - SSH 와 SSL
      - 사용자의 ID/PW 가 암호화 되지 않은 채 네트워크 데이터로 전달되는 경우를 방지

▶ 네트워크 공격
  - 소극적인 공격(Passive Attack) : 적극적 공격을 위한 정보 수집 단계
  - 적극적 공격(Active Attack)

  - 네트워크 공격의 종류
      - 방해(Interruption) : DDoS
      - 가로채기(Interception) : 도청
      - 수정(Modification) : 무결성 훼손
      - 위조 (Fabrication) : 위장

  - 스캐닝 공격(Port Scanning)
      - 특정 호스트에서 어떤 서비스가 작동되고 있는지 알아내기 위한 정보 수집
      - Network Mapper (tool Eg: NMap, SuperScan)
      - 종류 : TCP SYN Scan, UDP Scan, FIN Scan, NULL Scan, Wardialing
      - 최소로 제한된 포트를 열고 지속적인 SW 패치 수행

  - 스푸핑 공격(Spoofing)
      - 자신의 식별 정보를 속여서 다른 시스템을 공격
      - 종류: IP Spoofing, ARP Spoofing, E-mail Spoofing, DNS Spoofing
      - IP/ARP Spoofing 의 목적 : 도청(Sniffing)
      - Packet Filtering Router, IP 인증기반 접근제어, 취약 서비스 제거, 암호화 프로토콜 사용으로 방어

  - 스니핑 공격(Sniffing)
      - 도청
      - 종류 : Switch Jamming, ARP Redirection, ICMP Redirect
      - Switch Jamming : 위조된 MAC Address 를 스위치 허브에 보내어 주소테이블을 Overflow 시켜 도청
      - ARP Redirection : APR Reply를 위조해 모든 호스트에 보내 도청
      - ICMP Redirection : ICMP Reply를 위조해 패킷을 도청
      - SSL, PGP, VPN 등을 이용하여 데이터 패킷을 암호화, 스니핑 호스트를 주기적 점검

  - Session Hijacking
      - 종류 : TCP Session Hijacking, Web Session Hijacking
      - TCP Session Hijacking : IP Spoofing, Sniffing 을 이용해 user 의 telnet session을 가로챔, SSH로 방어
      - Web Session Hijacking : 쿠키를 가로채 poisoning, HTTPS로 방어

  - 서비스 거부공격(Denial of Service)
      - 과도한 패킷 트래픽을 발생시켜서 시스템의 자원을 소진시켜 가용성을 침해
      - 종류 : Ping of Death, TearDrop Attack, Syn Floods, Smurf Attack, Land Attack
      - Syn Floods : half-open TCP 연결을 계속 시도, 호스트의 listen queue를 포화시켜 TCP 서비스 연결 거부
      - 분산 서비스 거부 공격(Distributed Denial of Service) tool : netbot, 도깨비, DDoSer, 카스

▶ 방화벽
  - 승인되지 않은 외부 사용자가 내부 네트워크 정보에 불법적으로 접근하는 것을 방지

  - Packet Filtering 방식
      - OSI 모델의 Network Layer (IP Protocol) 와 Translate Layer (TCP Protocol) 수준에서만 작동
      - 특정 IP 및 포트로만 접근 가능하도록 차단
      - 패킷의 출발지 및 목적지 IP 주소 정보와 각 서비스의 Port 번호를 이용해 접속 제어
      - Packet 안에 포함된 Data 까지 확인하지는 않음

  - Application Gateway 방식
      - Application = Service
      - Service 마다 Gateway 가 존재
      - OSI 모델의 Application Layer 에서 작동
      - 내부 ~ 외부 시스템간 방화벽의 Proxy를 통해서만 연결 허용, 직접 연결(IP Connection)은 허용되지 않음
      - 외부에 대한 내부망의 완벽한 경계선 방어, 내부 Host 들의 IP 주소를 숨길 수 있음

