tcp/ip 네트워크보안 · 2012-06-13 ·...
TRANSCRIPT
네트워크 보안네트워크 보안네트워크 보안네트워크 보안TCP/IPTCP/IPTCP/IPTCP/IP
1999. 41999. 41999. 41999. 4
네트워크 보안 교육프로그램네트워크 보안 교육프로그램네트워크 보안 교육프로그램네트워크 보안 교육프로그램TCP/IPTCP/IPTCP/IPTCP/IP
구분 시간 시간수 교과내용 강사
일차1(4/20)
09:30~10:00 0.5 교육소개○ 교육담당
10:00~12:00 2
프로토콜 개요TCP/IP○프로토콜- IP
- TCP/UDP/ICMP프로토콜 취약점- TCP/IP
차세대 인터넷 보안 프로토콜-
김기현시스템기술(팀)
13:00~15:00 2
관련 해킹 기법 및 보안 대책TCP/IP○공격 등- IP : Spoofing, Land attack공격- TCP : Mapping, Scanning, DOS
등공격 등- UDP : DOS공격- ICMP : smurfing, Tunneling
이현우기술지원팀( )
15:00~17:00 2
인터넷 네트워크 스캐너 및 보안도구/○네트워크 보안 취약점 스캐너 및 활용-
등- mscan, sscan SAINT네트워크 침입탐지 도구 및 활용-
정현철기술지원팀( )
일차2(4/21)
10:00~12:00 2네트워크 서버 보안 취약점 및 대책○
취약점 및 보안 대책- Sendmail, DNS기타 주요 서버 취약점 및 보안 대책-
정윤종기술지원팀( )
13:00~15:00 2
침입차단시스템 I○침입차단시스템 개요-패킷 필터링-
- VPN
노병규시험평가팀( )
15:00~17:00 2
침입차단시스템 II○침입차단시스템 구현 사례-침입차단시스템의 제한성-침입차단시스템 구현 가이드 라인-
노병규시험평가팀( )
17:00~17:30 0.5 설문조사○ 교육담당
목 차목 차목 차목 차
프로토콜 개요프로토콜 개요프로토콜 개요프로토콜 개요1. TCP/IP1. TCP/IP1. TCP/IP1. TCP/IP
김기현김기현김기현김기현( )( )( )( )
인터넷 네트워크 스캐너 및 보안도구인터넷 네트워크 스캐너 및 보안도구인터넷 네트워크 스캐너 및 보안도구인터넷 네트워크 스캐너 및 보안도구2. /2. /2. /2. /
정현철정현철정현철정현철( )( )( )( )
침입 차단 시스템침입 차단 시스템침입 차단 시스템침입 차단 시스템3.3.3.3.
노병규노병규노병규노병규( )( )( )( )
프로토콜 개요프로토콜 개요프로토콜 개요프로토콜 개요TCP/IPTCP/IPTCP/IPTCP/IP
목 차목 차목 차목 차
개 요개 요개 요개 요
년 초 프로토콜에 대한 명세1980 TCP/IP(Transmission Control Protocol/Internet Protocol)
가 이루어졌으며 이 프로토콜은 오늘날 인터넷의 기본으로써 전세계에서 가장 널리 사용되
고 있다 인터넷은 연구개발자들의 소규모 사회를 연결하는 소규모 네트워크에서 현재 상태.
로 발전했다 년 이래로 인터넷은 년간 이상의 성장을 거듭해 왔으며 인터넷 트. 1998 100%
래픽은 년간 이상의 증가율을 보이고 있다400% .
이처럼 사용자가 급속하게 증가하면서 인터넷은 느린 속도 제한적인 멀티미디어 서비스 등,
과 같은 사용자의 불만에 직면하게 되었으며 인터넷에 컴퓨터를 연결하기 위한 인터넷 주소
의 고갈로 인해 새로운 형태의 인터넷을 요구하고 있다 또한 인터넷은 특정 프로젝트에서.
일반 목적의 도구로 발전되어 왔으나 인터넷의 성장은 보안문제를 발생시켰다 는. TCP/IP
인터넷의 규모가 작을 때 설계되었으며 일반적으로 사용자들은 다른 사용자를 신뢰하였다.
는 불안정한 네트워크에서 구현되고 필요한 많은 특성들이 부족했으며 이로 인하여TCP/IP
많은 보안 문제점을 야기시킨다.
여기에서는 이러한 프로토콜 자체의 문제점 및 각각에 대한 대응방법들을 살펴본다 그리고.
식별자의 부족 접속 허용에 대한 문제점들과 인증의 문제점 등으로 대두되는 의 문, TCP/IP
제점들에 대하여 종합적으로 살표본다 다음으로 주소 공간의 부족 및 보안 문제 등을 해결.
하기 위하여 년 개발된 차세대 인터넷 프로토콜 을1995 IPv6(Internet Protocol Version 6)
살펴본다.
TCP(Transmission Control Protocol)TCP(Transmission Control Protocol)TCP(Transmission Control Protocol)TCP(Transmission Control Protocol)
는 개의 트랜스포트 레벨 프로토콜을 정의하였는데 즉 연결지향의DoD 2 , TCP(Transmission
과 비연결 지향의 이다Control Protocol) UDP(User Datagram Protocol) .
는 망 및 상호 연결된 망상의 논리적으로 구분되는 호스트 내의 프로세스 쌍들 간의TCP
신뢰할 수 있는 통신을 제공하기 위해 설계되었다 따라서 는 통신 시스템 내의 프로세. TCP
스간 통신을 위한 기본 역할을 한다 는 손실 손상 중복 순서가 틀린 데이터 및 망. TCP , , ,
체증이 일어날 수 있는 환경에서 성공적으로 작동한다 신뢰할 수 없는 통신 매체에도 불구.
하고 이러한 견실성은 가 여러 응용의 지원에 잘 맞도록 되어 있다TCP .
는 위에서 수행하며 발신자와 수신자간의 접속지향 서비스를 지향한다 는 보증TCP IP . TCP
된 배달을 제공하고 패킷이 순서대로 전송됨을 보증한다 하위 네트워크 는 상당히 신뢰. IP
성이 없으며 에 어떠한 보증도 제공하지 않는다 발신자와 수신자간의 신뢰성을 제공하TCP .
기 위하여 순서번호 방향 핸드쉐이크(sequence number), ACK(acknowledgment), 3 (3-way
타이머 등 는 다양한 메커니즘을 사용한다handshake), TCP .
는 개의 요소TCP 4 ((destination-ip-address, destination-port), (source-ip-address,
에 의하여 식별된다 포트들은 실제 접속의 종단 이다 의source-port)) . TCP (end-point) . TCP
동작은 간단한 명령들과 제어들의 셋을 이용하여 이루어진다 다른 상태로의 천이는. TCP
세그먼트의 형태에서 수신된 이벤트들에 기초한다 상태는 타이머와 매우 밀접한 관계. TCP
를 갖는다 접속 환경 흐름제어 및 재전송 등과 연관된 다양한 타이머들이 있다. , .
헤더 구조TCP▣
근원지 포트 비트 근원지 서비스 액세스 포인트(16 ) :ㆍ
목적지 포트 비트 목적지 서비스 액세스 포인트(16 ) :ㆍ
순서번호 비트 이 나타나 있을 때를 제외한 첫 번째 데이터(Sequence Number, 32 ) : SYNㆍ
의 순서번호octet
비트 피기백된 개체가 받게 될 다음ACK(Acknowledgement Number, 32 ) : ACK. TCPㆍ
의 순서번호octet
데이터 오프셋 비트 헤더내의 비트의 워드 번호(Data Offset, 4 ) : 32ㆍ
플레그ㆍ
긴급 포인터 필드 의미- URG :
억놀리지먼트 필드 의미- ACK :
푸쉬 기능- PSH :
연결 재설정- RST :
순서번호 동기화- SYN :
송신자로부터 그 이상의 데이터를 받지 않음- FIN :
원도우 비트 단위로 흐름제어 크레디트 할당(Window, 16 ) : octetㆍ
체크섬 내의 모든 비트 워드의 합계 모듈러(checksum) : TPDU 16ㆍ
긴급포인터 비트 긴급 데이터를 따르는(urgent pointer, 16 ) : Octetㆍ
옵션 가변 현재 받아들여지게 될 최대 크기를 규정하는 단 하나의 옵(Option, ) : TPDUㆍ
션이 정의
가 로의 개방하고자 할 경우 가 에 으로 불리는 개방ULP A ULP B , TCP A B SYNㆍ
제어 플래그와 함께 분절을 에 송신 이 최초 세그먼트에는 데이터에 이용(OPEN) TCP B .
할 첫 번째 순서 번호 으로 나타남 를 가진다(SEQ#200 ) ISN(Initial Sequence Number) .
가 로부터 예상되는 다음 순서 번호로 표시된 긍정 확인 또는 확인TCP B TCP A , ACKㆍ
를 보냄으로써 에 응답함 같은 분절내에서 가 그의 데이터 를 위한SYN . TCP B (SEQ#550)
첫 번째 순서 번호와 함께 자신의 을 송신함SYN .
가 로부터 예상되는 다음 순서 번호를 보여 주는 확인 로 의 에TCP A B ACK TCP SYNㆍ
응답함.
