[정보보안] 정보보안기사 필기 Part2.네트워크보안

정보보안기사 요약 Part2. 네트워크 보안.pdf

0.46MB

 

정보보안기사 필기 요약

Part2. 네트워크 보안

OSI 7계층

7 Application (응용) : 사용자에게 서비스 제공 (FTP, SNMP, HTTP, Mail ...) // 게이트웨이

6 Presentation (표현) : 포맷, 압축, 암호화, 텍스트/그래픽 16진수 변환 (GIF, ASCII, EBCDIC)

5 Session (세션) : 가상연결, 통신 방식(반이중, 전이중, 완전이중) 결정 (SSL)

4 Transport (전송) : 에러제어, 데이터흐름제어, 논리적 주소 연결, 신뢰도/품질 보증 (TCP, UDP)

3 Network (네트워크) : 라우팅, 논리적 주소 연결(IP), 데이터 흐름 제어 (IP, ICMP, ARP, RIP, OSPF, BGP) // 라우터

2 Data Link (데이터링크) : 물리주소 결정, 에러제어, 흐름제어 (PP2P, L2TP) // 브릿지, 스위치

1 Physical (물리) : 전기적, 기계적 연결 정의 (케이블, 광섬유) // 케이블, 리피터

 

응용계층

HTTP (TCP:80 , State-less)

전송방식

Get: 쿼리스트링(url) 데이터 전달

Post: Http body 데이터 전달, 크기제한 없음

OPtions: 응답 메시지 없이 전송

Put : 메시지 + 데이터요청 URL 포함

Delelte : URL 지정된 자원 삭제

Trace : 경로 기록

* HTTP Header - body 구분 \r\n\r\n

 

정보유지 방법

Cookie : 클라이어언트에 정보 저장, Text, 최대 4kb

Session : 서버에 정보 저장, Object

 

SMTP(Simple Mail Transfer Protocol , 25) :전자우편 표준 프로토콜

Store-and-Forward 방식

MTA(Mail Transfer Agent), MDA(Mail Delivery Agent), MUA(Mail User Agent)

MDA// POP3(TCP 110): 수신후 메일 삭제 , IMAP(143): 수신후 메일 저장

 

FTP(File Transfer Protocol) : 파일전송 프로토콜

등록된 사용자만 파일전송 가능, 그 외는 익명으로 사용

ftpusers : FTP차단 유저

전송모드

Active Mode (TCP: 21, 20)

21번포트 : 접속

20번포트 : 데이터 전송

Passive Mode (TCP: 21, 1024~)

21번포트 : 접속

1024번~65535번 : 데이터 전송 (Random)

 

SNMP(Simple Network Management Protocol): 네트워크 장애, 통계, 상태 정보를 실시간으로 수집 및 분석하는 네트워크 관리 시스템

 

전송계층 : 송/수신자 논리적 연결, 연결지향 서비스 제공

TCP(Transmission Control Protocol):

클라이언트-서버 연결지향

신뢰성 있는 데이터전송, 에러제어(FEC, BEC), 흐름제어(슬라이딩 윈도우), 순서제어, 혼잡제어(TCP Slow Start, Go-Back-N)

완전이중

netstat: TCP 상태정보 확인

 

UDP(User Datagram Protocol) exVolP

데이터 송수신 속도 빠름

비신뢰성

비접속형

 

인터넷 계층 : 송신자-수신자 IP주소 경로 결정, 전송 / 패킷 전달에 대한 책임

* 패킷 + IP Header : Datagram

라우팅 : IP헤더에서 IP주소를 읽어 경로 결정

 

IP(Internet Protocol) // TCP/IP

IPv4(128), IPv6(128)

주소화, 데이터그램포맷, 패킷 핸들링

MTU(Maximum Transmission Unit): 한번에 통과할 수 있는 패킷의 최대 크기 (ifconfig , ipconfig 확인가능)

IP : 네트워크주소 + 호스트주소

 

ICMP(Internet Control Message Protocol) Ping

오류제어 프로토콜

질의 메시지 기능

ICMP메세지

3 Destination Unreachable(목적지 찾을 수없음)

4 Source quench(패킷이 너무 빨라 네트워크 제어)

5 Redirection(패킷 라우팅 경로 수정, Smurf)

8 | 0 Echo request / reply (Host 존재 확인)

11 Time exceeded (시간경과, 패킷 삭제)

12 Parameter problem (IP Header 잘못된 정보 있음)

13 | 14 Timestamp request | reply (비슷한 시간에 정보 추가)

 

ARP / RARP

ARP(Address Resolution Protocol)

