차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열
네트워크보안 수업 개요 교재 성적 관련 수업내용 제목: 차세대네트워크보안기술 출판사: 생능출판사 저자: 이만영 외 출석: 20%, 수시 및 기말고사: 각 40% 수업내용 1장, 6장, 7장, 8장, 방화벽 실습, IDS 실습
네트워크 보안 수업에 필요한 기반 지식 운영체제 네트워크 기초 이론 Multi-tasking 관련 기술 자원의 개념 Multi-user 관련 기술 Process 개념 등 네트워크 기초 이론 네트워크 프로토콜 7 layer 개념 IP 주소체계 TCP/ UDP 동작 및 port 개념 NIC 동작(Ethernet 동작) DNS, ARP 동작 Protocol이 사용하는 자원의 개념 등
보안기법 계층 구조
네트워크 보안 기술 습득의 순서 기존의 불법 침입, 바이러스, 인터넷 웜 등의 유형 분석 기존의 네트워크 보안 솔루션 분석 시스템의 취약점 분석 가능한 새로운 형태의 공격형태 예상 기존의 네트워크 보안 솔루션 분석 방화벽 기술 침입탐지시스템 기술 VPN 기술 무선 인터넷 보안 기술 통합 네트워크 보안 관리 기술
on the Net 2005/12 netstat nbtstat tcpdump nmap option: a, e, n, p, r, s nbtstat tcpdump nmap
1.1.1 전통적 공격기법 정보수집단계 시스템침입단계 공격전이단계 시스템 및 서비스 탐지 OS 탐지 네트워크 토폴로지/파이어월 필터링규칙 탐지 네트워크 서버 정보 수집 시스템침입단계 공격전이단계
시스템 및 서비스 탐지 시스템 파악: ping, DNS 서버 조회 서비스 파악: 열려진 포트 조회 Sscan, Mscan, Vanilla Scanner 스캔 공격
스캔 공격 네트워크 스캔 특정 취약점 스캔 보안관리 목적 mscan('98년 6월 발표) sscan('99년 1월 발표) 시스템 특정취약점 스캔 대규모 네트워크 대상 phf_scan, impd_scan, winscan 스탤스 스캔 네트워크 구조 스캔 스캔 공격: 로그파일, 패킷 분석 등에 의해 공격 탐지 스텔스 스캔 공격: 침입탐지 시스템. 시스템 관리자에게 발견되지 않고 목표 사이트의 네트워크 구성 상태나 시스템 취약점 정보 수집 운영체제, 네트워크 전체 구조 정보 수집 시스템 공격을 용이하게 하고, 어떠한 취약점을 공격해야 할지 알림
OS 탐지 시스템의 OS 버전 정보 수집 IP stack fingerprinting 도구: queso, nmap
네트워크 토폴로지/파이어월 필터링규칙 탐지 토폴로지 탐지: 호스트간의 거리 이용 Hop count 이용: traceroute 응용 공격 도구 Firewalk, hping
네트워크 서버 정보 수집 네트워크 서버가 제공하는 정보 이용 DNS: 등록된 호스트 정보 SNMP: 토폴로지 정보
시스템 침입 단계 버그가 있는 서버가 주 공격 대상 서버 설정 오류 이용 공격 패스워드 파일 획득 버퍼오버플로우(buffer overflow) 취약점 공격 서버 설정 오류 이용 공격 패스워드 파일 획득 Crack 과정을 거쳐 패스워드 해독
TCP Syn Flooding 공격 Host A(hacker) Host C (Unreachable) Host B(Victim) TCP SYN packet전송 발신 주소 : Host C 수신 주소 : Host B Host A(hacker) (4) TCP 연결 대기 큐가 overflow될 때까지 Host B에게 계속 연결 요청 Host C (Unreachable) Host B(Victim) (2) Host C에게 응답 TCP SYN/ACK packet 전송 (3) Host B는 Host C의 응답 대기 TCP ACK packet 대기 (5) HostC로부터 ACK 없음 대기 큐는 overflow
UDP Bomb 공격 Host A(hacker) Host B Host C (1) UDP Packet 조작 UDP echo Packet 전송 발신 주소 : Host C 수신 주소 : Host B 발/수신 포트 : 7(동일) Host A(hacker) Host B Host C (2) UDP Packet 조작에 따른 UDP echo Request/Reply 반복 (3) 네트워크 과부하 초래
Password cracking password Cracking file tool (1)Target host의 패스워드 파일 획득 (2)Crack 도구로 clean-text 패스워드 획득 Host (Victim) password file Cracking tool cracked password cracked password cracked password (3) 공격 대상 시스템에 침입하여 패스워드를 변경 하거나 침입 시 사용
공격전이 단계 1차 침입 이후의 침입 백도어 설치: 재 침입을 위한 특정 포트 오픈 백도어: daemon 형태 Password sniffer: 침입한 시스템에 설치 Telnet, FTP, POP 등의 트래픽 감시 패스워드와 사용자 이름 탐지 경유지로 사용 침입의 흔적을 남기지 않기 위해…
1.1.2 새로운 공격기법 백오리피스 백도어 네트워크 스캐닝 인터넷 웜 윈도우용 공격도구 새로운 공격기법의 특징