가 더 이상 데이터를 전송하지 않을 것임을 에 알리기 위해 가ULP A TCP B TCP Aㆍ
으로 불리는 폐쇄 제어 플래그로 표시된 분절을 송신FIN (CLOSE)
가 의 폐쇄를 보이기 위해 첫 과 그 자체의 의 확인 를TCP B ULP B FIN FIN ACK TCPㆍ
에게 송신A
가 과 를 받고 확인 로 에 응답TCP A FIN ACK ACK TCP B .ㆍ
접속설정 타이머ㆍ
접속설정 타이머는 초기 접속 설정동안 이 전송될 때 시작한다 대부분의 구현들SYN . TCP
에서 이 타이머의 값은 초로 설정되어 있다 만약 타임 아웃 이 발생한다면75 . (TIME-OUT)
접속은 중지된다.
타이머FIN_WAITㆍ
타이머는 상태에서 로 상태 천이가 발생할 때 시FIN_WAIT_2 FIN_WAIT_1 FIN_WAIT_2
작된다 이 타이머의 값은 분이다 비트가 설정된 세그먼트는 상. 10 . FIN TCP FIN_WAIT_2
태를 기대한다 비트를 가진 패킷을 수신한다면 타이머는 해제된다 타이머의 소멸 시. FIN .
초 값을 가지고 다시 시작한다 이 기간 내에 비트를 가진 패킷이 수신되지 않는다면75 . FIN
접속은 중단된다.
타이머TIME_WAITㆍ
타이머는 접속이 상태로 들어올 때 시작한다 이것은 모든 세TIME_WAIT TIME_WAIT .
그먼트들이 네트워크로부터 제거되도록 한다 이 타이머의 값은 일반적으로 분으로 설정되. 2
어 있다 이 타이머의 소멸 시 접속은 해제된다. .
타이머KEEP_ALIVEㆍ
는 일반적으로 연결된 상태에서 어떤 패킷도 전송하지 않는다TCP .
접속이 끊어졌을 경우와 이 경우를 구별하기 위한 방법이 없다.
타이머는 가 주기적으로 다른 종단 시스템이 아직 살아있는지를 점검하KEEP_ALIVE TCP
기 위하여 설정될 수 있다 이 타이머의 값은 시간이다. 2 .
이 타이머의 소멸 후 들이 원격 종단시스템으로 전송된다 원격 종단시스템이 이probe .
에 응답하지 않는다면 이 접속은 중단된다probe .
논리적으로 각 접속은 상태에서 출발하고 다이어그램에서 보여주듯이 상태 천이CLOSED
들을 만든다 연결이 해제된 후 는 상태로 되돌아 온다 보다 세부적인 상태. TCP CLOSED .
천이는 에 나타나 있다 이 상태천이도에서 약간의 결정을 부당하게 이용하여 서비RFC 793 .
스 거부 공격을 할 수 있다 모든 서비스 거부 공격들은 무기한으로 특별한 상태에 또는 한.
정된 시간동안 상태천이를 멎게 하도록 만들어졌다TCP .
타이머의 부재▣
상태도를 보면 확정된 상태와 연관된 타이머가 없다는 것을 알 수 있다 예를 들면 특별한. ,
옵션 타이머를 사용하지 않는 한 접속 시 는 어떠한 데이터도 전송하지 않Keep-alive TCP
는다 이것은 접속을 위하여 사용되는 상태기계가 영원히 그러한 상태에 머물게 만들. TCP
수 있다는 것을 의미한다 대부분의 구현된 것들은 이러한 상태에 대한 타이머들을 구현하.
지 않았다.
동시 연결 설정 문제▣
두 호스트 가 연결 설정을 원하고 동시 이 두 호스트가 핸드쉐이크를 시작할 때 동시A, B
연결 설정의 경우가 발생한다 두 호스트 는 서로 와 를 전송한다 각각. A, B SYNA SYNB .
와 를 수신하면 두 호스트는 각각 와 를 전송한다 두SYNA SYNB SYN+ACKA SYN+ACKB .
호스트 는 와 이 서로 동일한 접속인지를 검출한다 두 호스트 가A, B SYN SYN+ACK . A, B
최근에 전송한 에 대한 응답으로 를 검출한다면 두 호스트는 연결 설정 타SYN SYN+ACK
이머를 끊고 상태로 직접적으로 이동한다 이 결점은 서버가 클라이언트로 접SYN_RCVD .
속을 시작하는 와 같은 프로토콜을 사용하는 호스트의 포트를 멎게 하기 위하여 사용FTP
된다.
FIN+SYN▣
명세는 뚜렷하게 확실한 전이를 규정하지 않았으며 몇몇 비논리적인 상태 전이를 허TCP
락한다 이들 전이들은 다양한 공격들을 위하여 사용될 수 있다 특히 서비스 거부 공격에. .
많이 이용된다 예를 들면 호스트가 과 비트 모두가 설정된 세그먼트를 수신. SYN FIN TCP
하는 시나리오를 만들 수 있다.
IP(Internet Protocol)IP(Internet Protocol)IP(Internet Protocol)IP(Internet Protocol)
일반적으로 로 알려진 인터넷 프로토콜은 인터넷 네트워크 계층이다 는 비접속 서비스IP . IP
를 제공한다 는 패킷의 수신처로 패킷을 전송하고 라우팅한다 는 일반적으로 패킷 전. IP . IP
송을 보증하지 않다 데이터그램은 수신지에 도착하기 전에 일련의 라우터를 통하여 전송된.
다 데이터그램이 통과하는 각 노드에서 노드는 데이터그램에 대한 다음 홉을 결정하고 다. ,
음 홉으로 이를 라우팅한다 네트워크가 동적이므로 같은 소스에서 두 개의 데이터그램이. ,
목적지로 서로 다른 경로를 설정할 수 있다 네트워크가 가변적인 지연을 가지고 있으므로. ,
데이터 그램이 순서대로 수신된다는 보증은 없다 는 단지 가장 효율적인 전송만을 시도. IP
한다 두 데이터그램간에 유지되는 상태는 없다 바꾸어 말하면 비접속이다. . IP .
헤더 구조IP▣
현재 는 버전 이다 이것과 새로운 인터넷 프로토콜인 을 구별하기 위하여 현재의IP 4.0 . IPv6
를 로 부른다 소스 주소와 목적지 주소는 바이트 인터넷 주소이다 옵션 필드는 소IP IPv4 . 4 .
스에 기초한 경로설정 레코딩 경로(loose source routing, restrict source routing), (recoding
스트림 타임스템프 등과 같은 다양한 옵션을 포함한다route), ID, .
주소 기반 인증의 문제IP▣
필드 중에 어느 것도 암호화되지 않으며 인증되지 않는다IP .
독단적으로 목적지 주소나 소스 주소를 설정하는 것은 매우 쉬우며 는 데이터그램을 전송IP
할 수 있다 목적지는 데이터그램이 실제로 소스 주소 필드가 다른 주소에서 만들어졌는. IP
지 여부를 확인할 수 없다 주소에 기반한 인증 스킴이 실패하는지를 보는 것은 쉽다. IP .
ICMP(Internet Control Message Protocol)ICMP(Internet Control Message Protocol)ICMP(Internet Control Message Protocol)ICMP(Internet Control Message Protocol)
는 에 따른 망 또는 종속망 경계에 걸쳐 연결할 가능성이 있는 모든 패킷 교환망에ICMP IP
서 망의 단절 등과 같은 이상이 발생할 때 제어메시지 및 에러메시지를 교환하는 절차로,
사용된다.
헤더 구조ICMP▣
형 메시지의 형태(Type;8bit) : ICMPㆍ
코드 하나 또는 아주 적은 비트들을 코드화할 수 있는 메시지의 인자들을(Code;8bit) :ㆍ
규정
인자 추가 인자들을 규정하는데 이용(Parameter;32bit) :ㆍ
정보 가변 메시지에 연관된 추가적인 정보를 제공(Information; ) :ㆍ
Type▣
반향 답장 (Echo Reply)ㆍ
목적지 도착 불능 (Destination Unreachable)ㆍ
발신 억제 (Source Quench)ㆍ
수신전환 (Redirects)ㆍ
반향 (Echo)ㆍ
시간 초과 (Time Exceeded)ㆍ
매개변수 문제 (Parameter Problem)ㆍ
시각소인 (Timestamp)ㆍ
시각소인 답장 (Timestamp Reply)ㆍ
정보 요청 (Information Request)ㆍ
정보 답장 (Information Reply)ㆍ
보안 취약점보안 취약점보안 취약점보안 취약점TCP/IPTCP/IPTCP/IPTCP/IP
공격 은 대부분의 호스트들에서 이 방향 헨드세이크의 구현상의 허점SYN (SYN Flooding) 3
을 이용한다 호스트 가 로부터 요구를 받았을 때 그것은 부분적으로 열린 접속으로. B A SYN
에 최소한 초 동안 보존되게 된다 이는 오랜 네트워크 지연에도 불구하고“listen queue" 75 .
성공적인 접속을 이룰 수 있게 한다 이렇게 하므로써 발생하는 문제는 많은 구현된 시스템.