IP주소를 MAC주소로 변경

ARPCache Table : MAC , IP 주소를 보유하고 있는 테이블

RARP (MAC 주소를 IP주소로 변경)

 

네트워크 접근 계층(데이터링크, 물리): IP주소 > MAC 주소 변환, 에러제어, 흐름제어

CSMA/CD(Carrier Sense Multiple Access/ Collision Detection)  : 유선 랜 메세지 송수신 방법

충돌을 감시하여 비어있는 채널을 재사용하게 만듬

 

CSMA/CA(Carrier Sense Multiple Access/ Collision Avoidence) : 무선 랜 메세지 송수신 방법

수신자에게 간단한 전송을 유발하여 프레임을 전송하는 방법

 

네트워크 기반 공격 기술의 이해 및 대응

서비스 거부 공격(DoS : Denial of Service) : 특정 서비스를 계속적으로 호출하여 컴퓨터 자원 고갈(CPU, Memory, Network) 로직공격(IP Header 변조), 플러딩 공격(무작위 패킷 공격)

 

 

 

 

DDoS(Distributed Denial of Service): 다수의 분산되어 있는 공격자 서버로 특정 시스템을 공격하는 방법

 

DDos (분산 서비스 공격)

1)         TCP SYN Flooding : TCP SYN패킷을 이용하여 수많은 연결요청을 통해 일반 사용자의 가용성을 저해 시킴

2)        ICMP Flodding (Smurf Attack): ICMP 패킷 이용 서비스 및 포트가 필요없음

3)        Tear Drop: fragment 재조합 취약점 이용, offset 값을 조작하여 중첩 유발

4)        Ping of Death: Ping을 이용하여 ICMP MTU이상의 패킷 크기 조정

5)        Land Attack : 송신자 IP주소 – 수신자IP주소를 같게 설정 트래픽 유발

6)        HTTP Get Flooding : 정상적 연결 이후 HTTP Get 지속적으로 요청 -> 다량의 Request 호출

7)        Cache Control Attack : Cache-Control Header 옵션을 사용하여 항상 새로운 페이지를 요청

8)        Slow HTTP Get/Post Attack : Get(TCP/UDP)- 정상 IP 기반 공격 , 소량의 트래픽/세션 연결

                             Post- Post지시자 사용, 대량데이터를 장시간에 걸쳐 분할 연결

9)        Hash DoS: 해시테이블의 인덱스 정보가 중복되도록 유도 조회 시 CPU자원 소모

(*HTTP Get, Post Request 시 변수를 해쉬테이블 구조로 관리)

10) Hulk Dos: 공격대상 URL을 지속적으로 변경하여 DDoS 차단정책 우회 Get Flooding 수행

 

포트스캐닝(Port Scanning) : NMAP

1)         TCP Open Scan :3-Way-Handshaking을 이용하여 포트 확인, 연결수립

(Open: SYN+ACK, Close:RST+ACK)

2)        TCP Half Open Scan : SYN 패킷 전송 응답 정보로 포트 확인, 연결 X

(Open: SYN+ACK, Close:RST+ACK)

3)        FIN Scan : FIN 패킷 전송 (Open: 응답 X , Close: RST)

4)        UDP Scan : UDP패킷 전송 (Open: 응답 X, Close: ICMP Unreachable), 신뢰성 낮음

5)        X-MAS Scan: FIN, PSH, URG 패킷 전송 (Open: 응답 X, Close: RST)

6)        NULL Scan: NULL패킷 전송(Open : 응답 X, Close: RST)

스니핑 공격(Sniffing Attack): 수동적 공격 , Promiscuous 모드 사용, tcpdump이용

 

Session Hijacking: 스니핑 공격을 이용하여 이미 인증을 받은 세션을 탈취하여 인증 우회

(Hunt, Arpsppof, IPWatcher, Ferret, Hemster, WireShark)

 

스푸핑 공격(Spoofing Attack)

TCP/IP구조 취약점을 이용하여 IP 변조 후 SynFlooding , 인증우회

 

ARP Spoofing : 클라이언트 MAC주소를 탈취하여 서버 인증우회, 연결이 끊어지지 않도록 Release 해야함

 

네트워크 대응 기술 및 응용

침입차단 시스템(Firewall): 네트워크 경유 후 트래픽 모니터링, 접근통제

-       인바운드 : 외부에서 내부로 들어오는 규칙

-       아웃바운드: 내부에서 외부로 나가는 규칙

1)         패킷필터링(네트워크,전송계층): IP주소, Port 번호등을 이용해 접속제어 , 유연성 높음

2)        애플리케이션 게이트웨이(응용계층): Proxy Gateway, 보안성우수, 유연성 결여

3)        회선 게이트웨이(응용-세션 계층): Client측에 Proxy를 인식할 수 있는 수정된 프로그램, 관리수월

4)        상태 기반 패킷 검사(전 계층): 세션 추적 가능, 방화벽 표준, 내부 대응 어려움

5)        심층 패킷 분석(DPI :Deep Packet Inspection): 콘텐츠 까지 모두 검사 상태기반 패킷 검사에서 발전

 

