정보보안기사 자격증 취득 준비 및 요점 정리(4)

 

●IPsec : 네트워크 계층 보안성 제공 프로토콜 2개, 제공서비스 6가지

 

-AH : 메시지인증코드(MAC) 이용해 메시지 무결성과 송신처 인증 제공 (Authentication Header)

-ESP : 메시지 무결성, 송신처 인증 제공, 암호화 통한 기밀성 제공 (Encapsulating Security Payload)

 

1. 데이터 원천 인증/송신처 인증

2. 기밀성

3. 제한적 트래픽 흐름의 기밀성

4. 비연결형 무결성

5. 접근제어

6. 재전송 공격 방지

 

●SSL/TLS 동작방식

1.단편화

2.압축 및 MAC 추가

3.암호화

 

●SSL 구조

 

-Record : 데이터 암호화, 무결성 위한 MAC 생성

-Handshake : 세션정보와 연결정보 협상 위한 프로토콜

-Change Cipher Spec : 서버-클라이언트 상호협상 암호명세 확인 및 적용 알리기 위한 메시지 교환

-Alert : 암호화 오류ㆍ인증서 오류 메시지 전달

-Application data : 어플리케이션 계층 데이터 전달

 

●라우팅 (방식)

-Distancd Vector 방식 : RIP, IGRP

-Link State : IS-IS, OSPF

-Hybrid : EIGRP

 

●스위치 환경에서의 스니핑 4가지

 

1. Switching Jamming / MAC Flooding

-Switch의 맥주소 table을 모두 채워 허브처럼 동작하게 강제적으로 만들어 패킷 스니핑.

-공격자는 맥주소 table 채우기 위해 변조한 MAC정보 담은 ARP Reply 패킷 계속 전송

 

2. ARP Spoofing / ARP Cache Poisoning

-공격자가 특정 호스트의 MAC주소를 자신의 MAC주소로 위조한 ARP Reply 패킷 만들어 희상자에 지속 전송, 희생자의 ARP cache table에 특정 호스트의 MAC주소가 공격자의 MAC주소로 변조

 

3. ARP Redirect

-공격자가 자신이 라우터인 듯 MAC주소 위조한 ARP Reply패킷을 해당 네트워크에 broadcast, 모든 호스트의 ARP cache table에 라우터의 MAC주소가 공격자의 MAC주소로 변조

 

4. ICMP Redirect

-라우터에서 라우팅경로 재설정 위해 전송하는 메시지. 공격자는 이를 악용, 특정 ip 대역으로 나가는 패킷 경로를 자신의 주소로 위조한 ICMP Redirect 메시지 생성해 희생자에 전송, 희생자의 라우팅 테이블에 공격자로 향하는 경로 생성

●ARP 스푸핑

 

-허브환경 : NIC 카드를 무차별 모드로 설정

-스위치환경 : 공격자가 특정 호스트의 MAC주소를 자신의 MAC주소로 위조한 ARP Reply 만들어 희생자에 지속 전송, 희생자의 arp cache table에 특정 호스트의 MAC정보가 공격자 MAC정보로 변경됨

 

-공격대상 : 같은 대역, arp패킷은 2계층 맥주소 기반. 요청시 broadcast, 응답시 unicast

-대응 : arp 명령어 이용해 arp cache table 정보 정적 구성

 

●도청(sniffing) 대응방안 5가지

 

1. 암호화 통신

-웹 : SSL/TLS

-이메일 : PGP, PEM, S/MIME

-TELNET, FTP : SSH

-VPN 이용한 공중망에서 암호화

 

2. 스니핑 위한 ARP Spoofing 대응 위해 주요 네트워크 장비, 시스템의 arp캐시정보 static

3. switch에서 port security, arp inspection 사용해 방지

4. 스니퍼 도구 사용해 즉각 조치

5. 조직환경에 맞게 vlan 구성, 적절히 브로드캐스트 도메인 줄임, 피해 최소화

 

●CIDR (Classless Inter Domain Routing)개념과 장점

 

-기존 클래스기반 주소에서 클래스 제이하고 ipv4 전체 bit에 대해 네트워크 id와 호스트 id 재설정하는 주소표현 방식

-ip주소와 서브넷 마스크를 이진표기법으로 ‘ip주소/연속된 1의 비트 수’ 표현해 기존 고정크기 네트워크 세부적 분할

 

장점 : ipv4 공간 효율적 할당, 라우팅 테이블 비대화 막아줌

 

●ACK storm 원인과 방안

 

-세션하이재킹에 의한 루핑

원인 : 1. 세션하이재킹은 ‘희생자↔서버’ 패킷을 스니핑해 seq.num 획득, 데이터 전송중인 ‘희생자↔서버’ 사이에서 비동기화 상태로 강제적으로 만듦

2. 스니핑해 획득한 client seq.num으로 RST패킷을 날리고, 공격자의 새로운 seq.num으로 세션 맺어 인증과정 우회, victim 권한으로 서버 접근

3. 비동기화 상태기에 패킷의 유실ㆍ재전송 패킷 증가

4. 와 과정에서 ack storm 현상 발생, 네트워크 부하 증가

 

-방안

1. 비동기화 상태 탐지 2. ACK 패킷 비율 모니터링

3. 특정세션 패킷 유실ㆍ재전송증가 탐지 4. 기대치 않은 접속 리셋

●DoS와 DDoS의 공격 대응책

1. 라우터의 ingree/egress 필터링 기능

2. Rate-Limit 기능 이용

3. uRPF (unicast Reverse Path Forwarding) 기능 이용

4. direct-broadcast와 redirect 막음

5. Anti Dos/DDoS 장비 도입

 

●Syn Cookie 커널 파라미터 설정하기 (0: 미설정, 1: 설정)

1. sysctl -w net.ipv4.tcp_syncookies=1

2. echo 1 > /proc/sys/net/ipv4/tcp_syncookies

 

●TCP Syn Flooding 개념, 동작방식, 대비?