에서는 오직 제한된 수의 접속 트랙만을 유지한다는 것이다 대부분 디폴트로 개의 접속을.( 5
보존하고 의 같은 것은 이상을 유지한다SGI IRIX 1024 .)
하나의 악의있는 호스트가 다수의 요청을 하나의 호스트에 보내고 그 호스트가 보낸SYN
에 응답하지 않음으로써 작은 사이즈의 큐를 공격할 수 있다 이렇게 하므STN&ACK listen .
로써 다른 호스트의 큐는 빨리 채워지고 큐에서 부분적으로 열린 접속이 성공적으로listen
완료되거나 될 때까지 새로운 접속을 받아들이지 못하게 된다 이러한 능력은 하나time-out .
의 호스트를 최소한 초 동안 네트워크로부터 효과적으로 제거하므로써 단독으로 서비스75
거부공격에 사용되어질 수 있거나 스푸핑과 같은 다른 공격을 구현하기 위한 도구로 사IP
용되어질 수 있다.
접속에 사용되는 순서번호는 비트이므로 정확한 을 추측하는 것은 대단히 어렵TCP 32 ISN
다 그렇지만 접속을 위한 은 예측할 수 있는 방법으로 할당되어지므로 상대적으로 추측. ISN
하기 쉽다 구현상 허점은 가 에서의 을 공격하는 방법으. TCP/IP Robert Morris BSD 4.2 ISN
로 설명한 년부터 인식되어졌다 에서 접속을 위한 은 전역 카운터로부터1985 . BSD 4.2 ISN
할당되어진다 이 카운터는 매초 씩 증가하고 매 새로운 접속 후 즉 이 할당될 때마. 128 , ISN
다 씩 증가하게 된다 목표 시스템에 실제로 접속을 확립하므로써 그 시스템 카운터의 현64 .
재 상태를 결정할 수 있다 공격자는 미리 예측된 에 를 더함으로써 목표 시스템에 의. ISN 64
해 할당될 다음 을 알 수 있다 공격자는 매번 다르지만 과 유사한 가장된 프레ISN . ISN IP
임들의 수를 보냄으로써 정확한 을 추측할 기회가 높아지게 된다SIN .
순서번호는 시스템이 부팅될 때 로 초기화되고 이후의 증가율은 구현에 따TCP 1 TCP/IP
라 생성되는 방법이 약간씩 다르다 의 경우 초당 이 증가하고 의 경우. 4.2BSD 128 , 4.3BSD
초당 이 증가하며 의 경우 초당 이 증가한다125,000 , 4.4BSD 128,000
공격과정 1
공격자 는 공격의 목표가 되는 가 신뢰하는 호스트 로 위장하기 위하여 우선 에게 다A B C C
수의 패킷을 생성하여 전송한다 호스트 가 의 한계에 다다르게 되면 는SYN . C backlog TCP
외부의 요청을 무시하게 되어 접속이 불가능한 상태에 이른다SYN .
공격과정 2
공격자 는 공격 대상 호스트 에 패킷을 보냄으로써 순서번호 를A B SYN (sequence number)
알아낸다.
공격과정 3
공격과정 를 통하여 추측한 순서번호를 이용하여 자신의 를 로 위장한 후 에게 접속2 IP C B
요청 을 보낸다(SYN) .
공격과정 4
호스트 는 공격과정 에서 통신 불능상태에 빠져서 아무런 응답을 할 수 없다C ( 1) .
공격과정 5
공격자 는 자신의 주소를 로 위장하여 추측된 순서번호를 이용하여 가 에게 보낸A IP C B C
에 대한 응답으로 를 에게 보낸다SYN/ACK ACK B .
공격과정 6
접속을 위한 방향 핸드쉐이킹이 완료됨으로써 와 사이에는 불법적인 접속이 이루TCP 3 A B
어져 호스트에 대해 불법적인 문서 유출 시스템 파괴 등의 행위가 가능해 진다B , .
desynchronized stateㆍ
수신된 패킷의 순서번호 가 기대되는 순서번호와 똑같지 않을 때 접속은(sequence number) ,
되었다고 말한다 수신된 순서번호의 실제 값에 의존하여 계층은 이“desynchronized" . , TCP
패킷을 버리거나 버퍼에 저장할 수 있다.
패킷은 완전하게 무시되지 않고 오히려 실제로 를 생성할 수 있다는 것에 주“ignored" ACK
의하라 다른 단말에서 부정확한 순선번호를 가진 패킷을 수신하였을 때 기대되는 순서번호. ,
를 가진 패킷을 전송한다 그러나 이 의 수신자는 이 패킷들이 잘못된 순서번호ACK . ACK
를 가지고 있기 때문에 이를 버린다 그러면 수신자는 송신자에게 통지하기 위하여 자신의.
를 전송한다 그러므로 많은 들이 이 공격에서 생성된다 이 공격에서 전송신호ACK . ACK .
는 접속 하이잭킹을 감지하기 위하여 사용될 수 있다(signature) .
공격ㆍ
방향 핸드쉐이크 동안의 하이잭킹- 3
접속이 설정된 이후의 하이잭킹-
공격ICMP▣
는 단방향 정보 메시지ICMP(Internet Control Message Protocol) (one-way informational
를 호스트 전송하기 위하여 계층에 의하여 사용된다 의 가장 일반적인message) IP . ICMP
사용중의 하나는 유틸리티이다 이 유틸리티는 갋 를 호스트로 전“ping" . ICMP cho Request
송한다 에서 다른 메시지들은 유사한 복잡성이 있다 즉 이것들은 모두 꽤 단순한다. ICMP . .
에서 인증을 하지 않는다는 것이 놀라운 것은 아니다 서비스 거부ICMP . (denial of service)
가 되거나 공격자가 패킷을 가로챌 수 있도록 를 사용하여 공격할 수 있다ICMP .
서비스 거부 공격은 주로 나 메시지를 사용ICMP Time exceeded Destination unreachable
한다 메시지는 헤더의 필드가 만료되었다는 것을 나타낸. Time exceeded IP Time-To-Live
다 이것은 일반적으로 라우팅 루프나 극단적인 거리에 있는 호스트에 도달할려고 하므로써.
야기된다 메시지는 여러 의미를 가지나 기본적으로 패킷이 요구되. Destination unreachable
는 호스트로 성공적으로 전송될 수 없다는 것을 나타낸다 이 두 메시지들 중 하나로. ICMP
쉽게 위조하므로써 이 메시지들을 사용할 수 있으며 이것을 통신중인 호스트들로 전송할 수
있다 이들 접속을 중단될 것이다. .
메시지들은 패킷을 가로채기위하여 사용될 수 있다 메시지는 일반적ICMP . ICMP Redirect
으로 호스트가 잘못 판단하여 목적지가 로컬 네트워크에 없다고 가정하였을 때 그러므로 케(
이트웨이를 통하여 패킷 전송을 시도한다 게이트웨이에 의하여 사용된다 공격자가) . ICMP
메시지를 위조한다면 접속이 공격자의 호스트를 통하여 다른 호스트로 패킷을 전Redirect
송하게 할 수 있다 이 공격은 공격과 유사하다 하지만 메시지가 실제 접속에서. RIP . ICMP
만 적용된다는 것과 공격자가 로컬네트워크에 있어야만 한다는 것이 다르다.
문제에 대한 해결책문제에 대한 해결책문제에 대한 해결책문제에 대한 해결책
유일한 식별자의 부족▣
오늘날 주소는 호스트를 식별하거나 알아내기가 매우 어렵게 만드는 이상한 특성이 나타IP
난다 및 와 같은 프로토콜의 폭 넓은 사용은 특정 호스트 주소가 어떤 시. PPP/SILP DHCP
간에 걸쳐 변하는 것을 인증한다 또한 프락시 소켓 서버 및 다른. Firewall, Network
들이 식별자로써 주소의 사용하는 것을 복잡하게 한다 이는 이들이Address Translator IP .
내부와 외부 네트워크간 트래픽 이동으로써 주소를 번역하기 때문이다 서로 다른 호스트들.
이 동일한 주소를 사용하거나 다른 주소가 같은 호스트에서 사용될 수 있다 그러므IP IP .
로 주소는 더 이상 유일하게 호스트를 식별하기 위하여 사용되는 것이 아니다 그러므로IP .
주소에 기초한 정보보호 스킴은 취약성을 가진다IP .
접속허용의 문제▣
공격은 특정 호스트를 사용하지 못하게 하는 서비스 거부 공격으로 사용되어졌다 가SYN .
끔 이 공격은 좀더 복잡한 스푸핑 공격을 하기 위한 전단계로 사용되어 지기도 한다 이것.
은 설계시 내재된 취약성이다 그렇지만 어쨌든 이러한 취약점을 감소시키기 위하TCP/IP .
여 불완전한 접속 허용 횟수의 증가 초인 타임아웃 시간을 줄이는 등 몇 가지 선택의 여, 75
지는 있다 사실 이러한 해결책들은 취약점을 줄여 주기는 하지만 문제점은 여전히 남아 있. ,
다.
인증의 문제▣
패킷들이 가지고 있는 인증의 결여는 일반적인 의 취약점이다 인증없이는 한 패IP TCP/IP .
