- 네트워크 보안
1) 네트워크의 이해
- OSI 7계층의 이해
: ISO가 다영한 네트워크간의 호환을 위해 만든 표준 네트워크 모델
- 1계층: 물리계층
실제 장치를 연결하기 위한 전기.물리적 세부사항을 정의한 계층으로 랜선 등이 포함
- CAT: 케이블의 종류를 일종의 묶음으로 분류. 굵기와 선의 수로 분류
- 외에도 케이블 선, 커넥터, 렌 케이블 등을 분류하는 기준도 존재
- 2계층: 데이터 링크 계층
두 지점 간의 신뢰성 있는 전송을 보장하기 위한 계층으로, 16진수 12개로 구성된 MAC 주소 사용
- 3계층: 네트워크 계층
여러개의 노드를 거칠 때마다 경로를 찾아주는 역할을 하는 계층
다양한 길이의 데이터를 네트워크를 통해 전달하고, 전송 계층이 요구하는 서비스 품질을 위해 기능.절차적 수단을 제공
- 4계층: 전송 계층
양 끝단의 사용자들이 신뢰성 있는 데이터를 주고받게 함으로써 상위 계층이 데이터 전달의 유효성이나 효울성을 신경쓰지 않게 해줌
- 5계층: 세션 계층
양 끝단의 응용 프로세스가 통신을 관리하는 법 제공
- 6계층: 표현 계층
코드간의 번역을 담당하는 계층, 사용자 시스템에서 데이터 구조를 통일하여 응용 프로그램 계층에서 데이터 형식의 차이로 인해 발생하는 부담을 덜어줌
- 7계층: 응용 프로그램 계층
응용 프로세스와 직접 관계하여 일반적인 응용 서비스 수행
2) 서비스 거부 공격: DoS와 DDoS
(1) DoS: 서비스 거부 공격
- 취약점 공격형: 특정 형태의 오류가 있는 네트워크 패킷의 처리 로직에 문제가 있을 때 공격 대상이 그 문제점을 이용해 오작동 유발
- 보잉크/ 봉크/ 티어드롭 공격
: 프로토콜 오류 제어 로직을 악용해 시스템 자원을 고갈시키는 방식
TCP가 제공하는 오류제어 기능을 반복해 시스템 자원이 고갈됨- 랜드 공격
- 자원 고갈 공격형: 네트워크 대역폭, 시스템의 CPU, 세션 등의 자원을 소모시킴
(2) DDoS: 분산 서비스 거부 공격
- 공격자가 광범위한 네트원크를 이용하여 다수의 공격 지점에서 동시에 한 곳을 공격하는 형태의 서비스 거부 공격
공격자, 마스터, 에이전트로 구성되며 자동화된 툴을 이용하여 증폭된 형태의 서비스 거부 공격을 수행
3) 스니핑 공격
https://m.blog.naver.com/xogh486/221986463132
스니핑: 데이터 속에서 정보를 찾는 것
스니핑 공격을 하는 공격자의 주요 목적은 아이디, 패스워드 획득
(1) 스니핑 공격의 원리
: 일반적으로 작동하는 IP, MAC 주소 필터링을 실행하지 않고 랜 카드로 들어오는 전기적 신호를 모두 읽은 뒤 다른 이의 패킷을 관찰하여 정보를 유출하는 방식
(2) 스니핑 공격의 종류
- 스위피 재밍 공격: 스위치가 MAC 주소 테이블을 기반으로 패킷을 포트에 스위칭할 때 정상적인 스위칭 기능을 마비시키는 공격
- SPAN 포트 태핑 공격: 스위치의 포트 미러링 기능을 이용한 공격
** 포트 미러링: 각 포트에 전송되는 데이터를 미러링하는 포트에도 똑같이 보내는 것, 침입탐지 시스템을 설치하거나 네트워크 모니터링할 때, 로그시스템 설치할 때 사용
(3) 스니핑 공격의 탐지
- 스니핑 공격은 스니퍼 설치 이후 네트워크에 별다른 이상현상을 일으키지 않기 때문에 서용자가 공격 여부를 인지하기 어려움
=> 스니퍼가 프러미스큐어스 모드에서 작동한다는 점을 이용해 잡아냄
