순천향대학교 정보보호연구회 임용훈 2009. 1. 20 gguiman3@nate.com 19장. 악의적인 소프트웨어 20. 방화벽 순천향대학교 정보보호연구회 임용훈 2009. 1. 20 gguiman3@nate.com

목 차 1 악의적인 소프트웨어 2 방화벽 바이러스와 관련된 위협 바이러스 대응책 방화벽의 특성 방화벽의 유형 방화벽의 구성 암호학세미나

1.1 바이러스와 관련된 위협 Malicious Programs Needs host Independent Program Trapdoors Logic bombs Trojan horses Viruses Worm Zombie 암호학세미나

1.1 바이러스와 관련된 위협 트랩도어(Trap doors) 논리폭탄(Logic Bomb) 보안 접근 절차를 통과하지 않고 접근하는 비밀 출입구 논리폭탄(Logic Bomb) 논리 폭탄은 일정한 조건이 맞으면 “폭발”하도록 맞춰져 있는 어느 정도는 합법적인 프로그램에 추가된 코드 (1), (2), (3)은 일방향 인증과 동일 (4) B: rB를 생성 (5) BA: B{tB, rB, A, rA, sgnData, } (6) A: (a) 서명을 확인하고, 서명된 정보의 무결성 검사 (b) A가 정당한 수신자인지 검사 (c) tA가 현재 시간인지 검사 (d) rA가 재전송 되지 않았는지 검사 암호학세미나

1.1 바이러스와 관련된 위협 트로이 목마(Troijan horses) 좀비(Zombie) 악의적인 기능을 수행하는 숨겨진 코드를 포함한 프로그램 또는 명령 절차 좀비(Zombie) 인터넷에 연결된 다른 컴퓨터를 침입하여 점령 웹사이트를 목표로 DOS공격 암호학세미나

1.1 바이러스와 관련된 위협 바이러스의 성질 바이러스의 생존 주기 잠복단계(Dormant phase) 전파단계(Propagation phase) 활성단계(Triggering phase) 실행단계(Execution phase) 암호학세미나

1.1 바이러스와 관련된 위협 바이러스의 구조 ② CV P2 CV P1 P2 CV ④ P`1 P`1 P`2 ③ ① 암호학세미나

1.1 바이러스와 관련된 위협 바이러스 유형 기생성 바이러스(Parasitic virus) 전통적이며 여전히 보편적인 바이러스 형태, 실행 파일들에 첨부되어서 감염된 프로그램이 실행될 때 다른 실행 파일을 찾아내서 복제하여 감염 메모리 상주형 바이러스(Memory-resident virus) 메인 메모리에 머무르고 모든 실행되는 프로그램이 그 지점에 올라오면 감염 부트 섹터 바이러스(Boot sector virus) 마스터 부트 레코드나 부트 레코드를 감염시키고 시스템이 바이러스를 포함한 디스크로 부팅되면 확산 암호학세미나

1.1 바이러스와 관련된 위협 잠복형 바이러스(Stealth virus) 다형성 바이러스(Polymorphic virus) 안티바이러스 소프트웨어로부터 보호되기 위해 자기 자신을 숨기도록 설계된 바이러스 형태 다형성 바이러스(Polymorphic virus) 바이러스의 패턴에 의한 탐지를 불가능하게 하면서 모든 감염으로 변이된 바이러스 암호학세미나

1.1 바이러스와 관련된 위협 매크로 바이러스 전자우편 바이러스 웜 워드나 마이크로소프트 엑셀 같은 다른 오피스 어플리케이션에 있는 특징(매크로)을 이용 전자우편 바이러스 전자우편바이러스는 최근에 개발된 바이러스로 멜리사(Melissa)가 대표적 웜 자신을 컴퓨터 시스템에 해를 끼칠 수 있는 장소에 위치하는 바이러스나 복제코드의 일종 암호학세미나

1.2 바이러스 대응책 안티 바이러스 접근법 고급 안티 바이러스 기술 행위 방지 소프트웨어 탐지(Detection) 확인(Identification) 제거(Removal) 고급 안티 바이러스 기술 일반해독(Generic Decryption) 디지털 면역 시스템(Digital Immune System) 행위 방지 소프트웨어 호스트 운영체제와 악의적인 행위를 실시간 감시하는 프로그램 암호학세미나

2.1 방화벽의 특성 서비스 제어(Service control) 방향제어 사용자 제어(User control) IP 주소와 TCP 포트 번호를 기초로 도착/출발 인터넷 접근 서비스 종류 결정 방향제어 방화벽 통과 흐름의 방향을 결정 사용자 제어(User control) 사용자들의 접근시도 서비스 제어 동작제어(Behavior control) 특정 서비스들이 어떻게 사용되는지 통제 암호학세미나

2.2 방화벽의 유형 패킷-필터링 라우터 네트워크로 들어오는 각 IP패킷에 규칙을 적용해서 패킷을 받아 들이거나 폐기 라우터는 전형적으로 패킷을 필터링하여 양방향으로 가도록 설정 Private Network Internet Security Perimeter Packet- Filtering router 암호학세미나

2.2 방화벽의 유형 응용-레벨 게이트웨이 응용 계층의 트래픽을 중계하는 역할 사용자는 텔넷이나 FTP같은 TCP/IP 응용을 사용하는 게이트웨이에 접속 게이트웨이는 접속할 원격 호스트의 이름을 사용자에게 질의 사용자는 응답을 하고 확실한 사용자 ID와 인증 정보를 제공 게이트웨이는 떨어져 있는 호스트에 있는 응용에 접속해 두개의 종점 사이에 응용 데이터가 들어있는 TCP 세그먼트 중계 TELNET FTP SMTP HTTP Outside Host Inside Host Inside connection Outside Application-level gateway 암호학세미나

2.2 방화벽의 유형 회선-레벨 게이트웨이 종단간(end-to-end) TCP연결을 불허 Outside Host Inside Host Inside connection Outside Circuit-level gateway OUT In 암호학세미나

2.3 방화벽의 구성 싱글-홈 베스천 호스트 방화벽은 패킷 필터링 라우터와 베스천 호스트 2개 시스템으로 구성 인터넷으로부터의 트래픽에 대해서, 베스천 호스트로 진입하는 IP 패킷만 허용 내부 네트워크로부터의 트래픽에 대해서 오직 베스천 호스트로부터 나가는 IP패킷만 허용 Internet Packet- Filtering router Bastion host Information server Private Network hosts 암호학세미나

2.3 방화벽의 구성 듀얼-홈 베스천 단일 홈 구성에서 패킷-필터링 라우터가 손상되면 인터넷과 내부 호스트 사이에 직접 트래픽 생성위험 스크린 호스트 방화벽, 듀얼 홈 베스천 구성은 물리적으로 이러한 보안 허접을 예방 정보서버나 다른 호스트들은 만일 보안정책과 일치한다면 라우터와 직접 통신이 허가될 수 있음 Bastion host Internet Packet- Filtering router Information server Private Network hosts 암호학세미나

2.3 방화벽의 구성 스크린-서브넷 방화벽 시스템 스크린 서브넷 방화벽 구성은 우리가 생각해오던 것들 중 가장 안전 2개의 패킷-필터링 라우터 사용 베스천 호스트와 인터넷 사이, 베스천 호스트와 내부 네트워크사이에 설치 Internet Outside router Bastion host Information server Private network Inside Modem 암호학세미나