킷이 자신이 어디에서 왔다고 주장하는 출처를 실질적으로 보장할 수 없다 이는 스푸핑. IP
의 기초이고 그 결과 보안의 자장 주요한 이슈가 되고 있다 이 취약점을 이용하는 다양, IP .
한 방법들이 있다 인증의 결여로부터 발생하는 문제점들에 대해 대략적으로 알아보았지만.
여기에 대한 수많은 방안들에 대한 토론은 결코 실질적으로 완전할 수는 없다.
전통적인 는 인증을 사용하고 있지 않기 때문에 가장 이상적인 방법인 수준에서 위IPv4 IP
협을 차단할 수 없어 완전히 근절할 수는 없다 그렇지만 이러한 공격들을 약화시키는 몇.
가지 기술들은 다음과 같다.
순서번호 추측 방지ㆍ
난수 생성기를 활용-
증가 카운터 암호화 등-
침입차단시스템ㆍ
TCP_Wrapperㆍ
추가 인증ㆍ
인터넷 보안 기술인터넷 보안 기술인터넷 보안 기술인터넷 보안 기술
차세대 인터넷 프로토콜차세대 인터넷 프로토콜차세대 인터넷 프로토콜차세대 인터넷 프로토콜
사용자가 급속하게 증가하면서 인터넷은 느린속도 제한적인 멀티미디어 서비스 보안 문제, ,
와 같은 사용자의 불만에 직면하게 되었고 인터넷에 컴퓨터를 연결하기 위한 인터넷 주소의
고갈로 인해 새로운 형태의 인터넷이 필요하게 되었다 이러한 요구 때문에 주소 공간 및.
보안 문제 등을 추가한 차세대 규약인 가 만들어졌다IP IPv6(IP version 6) .
또한 화상회의 등 멀티미디어 서비스를 제공하기 위하여 인터넷을 통하여 실시간으로 스트
림 데이터를 전송하는 방법으로 실시간 전송 프로토콜 RTP(Real-Time Transfer Protocol)
이 제안되었으며 라우터에서 네트워크 자원을 미리 예약하여 일정한 지연을 갖는 데이터 흐
름이 네트워크상에서 보장하므로써 인터넷에서 실시간으로 멀티미디어 데이터를 전송하는
자원 예약 프로토콜 가 개발되었다 이밖에RSVP(ReSource reserVation Protocol) . Netscape
사를 비롯하여 등 약 여개의 컴IBM, Cisco, Sun Microsystems, Progressive Networks 40
퓨터 관련 업체가 공동으로 스트리밍 미디어의 전송 및 제어에 관한 인터넷 표준으로
을 개발하고 있다 고속망 구축 계획으로는 미국의RTSP(Real-Time Streaming Protocol) .
캐나다의 유럽의 아시아 태평양 지역의 등이 있다vBNS, CAnet*II, JAMES, APAN
특히 미국에서는 향후의 인터넷 분야를 선점하기 위해 현재의 인터넷보다[JIN97].
배 빠른 계획을 추진하고 있다100-1,000 NGI .
라우팅과 주소지정 기능의 확장ㆍ
는 의 비트의 주소영역을 비트로 증가시켰으며 그 결과 보다 구조적으로 주IPv6 IPv4 32 128
소를 지정할 수 있게 되었다.
헤더형식의 단순화ㆍ
에는 기존 의 헤더중 일부 영역이 삭제되고 일부는 옵션화시켜서 기본 헤더를 크IPv6 IPv4
게 단순화시켰다 그결과 패킷을 처리할 때 공통적으로 처리되는 비용을 절감시켰고. IP
보다 주소길이가 배가 증가됐음에도 헤더 전체의 증가는 배로 줄일 수가 있었다IPv4 4 2 .
옵션기능의 개선ㆍ
헤더의 옵션부분의 인코딩 방법을 개선하여 보다 효율적으로 패킷을 전달할 수 있으며IP IP
옵션 영역의 길이제한이 개선되었고 미래의 새로운 옵션을 융통성있게 추가할 수 있게 하였
다.
제어기능QoS(Quality-of-Service)ㆍ
에는 없던 기능으로 특정 트래픽을 란 영역의 값으로 구별하여 패킷을 송신하는IPv4 “flow"
측의 특별한 요구를 표시할 수 있도록 하였다 이를 이용하여 실시간 서비스 멀티미디QoS . ,
어 서비스등을 인터넷상에 보다 용이하게 수용할 수 있을 것이다.
인증 및 보안 기능(authentication)ㆍ
는 인증 데이터보호 보안등을 지원할 수 있도록 확장되었다IPv6 , , .
헤더 구조IPv6▣
비트 버전 번호Version(4 ) : (6)ㆍ
비트 우선순위Prio.(4 ) :ㆍ
비트 플로우 라벨 값Flow label(24 ) : (flow label)ㆍ
비트 패이로드의 길이 패킷에서 헤더부분을 제외한 나머지의Payload Length(16 ) : , IPv6ㆍ
옥텟 단위의 길이
비트 확장헤더 선택자 헤더의 바로 뒤에 붙는 확장헤더의 유형Next Header(8 ) : , IPv6ㆍ
비트 패킷 수명값 전달되는 패킷이 한 노드를 지날 때마다 씩 감소하고Hop limit(8 ) : , 1ㆍ
이면 폐기0
비트 발신자 주소Source Address(128 ):ㆍ
비트 착신자 주소Destination Address (128 ) :ㆍ
확장 헤더▣
패킷이 전송되는 모든 경로Hop-by-Hop Option Header :ㆍ
노드들에서 처리되는 옵션
패킷이 전송되는 경로의 노드들을 표시Routing Header :ㆍ
길이가 긴 패킷을 조각으로 나누어 전송Fragment Header :ㆍ
패킷의 인증과 보전 제공Authentication Header :ㆍ
패킷의 보안 유지Encapsulating Security Header :ㆍ
패킷의 최종 목적지에서 처리되는 옵션End-to-End Option Header :ㆍ
Unicast▣
단일 인터페이스를 지정하며 주소로 보내진 패킷은 그 어드레스에 해당하는 인터페Unicast
이스에 전달된다 에서 주소를 할당하는 여러 가지 형태가 있다 그 종류로는. IPv6 Unicast .
주소 주소 주소global provider based Unicast , geographic based Unicast , link-local-use ,
주소 등이 있고 앞으로도 여러 형태가 추가될 것이다IPv4-capable host , .
Anycast▣
주로 여러 노드들에 속한 인터페이스의 집합을 지정하며 주소로 보내진 패킷은 그Anycast
어드레스에 해당하는 인터페이스들 중 하나의 인터페이스에 전달된다 전달되는 인터페이스.
는 라우팅 프로토콜의 거리 측정에 의해 같은 주소를 갖는 인터페이스중에서 가장Anycast
거리가 짧은 인터페이스에 전달된다.
Multicast▣
여러 노드들에 속한 인터페이스의 집합을 지정하며 주소로 보내진 패킷은 그 주Multicast
소에 해당하는 모든 인터페이스들에 전달된다 주소는 주소의 상위 이. Multicast octet
값을 가짐으로써 주소와 구별된다FF(11111111) unicast .
IPSECIPSECIPSECIPSEC
와 에서 보안서비스를 제공하기 위하여 와IPv4 IPv6 AH(Authentication Header)
를 제공한다 메카니즘인 와 는 정보보ESP(Encapsulating Security Payload) . IPSEC AH ESP
호 서비스로 인증 무결성 그리고 비밀성 서비스를 제공한다 이러한 보호 메카니즘의 구현, , .
은 에서는 필수로 에서는 옵션으로 되었다IPv6 IPv4 .
보호 구조는 에서 절대 필요한 부분으로 정의되었다 그러므로 를 구현하여 제IP IPv6 . IPv6
품을 제공하는 벤드들은 와 기능을 제공하여야만 한다 하지만 와 가 지원AH ESP . AH ESP
된다고 해서 사용자들이 이 서비스를 사용해야만 한다는 것은 아니며 이 서비스가 필요하다
면 이용할 수 있어야 한다는 것을 의미한다.
의 에서 나타낸 형식 모델Karila “Open Systems Security - an Architectural Framework"
의 개념을 사용하면 보호 변수 메카니즘 제(formal model) (security variable), (mechanism),
어 그리고 관리 로 구성할 수 있다(control), (management) .
보호연관▣
와 는 전송자와 수신자간에 키 인증 알고리즘 암호 알고리즘 그리고 이러한 알고AH ESP , , ,
리즘에 필요한 부가적인 파라메트 집합들에 대한 합의가 필요하다 여기서 키 인증 알고리. ,
즘 등 이들 각각을 보호 속성이라 하며 이러한 보호 속성들의 집합을 보호 연관이라 한다.
와 함께 사용될 인증 알고리즘과 모드IP AHㆍ
인증 알고리즘에 사용될 키ㆍ
와 함께 사용될 암호 알고리즘과 모드IP ESPㆍ
암호 알고리즘에 사용될 키 등ㆍ
보호연관▣
에서는 보호 메커니즘과 함께 사용될 키 관리 프로토콜은 명시되지 않았다 키 관리IPSEC .