 

-TCP의 3way handshake의 약점 이용, 소스 ip를 존재하지 않는 ip주소로 위조해

다량의 syn packet 발송해 해당시스템의 백로그 큐 가득 채워 서비스 거부

 

동작방식 : 대량의 연결요청 미완료 상태(half-open)이기에 큐가 full 되어 더 이상 요청 못 받는 상태

대비 : 1. TCP 연결타임아웃 짧게 가져가 연결요청 대기시간 줄임

2. 백 로그 큐 늘려줌 (sysctl -w net.ipv4.tcp_max_syn_backlog=1024)

3. Syncookies 기능 활성화 4. anti-ddos 장비, Firewall, IDS/IPS 침입 탐지ㆍ차단 수행

5. 최신 시스템 패치, 업데이트

 

●HTTP GET Flooding

 

동일한 URL 반복 요청해 웹서버가 URL에 해당되는 데이터를 클라이언트에 회신 위해 서버자원 사용, 용량초과 시 정상서비스 X

 

 

 

●DRDoS 원리, 공격방식, ddos와 차이점

 

-원리 : 출발지 ip를 동격대상 ip로 위조해 다수의 반사서버로 요청정보 전송, 공격대상은 반사서버로부터 다량 응답받아 DoS 상태

 

-공격방식 : 1. tcp 연결설정과정 (3way~) 취약점 이용해 위조된 주소의 syn 요청을 반사서버로 전달해 syn+ack 응답이 공격대상 향하도록

2. icmp 프로토콜 : 위조된 출발지 주소의 Echo Request 패킷 반사서버로 전달해 다량의 EchoReply 응답이 공격대상 향하도록

 

-DDoS와 차이점 : 1. 근원지 파악 어려움, 출발지 ip변조ㆍ공격트래픽이 수많은 반사서버 경유해 근원지 역추적 불가능

2. 좀비pc 공격트래픽 효율증가, 반사서버는 syn+ack 패킷 응답 없을 경우 재전송으로 효율 증가

 

 

●ICMP Redirect

 

-ICMP Redirection 메시지를 공격자가 원하는 형태로 만들어 특정 목적지로 가는 패킷을 공격자가 스니핑

 

대응 : ICMP Redirection 메시지 수신 시 이를 무시하고 icmp redirection 메시지를 전송하지 않도록 커널 파라미터 설정

 

●무선 AP보안 (6가지)

 

1. 도난 및 물리적 보호로 보호케이스, ap리셋버튼 차단

2. 무선 AP 관리자모드 접속 PW설정, 주기적 변경

3. SSID를 초기 값 아닌 변경

4. SSID 브로드케스트X, 숨김모드

5. AP에서 제공하는 안전한 인증 및 암호화 방식 적용

6. MAC 필터링

 

●AH 전송모드 : IP헤더 전송 중 변경 가능 필드 제외한 IP패킷 전체인증, 암호화는 지원 X

●AH 터널모드 : NEW IP헤더의 전송 중 변경 가능 필드 제외 NEW IP 패킷 전체인증

●ESP 전송모드 : IP페이로드와 ESP 트레일러 암호화, 암호화된 데이터와 ESP헤더 인증

●ESP 터널모드 : 원본 IP패킷전체ㆍESP트레일러 암호화, 암호화된 데이터와 ESP헤더 인증

 

 

●IPsec 프로토콜 방법

 

1. 데이터 기밀성 : 대칭암호화 통한 기밀성 제공, AH는 지원X, ESP는 지원O

2. 비연결형 무결성 : 메시지 위ㆍ변조되지 않음 보장, 메시지인증코드(MAC)통해 각 IP 패킷별 제공

3. 데이터 원천인증/송신처인증 : 메시지인증코드(MAC)통해 올바른 송신처에서 온 것 인증

4. 재전송 공격방지 : 상호협상에 의해 생성된 각각의 보안연관(SA)별로 일련번호(Seq Num)유지해 재전송 공격 방지

-송신자가 보낸 패킷의 ipsec 일련번호 필드값을 연결된 보안연관(SA)이용해 수신자가 검증해 재전송여부 판단

5. 접근제어 : 보안정책DB와 보안연관DB이용해 송수신 IP패킷 접근제어 수행

6. 제한된 트래픽 흐름 기밀성 : 터널모드/ESP 프로토콜 통해 원본 IP패킷 전체 암호화해 최초출발지ㆍ최종수신지 정보 기밀성 보장

 

●Slow HTTP Header DoS (Slowloris)공격

 

-서버로 전달할 http header 정보 조작, 다수 요청 발생→웹서버가 헤더정보 완전 수신시까지 연결 유지해 자원소진으로 정상연결 방해

-http프로토콜의 경우 헤더부 끝 표시 위해 마지막 헤더필드 다음라인에 empy line(개행문자,\r\n)추가, 의미없는 pragma헤더필드 지속 추가로 계속 연결 유지

 

대응 : -공격자가 동시에 많은 연결상태(세션) 유지하므로 차단 위해 서버 방화벽 이용해 동시 연결 임계치 제한 설정

-웹서버 연결 타임아웃 조절해 연결 종료