  - Circuit Gateway 방식
      - OSI 모델의 L5 ~ L7 사이에 존재
      - Proxy(Gateway)가 하나 뿐이어서 어떤 Service 든지 동일한 공통의 Proxy를 사용
      - SOCKS Protocol
                      : 서버~클라이언트 간 TCP/UDP 통신을 Proxy Server를 거쳐서 진행하도록 도와주는 protocol

  - Stateful Inspection(상태 정밀 검사)
      - Packet Filtering 기술을 기본적으로 사용하여 클라이언트/서버 모델을 유지
      - 모든 계층의 전후상황에 대한 Context (문맥) 데이터를 제공
      - State Table : Context Data 를 저장하는 테이블
      - Packet 변조에 대응할 수 있음 (Packet Filtering 방식의 이전 방화벽의 한계)

  - 방화벽 구축 형태
      - 스크리능 라우터 구조 : Packet Filtering 방식의 Router(스크린 라우터)를 하나 두어 구축
                                        Packet Filtering 방식의 방화벽
      - 베스천 호스트 구조 : 외부~내부 네트워크 사이에 Bastion Host를 거쳐 내부망으로 진입 가능하도록 구축
                                      인증, 접근제어, Logging 가능
                                      Application Gateway 방식의 방화벽
      - 듀얼 홈드 호스트 구조 : 2개의 네트워크 인터페이스(LAN Card)를 가진 Bastion Host
                                          하나는 내부, 하나는 외부에 연결
      - 스크린드 호스트 구조 : Packet Filtering 방식의 Router가 앞단에 있고 Bastion Host가 후단에 연결
      - 스크린드 서브넷 구조 : 외부망에 연결된 Router 와 내부망에 연결된 Router 를 따로 둠
                                        두 Router 사이에 만들어진 작은 Subnet에 Bastion Host 를 둠
                                        내부 네트워크에서 발생하는 모든 트래픽은 Bastion Host 를 거치도록 함
                                        두 Router 사이에 www, FTP, SMTP, VPN 등의 Server 기능을 설치(DMZ)
                                        최근의 가장 기본적인 방화벽 형태

  - 방화벽의 한계
      - 방화벽을 통과하지 않는 트래픽에 대해서는 대응할 수 없음
      - terminal server 를 설정할 경우 취약 (Eg : NateON Terminal)
      - 재생 공격(허용된 패킷의 변조)에 취약

▶ IDS (Intrusion Detection System : 침입 탐지 시스템)
  - 탐지 형태
      - 오용 탐지 : 침입 행위를 패턴형태로 저장하여 해당 시도를 인지하도록 함
                        신규 침입 행위에 대한 패턴 정보의 갱신이 반드시 이루어져야 함
                        False Alarm 가능성 낮음, 공격을 탐지하지 못할 가능성 높음
      - 이상 탐지 : 정상 or 비정상 행위에 대한 범위를 설정
                        해당 범위를 벗어나면 침입으로 규정
                        보안 정책과 연동하여 침입 시도를 차단
                        False Alarm 가능성 높음

  - IDS 기능
      - 경보 기능(Alarm)
      - 세션 차단 기능
      - 셔닝 기능(shunning) : IDS에서 탐지를 하고 Router나 방화벽에게 알려서 차단하도록 하는 기법
      - 사용자 프로그램의 실행

  - Pros
      - 보안 위협에 대해 적극적이고 능동적인 대응 -> IPS 사용
      - 공격 전 단계의 행위를 감지 (IP Spoofing을 위한 Syn Floods 를 감지) -> 공격 원천 무산

  - Cons
      - 침입에 대한 민감도
      - False Alarm 발생 가능성

  - HoneyPot (허니팟)
      - DMZ 내에 구축
      - 공격자들이 운영되는 시스템을 대신하여 공격하도록 유인
      - 취약점을 만들어 쉽게 접근할 수 있도록 유인, 침입자의 활동을 로그 파일로 저장하여 감시
      - 수집된 정보를 바탕으로 향후 공격에 대응