메커니즘은 다른 정보보호 메커니즘과 분리되도록 설계되었으므로 사용되는 보호 메커니즘
에 관계없이 다양한 키 관리 메커니즘을 적용하는 것이 가능하다 하지만 에서는 다. IPSEC
음과 같은 키 관리에 요구를 명시하고 있다.
는 패킷의 데이터 무결성 및 인증을 제공하며 인증 데이터 생성과정은 다음과 같IP AH IP
다.
데이터그램 에 대하여 보호정책에 따라 적절한 보호연관을 선택한다D .ㆍ
데이터그램 에서 전송 독립 버전 를 구한다 전송중 변경되는 모든 필드는 으로 설D D‘ . 0ㆍ
정한다 홉카운트는 으로 설정하고 비트가 설정된 모든 옵션은 으로 설정한다. IPv6 0 C 0 .
변환 명세에 따라 데이터그램에 대하여 인증 데이터를 계산한다.ㆍ
메시지 에 인증데이타를 붙인다D .ㆍ
는 패킷의 비밀성과 무결성을 제공한다 사용자의 요구에 따라 트랜스포트 계층 세ESP IP .
그먼트를 암호화하거나 전체 패킷에 대하여 암호화할 수 이다 등과IP . TCP, UDP, ICMP
같은 트랜스포트 계층 세그먼트를 암호화할 경우 이를 트랜스포트 모드 라하며 전체ESP IP
패킷에 대하여 암호화할 경우 이를 터널 모드 라 한다- ESP .
트랜스포트 모드 생성 과정ESPㆍ
데이터그램 에 대한 보호정책에 따라 보호연관을 선택- D
원래의 트랜스포트 계층 프래임을 로 캡슐화- ESP
적당한 암호 변환을 에 적용- ESP
최종 패이로드로써 암호화된 를 평문의 데이터그램에 캡슐화- ESP IP
터널 모드 생성 과정ESPㆍ
데이터그램 에 대한 보호정책에 따라 보호연관을 선택- D
원래의 데이터그램 를 로 캡슐화- D ESP
적당한 암호 변환을 에 적용- ESP
최종 패이로드로써 암호화된 를 평문의 데이터그램 에 캡슐화- ESP IP D'
전송하거나 수신한 와 메카니즘의 제어는 보호정책과 보호연관에 기초한다 여기서AH ESP .
보호정책은 데이터그램의 올바른 보호연관을 결정하고 보호연관은 데이터 그램에 적용할 변
형과 방법을 결정한다[AAL96].
인증 무결성 및 기밀성은 서로 다른 서비스이다 인증 헤더는 올바른 근원지로부터 메시지, .
가 수신되었는지와 메시지가 변경되지 않았다는 것을 보증한다 반면 는 제 자에게 메. ESP 3
시지가 누설되지 않았다는 것을 보증한다.
때로는 사용하는 알고리즘에 따라 변환이 인증 무결성 및 비밀보장을 제공할 수 있다ESP , .
만약 이러한 변환을 이용할 수 없을 경우 에서는 와 보호 메커니즘의 결합IP SEC AH ESP
된 사용을 허용한다 변환이 사용되고 암호화된 메시지에 대한 무결성을 보장하는 알. ESP
고리즘이 제공되지 않는다면 가 항상 사용된다 인증 무결성 및 기밀성은 와AH . , AH ESP
모두를 사용하여 제공받을 수 있다.
트랜스포트 모드 와 전체 데이터그램을 인증하면ESP AHㆍ
트랜스포트 계층 데이터에 대하여 먼저 를 적용하고 를 데이터그램으로 캡슐화 한ESP ESP
다 그리고 는 전체 데이터그램에 대하여 인증값을 계산한다 여기서 는 앞. AH IP . AH ESP
에 위치한다.
터널 모드 와 전체 데이터그램을 인증하는ESP AHㆍ
원래의 데이터그램에 대하여 먼저 를 적용하고 다른 평문 헤더들을 헤더에 붙ESP IP ESP
인다 그리고 는 결과로 생성된 데이터그램에 대하여 인증값을 계산한다. AH IP .
터널 모드 와 데이터그램의 부분만을 인증하는ESP ESP AHㆍ
암호화되기 위한 데이터그램에 대하여 먼저 인증데이타를 계산한다 는 데이터그램에 정. AH
상적으로 위치한다 그리고 전체 데이터그램에 대하여 를 적용한다. ESP .
보안 게이트웨이 기능ㆍ
와 는 두 호스트간 호스트와 보안 게이트웨이간 그리고 두 보안 게이트웨이간 정보AH ESP , ,
보호를 제공한다.
상위계층에 대한 보호서비스ㆍ
안전한 응용을 제공하기 위하여 계층에서 구현된 보호서비스를 이용할 수 있다 안전한IP .
응용들은 인증되고 손상되지 않으며 암호화된 데이터그램의 송 수신을 요구할 수 있다IP .ㆍ
라우팅 프로토콜에 대한 보호서비스ㆍ
의 사용은 라우팅 프로토콜에서의 인증 및 암호기능에 대한 좋은 대안이 된다IPSEC .
암호알고리즘 사용에 대한 비용 및 이점 분석ㆍ
와 의 사용은 프로토콜 처리 비용 및 통신에 대한 잠재비용을 증가시킨다 의AH ESP IP . AH
경우 잠재비용은 인증 데이터의 계산 및 비교에 의하여 발생하며 는 의 암호화와ESP ESP
복호화에 의하여 발생한다.
보호 메카니즘의 제한IPㆍ
와 는 트래픽 분석 에 대한 보호기능을 제공하지 못한다AH ESP (traffic analysis) .
스택에서 의 위치TCP/IP IPSECㆍ
논리적 계층의 한 부분으로써 을 구현하는데 있어 다음과 같은 세가지 방법이 있IP IPSEC
다
은 계층 바로 위- IPSEC IP
은 계층 내부- IPSEC IP
은 계층 하위- IPSEC IP
키관리 메카니즘의 독립ㆍ
명세의 설계 목표중 하나는 키관리와 보호 메카니즘을 서로 분리하는 것이다 정의IPSEC .
가 명확한 보호연관 인터페이스는 키관리 프로토콜이 명시될 때 새로운 키관리 프로토콜을
갖는 키관리 부분과 대체 가능하도록 설계하여야 한다
암호 알고리즘의 독립ㆍ
명세의 설계 목표중 하나는 보호메카니즘 와 를 암호알고리즘 및 변환과IPSEC IP AH ESP
분리하는 것이다 정의가 명확한 프로토콜알고리즘 인터페이스는 새로운 암호 알고리즘이.
명시된 후 에 새로운 변환과 알고리즘이 쉽게 첨가될 수 있도록 설계되어야 한다IPSEC .
호스트에서의 키 보호ㆍ
키 관리에 대한 요구사항중 하나는 호스트 시스템에서 키 보호에 대한 특별한 주IPSEC IP
의를 요한다는 것이다 안전한 방법은 호스트 운영 시스템 외부의 분리된 하드웨어에 키를.
두는 것이다 레벨 보호연관에서 키 파라메터들은 간접적으로 키를 표현한다 실제 키들. OS .
은 하드웨어에 두고 특정 키를 참조하기 위하여 키 인덱스를 사용한다.
결 론결 론결 론결 론
여기에서는 인터넷에서 사용되고 있는 가장 대표적인 프로토콜인 뿐만 아니라TCP/IP
등의 프로토콜 특성 및 이들 프로토콜이 가지는 보안 취약성을 살펴보았ICMP, RIP, EGP
다 또한 이러한 보안 취약성을 악용한 공격수법 및 이에 대한 대응책을 기술하였다 그리고. .
프로토콜 자체의 취약성으로 인해 공격에 대한 대응책에도 한계가 있으므로 궁극적인 대응,
책이라고 할 수 있는 차세대 인터넷 프로토콜인 가 가지는 보안기능 및 이를 지원하기IPv6
위한 키관리 프로토콜들을 살펴보았다.
프로토콜의 취약성을 이용한 공격 스푸핑 하이잭킹 등의 적극적인 공격은TCP SYN , IP ,
지역 네트워크에서 사용되어질 경우 쉽게 탐지가 되는 반면 공격이 장거리 낮은 대역폭, , ,
높은 지연 네트워크 일반적으로 상에서 수행되어질 경우 대단히 효과적이며 탐지도( WAN)
어렵다 이러한 적극적인 공격은 인터넷 상에서 너무도 자주 발생하는 수동적 공격[AAL96].
인 스니핑에 사용되는 것과 같은 도구로 간단히 이루어질 수 있다 이러한 공격은 가시적으.
로 나타나지 않으므로 더 위험하다.
접속 허용의 가장 큰 문제점으로 대두되고 있는 공격을 감소시키기 위한여러 제안들SYN
은 그 취약점을 줄여 주기는 하지만 문제점은 여전히 남아 패킷들을 차단하지만 내부에서의
공격은 차단하지 못한다 시스템 자체의 접근제어를 위하여 사용되는 도 높은. TCP Wrapper
보안도구는 되지만 전반적인 스푸핑을 막는데는 유용하지 않다 공격자의 스푸핑 능력을IP .
제한하기 위하여 응용 계층에 인증을 추가하는 기술들이 개발되었지만 그 응용에 따라 여전
히 하이잭킹과 같은 공격의 위험성이 존재한다 강력한 인증기능을 제공하는 커버로스는 네.