** 프러미스큐어스 모드: 패킷의 MAC주소, IP주소와 관계없이 모든 패킷을 스니퍼에 넘겨주는 모드
- ping, ARP, DNS, ARP watch, 유인 등을 통해 스니퍼 탐지 가능
4) 스푸핑 공격
: 시스템 권한 얻기, 암호화된 세션 복호화하기, 네트워크 트래픽 흐름 바꾸기 등
(1) ARP 스푸핑공격
ARP 스푸핑: MAC 주소를 속이는 것
=> 공격자의 MAC 주소를 서버와 클라이언트의 IP주소에 대한 MAC로 속여 클라이언트에서 서버로 가는 패킷이나 서버에서 클라이언트에게 가는 패킷이 공격자에게 향하게 함
(2) IP 스푸핑 공격
: 다른 사용자의 IP를 강탈하여 권한을 획득
신뢰관계를 맺고있는 서버와 클라이언트를 확인한 후 클라이언트에 서비스 거부 공격을해 연결을 끊고, 클라이언트의 IP를 도용해 실제 클라이언트처럼 서버에 접근
** 신뢰: 트러스트/ 클라이언트의 정보를 서버에 미리 기록해두고
그에 합당한 클라이언트가 서버에 접근하면 아이디와 패스워드의 입력 없이 로그인을 허락하는 인증법
(3) ICMP 리다이렉트 공격
: 네트워크 계층에서 스니핑 시스템을 네트워크에 존재하는 또 다른 라우터라고 알림으로써 패킷의 흐름을 바꾸는 공격
** 라우터: 둘 이상의 패킷 전환 네트워크 또는 서브네트워크를 연결하는 장치
(4) DNS 스푸핑 공격
: 실제 DNS 서버보다 빨리 공격 대상에게 DNS response 패킷을 보내어 공격 대상이 잘못된 IP주소로 웹 접속을 하도록 유도하는 공격
공격을 막기 위해선 중요 서버에 대해 DNS query를 보내지 않아야 함
중요 접속 서버의 URL에 대한 IP를 hosts파일에 등록해놓으면 막을 수 있음
5) 세션 하이재킹 공격
: 두 시스템간의 연결이 활성화된 상태를 가로채는 것
- TCP 세션 하이재킹: TCP가 가진 취약점을 이영하여 정상적인 접속을 빼앗는 방법
- 공격자가 원하는 접속만 공격 대상이 생성하면 네트워크 공격으로 세션을 빼앗을 수 있음
** TCP: 애플리케이션 사이에서 안전하게 데이터를 통신하는 규약
- 클라이언트와 서버가 통신을 할 때 패킷의 연속성을 보장하기 위해 시퀀스 넘버를 사용함
=>서버와 클라이언트에 각각 잘못된 시퀀스 넘버를 사용해서 연결된 세션에 잠시 혼란을 준 뒤 자신이 끼어들어가는 방식을 사용
- 막기 위해서는 취약한 프로토콜을 이용하지 않고 세션에 대한 인증 수준이 높은 프로토콜을 이용해 서버에 접속해야함
또는 클라이언트와 서버 사이에 MAC 주소를 고정해 ARP스푸핑을 막아 세션하이재킹을 막을 수 있음
6) 무선 네트워크 공격과 보안
- 무선랜: 유선랜의 네트워크 확장하려는 목적으로 사용
- AP: 무선랜을 사용하기 위해 유선 네트워크에 설치하는 장비
-> 확장된 무선 네트워크는 AP를 설치한 위치에 따라서 통신 영역이 결정됨
=> 보안이 설정되어있지 않으면 공격자가 통신 영역 안에서 내부 사용자와 같은 권한으로 공격실행 가능
(1) AP 보안
- 물리적 보안: 전파가 건물 내에 한정되도록 출력 조절, AP설치 후 기본계정과 패스워드 재설정
- SSID: 무선랜을 식별할 수 있는 장비 (AP 목록 중 이름으로 설정된 것)
AP 접근을 위한 일차적인 패스워드로 사용 가능함
- SSID 브로드캐스팅 금지를 통해 보안 수준 향상 가능
(2) 무선랜 통신의 암호화
- WEP 암호화: 128비트 키까지 암호화 키 제공
- WPA-PSK 암호화: WEP암호화의 취약점 해결한 암호화 방식 제공
- EAP 암호화
- 802.1x 암호화