침입차단 시스템 구축 유형

스크리닝 라우터 : 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 permit/drop

배스천 호스트 : 내부 네트워크 전면에서 내부 네트워크 전체를 보호, 외부 인터넷과 내부 네트워크를 연결

듀얼 홈드 호스트 : 2개의 NIC로 외부 네트워크와 내부 네트워크를 연결, Proxy 기능

스크린드 호스트 : Packet Filtering Router(패킷 perm/drop), Bastion Host(패킷 인증)구성

스크린드 서브넷 : 외부네트워크와 내부네트워크 사이에 하나 이상의 경계 네트워크 생성

                  (스크리닝 라우터 2개, 배스천 호스트 1개)

 

 

침입탐지 시스템(Intrusion Detection System : IDS)

DB에 저장된 패턴정보를 바탕으로 시스템의 침입을 실시간으로 모니터링하는 보안 시스템 (수동적)

-       오용탐지 : 침입패턴 – 활동로그 비교 , 오탐율(FP) 낮음, 새로운 패턴 탐지 불가능

(패턴 비교, 전문가 시스템, 유전 알고리즘)

-       이상탐지 : 정상패턴 – 활동로그 비교 , 오탐율 높음, 새로운 패턴 탐지 가능

(신경망, 통계, 특징 추출, 머신러닝)

 

-       NIDS(Network based IDS): 네트워크 패킷 검사(DoS, 해킹) 부가장비 필요

-       HIDS(Host based IDS): 시스템상에 설치, 시스템로그 검사(바이러스, 웜)

 

Snort : 패킷탐지 침입탐지 시스템

Alert tcp any any -> any any | (msg: “massage”; sid : 10000000; content:”content” flag:SYN)

      룰 헤더                                    룰옵션                

<룰 헤더>

Action (alert, log, pass, dynamic)

Protocol(TCP,UDP, IP)

송신지, 수신지(any, 127.0.0.1)

Derection -> <>

 

<룰옵션>

Msg: log 내용

Sid: 고유 ID

Content : 검사할 콘텐츠 내용

Flag(SYN, FIN , PSH):패킷 검사

Nocase: 대소문자 구분 x

 

침입대응 시스템(Intrusuon Prevention System : IPS)

공격 시그니처를 찾아 비정상 패턴을 감시하고 차단 (능동적)

 

허니팟(Honeypot): 의도적으로 취약한 사이트를 해킹에 노출시켜 해킹 기법, 행동 분석

 

가상 사설망(Virtual Private Network): 공중망을 이용하여 사설망을 가상으로 구축하는 방법 (USB사용 인증)

1)SSL VPN : 웹브라우저(SSL)을 이용한 VPN 소프트웨어 설치 필요 없음 (인증, 무결성, 기밀성, 부인 봉쇄)

2)IPSEC VPN: 터널모드(전체암호화, 새로운헤더 생성), 전송모드(End to End 보안)를 이용한 VPN

3)PPTP VPN: IP네트워크에 전송하기 위한 터널링 기법 (네트워크계층)

4)L2TP VPN: PPTP 호환성 터널링 프로토콜(네트워크 계층)

 

NAC(Network Access Control): 등록되지 않은 단말기 식별, 차단(End Point 솔루션), 네트워크 무결성

1)         정책관리 서버 : 정책설정, 접근 로그관리

2)        차단 서버 : 단말기 통제, 단말기 정보 수집 분류, 트래픽 감지

3)        에이전트 : 사용자 단말기 설치, 무선인증 지원

4)        콘솔 : 웹기반 네트워크 보안정책 성정, 감사, 모니터링, 대시보드 제공

 

ESM(Enterprise Security Management):

기업의 정보보안 정책을 반영, 보안시스템 통합한 통합 보안관제 시스템

-기업자산 및 자원관리

-보안감사, 상관성 분석

 

무선랜 보안기법

1)SDR(Service Set ID): AP는 동일한 SSID를 가진 클라이언트만 접속 허

2)WEP(Wired Equivalent Privacy): IEEE 802.11b RC4 스트림암호화 알고리즘, 40bit 키사용

3)WPA(Wi-Fi Protected Access): IEEE 802.1x/EAP, 128bit 동적 암호화

4)WPA2 : IEEE802.11i, WPA+AES