트워크 보안을 상당히 증대시키는 것은 사실이지만 모든 공격으로부터 안전한 것은 아니면
키분배와 관리가 많은 부하로 작용한다 또한 주소의 부족으로 는 더 이상 유일하게. IP IP
호스트를 식별하기 위하여 사용될 수 없다 그러므로 침입차단시스템 필터링 라우터. , , TCP
등에서 사용되고 있는 주소 기반의 정보보호 스킴은 취약성을 가진다Wrapper IP .
주소 공간의 부족과 근원적인 보안 문제를 해결하기 위하여 등장한 것이 차세TCP/IPDML
대 프로토콜 이다 의 에서는 인증 무결성 그리고 비밀성 서비스를 제공IP IPv6 . IPv6 IPSEC , ,
한다 하지만 가 모든 정보보호기능을 제공하는 것은 아니다 에서 권고하고 있는. IPv6 . IPSEC
디폴트 알고리즘을 사용하였을 경우 트래픽 분석이나 재시도 공격을 막지 못하며 부인봉쇄
와 같은 정보보호 서비스를 제공하지 못한다 또한 에서는 보호 메카니즘과 함께 사. IPSEC
용될 키 관리 프로토콜은 명시되지 않아 여전히 키 분배와 관리의 문제가 남는다 하지만.
키관리 메카니즘 암호알고리즘 등은 독립적으로 구현하도록 되어 있으므로 큰 문제가 되지,
않는다 또한 의 와 보호 메카니즘의 결합된 사용은 다양한 보호 서비스를. IPSEC AH ESP
제공하며 적절한 암호 알고리즘의 선택에 따라 에서 기본적으로 제공하는 정보보호서IPSEC
비스 외에 다른 서비스를 제공할 수 있다 일반적으로 에서 제공하지 않는 정보보호. IPSEC
서비스는 계층에서 제공하기에 비효율적이기 때문에 제외된 것들이다 그러므로IP . IPSEC
과 더불어 적절한 보호수단이 강구되어야 한다.
하지만 을 구현함에 있어 몇가지 주의해야 할 것들이 있다 과 독립적으로 구IPSEC . IPSEC
현하도록 되어있는 키관리 프로토콜이나 암호알고리즘들은 기존의 것들과 쉽게 대체할 수
있도록 구현되어야 한다 암호알고리즘의 경우 보안성을 위하여 인터페이스는 분리된 하드.
웨어에 알고리즘들을 삽입하기 쉽게 만들어야 한다 또한 호스트에서의 키 보호를 위하여.
운영 시스템 외부의 분리된 하드웨어에 키를 두는 등 적절한 보호 조치가 강구되어야 할 것
이다.
인터넷 네트워크 스캐너 및 보안도구인터넷 네트워크 스캐너 및 보안도구인터넷 네트워크 스캐너 및 보안도구인터넷 네트워크 스캐너 및 보안도구////
목차목차목차목차
해킹 시나리오해킹 시나리오해킹 시나리오해킹 시나리오
목표 시스템의 정보 수집ㆍ
공격 목표에 대한 다양한 정보를 수집하는 단계-
사용자 이름 시스템 종류 제공 서비스- ,
시스템별 취약점 서비스 관련 취약점 이용/ㆍ
단계에서 수집한 정보를 바탕으로 관련 취약점을 찾아낸다- 1 .
등의 취약점 탐지- Buffer overflow, race condition
차적으로 수집된 목표 시스템의 각종 정보를 바탕으로 시스템에 접근하는 단계1ㆍ
목표시스템에 대한 일반 사용자 권한으로의 접근 후에는 시스템에 대한 전체적인ㆍ
제어권한을 가지는 시스템 관리자 권한획득을 시도
시스템의 구성상 취약점-
시스템 자체 취약점-
프로토콜 구현상의 취약점-
공격 성공한 시스템에 스니퍼 프로그램을 설치하여 로컬 네트워크 상의 패킷을(sniffer)ㆍ
모니터링하며 주요 정보를 수집
사용자 및 패스워드- ID
백도어ㆍ
접근에 대한 인증 등 정상적인 절차를 거치지 않고 프록램 또는 시스템에 접근할 수 있게
하는 보안상의 뒷분
공격자는 일반적으로 보안 취약점을 이용하여 시스템에 침입한 후 백도어를 설치하여 재ㆍ
침입을 용이하도록 한다.
백도어의 또 다른 기능은 침입시 침입자의 흔적을 다른 사용자에게 보이지 않게 하고 로ㆍ
그 파일에도 남지 않도록 한다.
백도어의 종류ㆍ
쉴 파일시스템 백도어 등 다양한 형태- login,service,TCP ,
백도어 예loginㆍ
시스템에 접근한 후 시스템에 대한 피해행위를 수행ㆍ
최근 호기심 차원의 해키 에서 특수한 목적을 지닌 범죄적(recrational hacker)※
해커 로의 변화 양상을 보이고 있음(criminal hacker)
시스템 공격 후 자신의 침입흔적을 숨기기 위해 로그파일 삭제ㆍ
등 로그 삭제 도구 활용- zap, wipe
시스템 제공 로그 파일※
사용자 로그인 로그아웃 정보- : utmp, wtmp, lastlog
프로세스 사용내역- : acct, pacct
기타 등- : massages, secure, error_log
네트워크 스캐닝 공격네트워크 스캐닝 공격네트워크 스캐닝 공격네트워크 스캐닝 공격
최근 대규모의 네트워크를 대상으로 한 스캐닝이 시도되고 있음ㆍ
에 보고된 한 사건은 개 이상의 호스트를 스캐닝CERT/CC 250,000
등 취약한 서비스에 대한 스캐닝이 많음IMAP, rpc.statdㆍ
네트워크 스캐닝 공격이란네트워크 스캐닝 공격이란네트워크 스캐닝 공격이란네트워크 스캐닝 공격이란????
네트워크 스캐닝은 시스템 공격을 위한 차적인 준비단계로써 스캐닝으로 얻어진 정보를1ㆍ
바탕으로 구체적인 공격이 이루어진다.
네트워크 스캐닝은 자신의 네트워크를 관리하기 위한 도구로 개발되었으나 이를 외부,ㆍ
네트워크를 대상으로 한 공격용으로 사용되는 경우가 많다.
서버의 정보제공 기능서버의 정보제공 기능서버의 정보제공 기능서버의 정보제공 기능
cert% rpcinfor -p xxx.xxx.xxx.xxx
program vers proto port service
100000 4 tcp 111 rpcbind
100024 1 udp 32772 status
100232 10 udp 32773 sadmind
100011 1 udp 32774 rquotad
100002 2 udp 32775 rusersd
100002 3 udp 32775 rusersd
100002 2 tcp 32772 rusersd
100002 3 tcp 32772 rusersd
100021 1 udp 4045 nlockmgr
100012 1 udp 32776 splayd
cert% showmount -e xxx.xxx.xxx.xxx
모두/home/hcjung ( )
/export alice.kisa.or.kr
네트워크 스캐닝 공격의 종류네트워크 스캐닝 공격의 종류네트워크 스캐닝 공격의 종류네트워크 스캐닝 공격의 종류
ISSISSISSISS
ISS(Internet Security Scanner)ㆍ
개발자 크리스토퍼 클라우스- : (Christopher Klaus)
발표시기 년- : 1993
구할 수 있는 곳-
ftp://ftp.iss.net/pub/iss
공개 소프트웨어 버전- 1.3
잘못 환경설정된 파일 시스템 등 알려진 보안 취약점을 점검하기 위한Sendmail, NFSㆍ
다단계 보안 스캐닝 도구
주요 기능ㆍ
관련 취약점1. Sendmail
가장 많이 사용되고 있는 유틸리티 중의 하나이며 그 취약점도 광범위함- ,
버전 점검 최근의 버전을 설치운영 버전- : sendmail 8.9.x
점검 에 의해 시스템 파일이 될 수 있음- mail aliases : decode aliase overwrite
알려진 버그- (wiz, debug)
모드는 년 인터넷 웜 사건에서 사용된 버그로 전세계의 시스템이 다운된debug ‘88※
사례가 있음
관련 취약점2. ftp
익명 사용자 접속 시도-
임의 디렉토리 생성 및 삭제 시도-
관련 취약점3. RPC
등 서비스 제공 유무- rusers, ypserv, rexd
의 상태 점검- NFS export
기타4.
디폴트 계정 로그인 시도-
포트 스캐닝- TCP
옵션 설명ㆍ
옵션 디폴트 계정 을 검사하지 않는다-d : (sync) .
옵션 기다리는-s : Maximum Second
옵션 메일 포트 번 를 검사하지 않는다-m : (25 ) .
옵션 를 점검하지 않는다-v : mail aliases .
옵션 포트를 점검하지 않는다-f : FTP .
옵션 를 점거하지 않는다-r : rpc .
옵션 를 콜하여 로부터 패스워드 파일을 가져오도록 시도한다-y : Ypx ypserv .
옵션 모두 할 수 있는 반출된 디렉토리들을 기록한다-e : mount .
옵션 개방된 포트를 스캔한다-p : tcp .
옵션 정규적인 파일이 아닌 다른 파일에 결과를 출력한다-o : ISS.log .
SAINTSAINTSAINTSAINT
공격공격공격공격mscanmscanmscanmscan
년 월 에 의해 개발1998 6 johann sebastian bachㆍ
년 이후 현재까지 국내에서도 많은 시스템들이 을 이용한 공격을 받고 있음1998 mscanㆍ
wingateㆍ
환경에서 단일 인터넷 접속을 가능하게 해주는 패키지- LAN
모든 네트워크 포트를 허용- (telnet, FTP, ...)
로그를 남기지 않음-
자신의 로컬 주소를 숨기기 위해 사용-
임의의 명령어 수행 가능phf :ㆍ
스캐닝 공격의 특징은 단위 시간당 네트워크 서비스 요청이 비정상적으로 많다는ㆍ
것이다.
위의 로그파일에서도 거의 동일한 시간대에 여러 서비스에 대한 요청이 있었던 것을 알 수
있다.
공격공격공격공격sscansscansscansscan
년 월 을 개발한 에 의해 개발되었으며 발표이후에 발견된‘98 6 mscan jsbach , mscanㆍ
새로운 보안 취약점 점검 기능 등이 추가되었다.
특히 공격 스크립트를 실행하도록 설정할 수도 있어 취약점 발견과 함께 공격용으로도,ㆍ
사용가능하다.
mscan vs sscanmscan vs sscanmscan vs sscanmscan vs sscan
공격공격공격공격sscansscansscansscan
공격과정 설명?
리눅스인지 확인①
취약점 확인IMAP②
을 이용한 공격 시도 라는 사용자 계정 추가IMAP (b4b0 )③
라는 사용자로 접속b4b0 telnet④
로컬 시스템 공격 시스템 에 접속( ) FTP⑤
동일한 인터넷 웜 프로그램 다운로드⑥
동일한 인터넷 웜 프로그램 백그라운드 수행⑦
시스템의 모든 파일 삭제⑧
특정 취약점 스캐닝 공격특정 취약점 스캐닝 공격특정 취약점 스캐닝 공격특정 취약점 스캐닝 공격
네트워크 구조 스캐닝 공격네트워크 구조 스캐닝 공격네트워크 구조 스캐닝 공격네트워크 구조 스캐닝 공격
느린 스캔 공격느린 스캔 공격느린 스캔 공격느린 스캔 공격(slow scan)(slow scan)(slow scan)(slow scan)
스캐닝 공격의 탐지는 단위 시간동안 비정상적으로 찾은 네트워크 스비스 요청에 의해서
이루어질 수 있으나 느린 스캔 공격을 함으로써 탐지당하지 않을 수 있다, (slow scan) .
공격공격공격공격ftp bouncingftp bouncingftp bouncingftp bouncing
ftp bouncingㆍ
접근할 수 없는 서버에 해당 서버가 신용하는 다른 서버를 경유하여 접근하는 방법으로 ftp
명령 이용port
파일 획득-
- port scanning
침입차단시스템 우회-
다른 호스트 공격을 위한 전초 기지 역할-
대책ㆍ
설치시 임의의 사용자가 할 수 없도록 설정- ftp write
사용 사용- ftp proxy , fixkits(wu-ftp2.4)
ftp bouncingftp bouncingftp bouncingftp bouncing
TCP 3 Way HandshakeTCP 3 Way HandshakeTCP 3 Way HandshakeTCP 3 Way Handshake
일반적인 접속은 가 완료된 후 이루어진다TCP 3 way handshake .ㆍ
스텔스 스캐닝스텔스 스캐닝스텔스 스캐닝스텔스 스캐닝
공격 목표 시스템 은 존재하지 않는 요청에 대한 응답 을(192.164.162.67) SYN (SYN-ACK)ㆍ
받고 공격자에게 신호를 전달한다RESET .
이는 자신의 존재를 공격자에게 알리는 역할을 한다.ㆍ
공격자는 요청받지 않은 에 응답하므로써 시스템의 존재를 파악한다DNS query , .ㆍ
네트워크 스캐닝 공격 탐지네트워크 스캐닝 공격 탐지네트워크 스캐닝 공격 탐지네트워크 스캐닝 공격 탐지
스캐닝 전용 탐지 도구ㆍ
- courtney
로 부터 하나의 시스템으로부터 일정 시간 범위 동안에 발생된 새로운 서비스들의tcpdump
수를 입력으로 일정 시간동안 비정상적으로 많은 서비스 접속을 요청하면 그 시스템을
스캐닝 공격 호스트일 것이라고 간주한다.
- gabriel
네트워크 스캐닝 탐지도구로 공격 시스템을 찾아내어 이 사실을 삐삐 전화 또는, , E-mail
화면에 출력하여 시스템 관리자에게 알린다.
- natas
임의로 개의 포트를 선택하여 초 안에 그들 중 개의 포트가 연결되어지면 불법적5 30 2
시스템 스캐닝으로 간주한다.
보안 대책보안 대책보안 대책보안 대책
침입차단시스템침입차단시스템침입차단시스템침입차단시스템
교육내용교육내용교육내용교육내용
강의 목표 수립□
정보보호기술의 개요를 살펴보고 그 중에서 네트워크 보안대책의 하나인√
침입차단시스템에 필요성에 대하여 인식
침입차단시스템의 보안 기능과 내부 구조에 대한 개략적인 이해도모√
네트워크에서 제공하는 각 서버들의 취약성을 제거하여 안전한 네트워크 구축기반 마련√
조직의 특성에 맞는 네트워크 구성방법을 제시하고 각 방법에 따른 장 단점 비교 분석/√
네트워크의 발전 추세네트워크의 발전 추세네트워크의 발전 추세네트워크의 발전 추세
이해 관점□
인터넷이 발전함에 따른 역기능√
대량의 자료 보관 및 전송에 따라 한번 침해 당했을 시의 역기능 등√
전세계 인터넷 증가 추세전세계 인터넷 증가 추세전세계 인터넷 증가 추세전세계 인터넷 증가 추세
국내 인터넷 증가 추세국내 인터넷 증가 추세국내 인터넷 증가 추세국내 인터넷 증가 추세
위협 요소의 증가위협 요소의 증가위협 요소의 증가위협 요소의 증가
자료 매체의 변화□
종이 자기매체 하드디스크 플로피디스크 광 등-> ( , ) -digital, CD√
대량화 소량화,√
전송 매체의 변화□
유선 무선 광통신-> ->√
대량화√
침해사례침해사례침해사례침해사례
연례보고서Information Week□
조사 응답기관 중 가 침입 및 침입시도 경험20%√
인식 불가능한 사례가 거의 대부분-
Defense Information Systems Agency(DISA)□
국방성 보유 호스트 침입시도38,000√
성공률- 88%
만이 침입에 대하여 실질적인 대응5%√
정보보호기술정보보호기술정보보호기술정보보호기술(InfoSec)(InfoSec)(InfoSec)(InfoSec)
정보보호기술(Infosec)□
ComSec√
전송로상의 보안 대책 기술-
CompuSec√
정보처리 자료저장에 대한 보안대책 기술- ,
NetSec√
컴퓨터연결 네트워크의 보안대책 기술- ,
네트워크에서의 위협 유형네트워크에서의 위협 유형네트워크에서의 위협 유형네트워크에서의 위협 유형
가로채기□
One Time Password√
스푸핑IP□
주소기반인증시스템√
소스 라우팅□
라우팅이 중간 라우터에 의하여 결정되는것이 아니라 소스 라우터에 의하여 결정√
디버거 용도로 개발√
공격가능 수단으로 변질√
리다이렉트 메시지ICMP□
라우터 구성정보의 재구성 시도√
서버 클라이언트간의 에러와 제어정보를ICMP(Internet Control Message Protocol) - /√
다루는 프로토콜
정보통신망 종합 보호 대책정보통신망 종합 보호 대책정보통신망 종합 보호 대책정보통신망 종합 보호 대책
호스트 수준의 보안 모델(Compusec)□
대부분의 컴퓨터 보안 모델√
네트워크 수준의 보안 모델(NetSec)□
보안 수준 결정√
네트워크내의 일부 호스트는 호스트 수준의 보안 모델 구현√
네트워크 보호 대책네트워크 보호 대책네트워크 보호 대책네트워크 보호 대책
OSI Layer□
침입탐지시스템Application( )√
Presentation√
Session√
Transport(TCP Wrapper)√
라우터Network(TCp Wrapper, )√
Data Link√
Physical√
기본 설정 방법TCP Wrapper□
설치후 의 설정을 수정: /etc/ineted.conf telnet√
- /usr/sbin/in.telnetd->/usr/sbin/tcpd
설정access control file√
-host.deny
-host.allow
침입차단시스템의 정의침입차단시스템의 정의침입차단시스템의 정의침입차단시스템의 정의
침입차단시스템 외부 구성요소침입차단시스템 외부 구성요소침입차단시스템 외부 구성요소침입차단시스템 외부 구성요소
Zone Of Risk□
침입차단시스템의 최종 목적√
구역을 최소화- Zone Of Risk
침입차단시스템의 필요성침입차단시스템의 필요성침입차단시스템의 필요성침입차단시스템의 필요성
침입차단시스템의 특성침입차단시스템의 특성침입차단시스템의 특성침입차단시스템의 특성
침입차단시스템의 보안 기능침입차단시스템의 보안 기능침입차단시스템의 보안 기능침입차단시스템의 보안 기능
접근 제어 기능접근 제어 기능접근 제어 기능접근 제어 기능
식별 및 인증 기능식별 및 인증 기능식별 및 인증 기능식별 및 인증 기능
인증기법 일반 패스워드인증기법 일반 패스워드인증기법 일반 패스워드인증기법 일반 패스워드----
OTP(One Time Password)OTP(One Time Password)OTP(One Time Password)OTP(One Time Password)
인증인증인증인증OTPOTPOTPOTP
감사 추적 기능감사 추적 기능감사 추적 기능감사 추적 기능
암호 기능암호 기능암호 기능암호 기능
대칭키□
정보를 암호화 하는 키와 복호화 하는 키가 동일√
기밀성만 제공√
공개키□
정보를 암호화 하는 키와 복호화 하는 키가 상이√
공개키와 비밀키로 구분√
공개키 모든 사람이 알고 있는 키- :
비밀키 단 한 사람만 알고 있는 키- :
암 복호화 과정에 따라 상호인증 무결성 부인봉쇄등에 사용 가능/ / /√
가상사설망 프로토콜가상사설망 프로토콜가상사설망 프로토콜가상사설망 프로토콜
계층에 따른 가상사설망계층에 따른 가상사설망계층에 따른 가상사설망계층에 따른 가상사설망
무결성 기능무결성 기능무결성 기능무결성 기능
MD5□
Message Digest√
SHA□
Secure Hash Algorithm√
MAC□
Message Authentication Code√
주소변환기능주소변환기능주소변환기능주소변환기능(NAT)(NAT)(NAT)(NAT)
관리적인 측면□
내부 사설 주소체계를 를 높게 할수록 유리Class√
- C Class < B Class < A Class
내부 네트워크 확장 고려-
공개된 주소는 가능한 적을수록 유리□
접속 라우터에 의하여 사설 주소 네트워크 접속이 금지됨□
침입차단시스템 구조침입차단시스템 구조침입차단시스템 구조침입차단시스템 구조
네트워크 프로토콜네트워크 프로토콜네트워크 프로토콜네트워크 프로토콜
패킷 필터링 종류패킷 필터링 종류패킷 필터링 종류패킷 필터링 종류
패킷 필터링 접속 과정패킷 필터링 접속 과정패킷 필터링 접속 과정패킷 필터링 접속 과정
패킷 필터링 장 단점패킷 필터링 장 단점패킷 필터링 장 단점패킷 필터링 장 단점////
프록시 게이트웨이프록시 게이트웨이프록시 게이트웨이프록시 게이트웨이
프록시 게이트웨이 접속프록시 게이트웨이 접속프록시 게이트웨이 접속프록시 게이트웨이 접속
투명 게이트웨이□
사용자에게 투명성 제공√
주로 내부 사용자가 외부에 접속할 경우 사용√
접속 게이트웨이□
일부 서비스에 대하여 사용자 접속 과정의 변경 필요√
각 서비스별 접속 과정이 틀림-
주로 외부 사용자가 내부에 접속할 경우 사용√
프록시 게이트웨이 장점프록시 게이트웨이 장점프록시 게이트웨이 장점프록시 게이트웨이 장점
조직의 네트워크 구성조직의 네트워크 구성조직의 네트워크 구성조직의 네트워크 구성
내부 사용자에게 인터넷에 대하여 어떠한 서비스를 제공할 것인가?□
정보를 제공하는 것과 업무의 효율성 사이의 비교√
외부에는 어떠한 정보를 공개할 것인가?□
공개할 정보가 조직의 비밀을 담고 있을 가능성은 없는가?√
공개 서버는 침해 당해도 내부 자산에 미치는 영향이 없는가?√
어떻게 침해를 알아 차릴 수 있는가?√
공개 서버가 침해 당할 경우 백업 대책은 설정 되었는가, ?√
기술적 관리적 대책- ,
네트워크 서비스 기본 정책네트워크 서비스 기본 정책네트워크 서비스 기본 정책네트워크 서비스 기본 정책
네트워크 기본 구성도네트워크 기본 구성도네트워크 기본 구성도네트워크 기본 구성도
조직의 특성에 따른 구성도 작성□
접속 기본 정책접속 기본 정책접속 기본 정책접속 기본 정책
조직의 특성에 따른 접속 정책 수립□
기본 정책을 위한 규칙기본 정책을 위한 규칙기본 정책을 위한 규칙기본 정책을 위한 규칙
수립된 네트워크 구성과 수립된 정책에 따라 설정□
소스 라우팅□
내부적으로 또는 외부적으로 모두 금지되어야 함√
서버 구성서버 구성서버 구성서버 구성DNSDNSDNSDNS
메일 서비스 구성메일 서비스 구성메일 서비스 구성메일 서비스 구성
/etc/sendmail.cf□
/etc/sendmail.cw□
뉴스 서비스 구성뉴스 서비스 구성뉴스 서비스 구성뉴스 서비스 구성
내부 호스트 구성내부 호스트 구성내부 호스트 구성내부 호스트 구성
스크리닝 라우터를 이용한 통제스크리닝 라우터를 이용한 통제스크리닝 라우터를 이용한 통제스크리닝 라우터를 이용한 통제
스크리닝 라우터 구성스크리닝 라우터 구성스크리닝 라우터 구성스크리닝 라우터 구성
침입차단시스템 기본 정책침입차단시스템 기본 정책침입차단시스템 기본 정책침입차단시스템 기본 정책
배스천 호스트를 이용한 통제배스천 호스트를 이용한 통제배스천 호스트를 이용한 통제배스천 호스트를 이용한 통제
배스천 호스트 구성배스천 호스트 구성배스천 호스트 구성배스천 호스트 구성
배스천 호스트 설정배스천 호스트 설정배스천 호스트 설정배스천 호스트 설정
파일 찾는 방법Setuid□
find / -user root -perm "-u+s"√
파일 찾는 방법Setgid□
find / -user root -perm "-g+s"√
파일 삭제 방법Setuid, Setgid□
chmod a-u filename√
통합형 침입차단시스템을 이용한 통제통합형 침입차단시스템을 이용한 통제통합형 침입차단시스템을 이용한 통제통합형 침입차단시스템을 이용한 통제
통합형 침입차단시스템 구성통합형 침입차단시스템 구성통합형 침입차단시스템 구성통합형 침입차단시스템 구성
혼합형 침입차단시스템을 이용한 통제혼합형 침입차단시스템을 이용한 통제혼합형 침입차단시스템을 이용한 통제혼합형 침입차단시스템을 이용한 통제
혼합형 침입차단시스템 구성혼합형 침입차단시스템 구성혼합형 침입차단시스템 구성혼합형 침입차단시스템 구성
멀티홈드 침입차단시스템 구성멀티홈드 침입차단시스템 구성멀티홈드 침입차단시스템 구성멀티홈드 침입차단시스템 구성
공개 서비스 구성공개 서비스 구성공개 서비스 구성공개 서비스 구성
서비스 구성서비스 구성서비스 구성서비스 구성FTPFTPFTPFTP
Server□
클라이언트와 서버의 기능을 바꾸는 명령어√
서비스 구성서비스 구성서비스 구성서비스 구성WWWWWWWWWWWW
심볼릭 링크 포워딩□
웹 디렉토리를 벗어날 수 있으므로 웹 디렉토리는 절대 물리적인 트리 구조와√
일치하여야 함
침해 가능성□
웹 프로세스가 부팅시 로 부팅root√
자프로세스도 의 권한 소유root√
문제 발생시 권한 획득- root
해결책√
파일중- /etc/httpd.conf
user nobodyㆍ
자프로세스 생성시 권한 부여nobody≫
chroot□
부팅과정의 변경 필요√
번거롭지만 디렉토리 접근권한을 제한하는데 유용√
공개 서비스를 위한 구성공개 서비스를 위한 구성공개 서비스를 위한 구성공개 서비스를 위한 구성
정책수립을 위한 권고정책수립을 위한 권고정책수립을 위한 권고정책수립을 위한 권고
추가적인 보안정책 요소추가적인 보안정책 요소추가적인 보안정책 요소추가적인 보안정책 요소
네트워크 시험네트워크 시험네트워크 시험네트워크 시험
시험 위치□
내부 네트워크√
외부 네트워크√
서브넷√
침입차단시스템의 문제점침입차단시스템의 문제점침입차단시스템의 문제점침입차단시스템의 문제점
침입차단시스템 구축 절차침입차단시스템 구축 절차침입차단시스템 구축 절차침입차단시스템 구축 절차
국내 침입차단시스템 현황국내 침입차단시스템 현황국내 침입차단시스템 현황국내 침입차단시스템 현황
국내침입차단시스템 특징국내침입차단시스템 특징국내침입차단시스템 특징국내침입차단시스템 특징
결론결론결론결론
수고하셨습니다수고하셨습니다수고하셨습니다수고하셨습니다!!!!!!!!!!!!