백오리피스 원래 목적은 원격지 PC를 제어하기 위한 수단 인가 받지 않은 접근권한 제공 패킷 릴레이 기능 침입에 성공한 시스템을 이용하여 다른 시스템 공격 가능 새로운 공격 프로그램 추가 기능
백오리피스 특징 기능 윈도우 지원 제3자 개발이 용이한 플러그인 구조 네트워크를 통한 안전한 관리를 위한 강력한 암호 기능 키보드 모니터링 HTTP 서버 파일 제어 프로세스 제어 레지스트리 편집 오디오 비디오 제어 패킷 릴레이 에이전트기능
백도어 새로운 백도어 기법 등장 커널 백도어 등장 raw socket 통해 특정 패킷에 대한 응답 제공 tunneling 기술: 방화벽 우회 수단 포트를 통한 침입 불필요 백도어가 주기적으로 외부의 공격자에게 신호를 보내어 커넥션 설정 : 방화벽 우회 커널 백도어 등장 탐지가 불가능, linux, solaris
Socket 종류
네트워크 스캐닝 네트워크 상의 트래픽 감시 방화벽: 네트워크 스캐닝 차단 기능 방화벽 우회 기술 발전 firewalk, hping, nmap
인터넷 웜 네트워크를 통해 자기 자신을 복제(self-replication)하고 스스로 전파(self-propagation)할 수 있는 독립된 프로그램 자동화 된 공격 도구 ADM Internet worm(1998년 발견) Millennium Internet worm(1999년 발견) Codered I, codered II
윈도우용 공격도구 윈도우 시스템의 성능향상이 공격자에게 도전욕구를 일으킴 매크로 바이러스의 확산 공격도구들의 자동화 E-mail 이용 공격도구들의 자동화 Unix 시스템 기반의 공격 프로그램이 윈도우용으로 제공
새로운 공격기법의 특징 에이전트화 분산화 자동화 은닉화 에이전트형의 백도어 다수의 시스템에서 단일 시스템으로 공격 보안시스템 우회의 목적 자동화 자동공격 스크립트의 증가 은닉화 에이전트를 이용한 분산공격 에이전트와 공격자간의 통신은 암호화 및 tunneling 기법을 이용 탐지 불능
1.2 침해유형 DDOS 스누핑(snuffing) 스푸핑(spoofing) 논리폭탄(logical bomb) 스팸메일, 과도한 ping 열람 이용 시스템 다운 스누핑(snuffing) 네트워크상의 IP 가로채기 스푸핑(spoofing) 다른 시스템으로 가장, 해당 시스템으로의 정보 가로채기 논리폭탄(logical bomb) 커널수정, 특정조건에 도달하면 시스템 다운
DDOS 공격 . 공격자 Victim Agent (Daemon) Master (Handler) Randomized Ports 27665/tcp Master (Handler) 공격자 Victim 27444/udp 31335/udp Randomized Ports Agent (Daemon) . Denial of Service 공격
1.2.1 침해유형 시스템 및 서비스 설정 취약점 프로그램상의 취약점 프로토콜 취약점 정보수집 서비스 거부 공격 악성코드 낮은 수준의 해킹 특별한 exploit code 불필요 프로그램상의 취약점 프로그램의 보안 오류, 동작 오류로 분류 프로토콜 취약점 정보수집 서비스 거부 공격 악성코드
프로토콜 취약점 TCP/IP, ICMP, ARP, RARP, UDP 등 프로토콜의 설계상의 취약점 이를 이용한 공격은 프로토콜에 대한 깊은 이해가 필요 타 방식에 비해 높은 수준의 공격 교재 page 28 표 1-1 참조
정보수집 IP address 정보수집 DNS 이용 서버위치 정보확인 User ID 정보수집 Routing 정보수집 패킷이 지나는 길목에 대한 정보 수집 시스템의 port 정보수집 RPC 정보수집 네트워크 보안 스캐닝 툴 기타 네트워크 정보 수집 명령어
서비스 거부 공격 Multi-Tasking 운영체제 대상 공격 치명적인 시스템 파괴는 없음 루트권한획득, 데이터의 파괴 및 변조
바이러스 감염 증상 일반 시스템 속도가 현저히 느려진다. 주변장치가 예상하지 못한 동작을 한다. 문서(특히 Word나 Excel)가 열리지 않거나 사라진다. 화면에 이상한 그림이 나타난다. 압축파일 해제 시 에러가 자주 발생한다.
컴퓨터 바이러스 종류별 특징 - 해킹 도구 1. Backdoor (해커가 직접 침입) * 해커가 직접 침입할 수 있도록 특정 포트를 열어둔다. * 원거리에서 특정 사용자의 정보를 가져갈 수 있다. * 소스가 인터넷에 많이 공개되어 있기 때문에 변형 Backdoor이 등장하기 쉽다. 2. Trojan (바이러스 스스로 정보를 유출) * 파괴동작보다는 정보 유출을 주 목적으로 한다. * 방화벽이 설치되어 있어도 정보는 유출된다.
컴퓨터 바이러스 종류별 특징 - 해킹 도구 3. Spyware (개인의 취향 등을 분석할 수 있는 자료를 유출) * 배너 광고를 클릭하였을 때 어떤 광고를 클릭하였는지를 조사하여 사용자의 취향에 맞는 배너 광고를 보여주어 수익을 창출한다. * 사용자의 IP 정보 유출한다. * 자주 가는 홈페이지를 분석하여 개인 취향을 분석하게 된다. 4. 대응 방법 * 폴더 공유 기능 사용 자제 - 읽기 전용 공유만 설정하는 것이 안전함. * Shareware 등 Spyware 탑재 가능성이 높은 무료 프로그램의 사용 자제
컴퓨터 바이러스 종류별 특징 - 해킹 도구 <Spyware 진단 모습>
컴퓨터 바이러스 종류별 특징 - 인터넷 웜 (I-Worm) 1. 확산에 주력하는 바이러스 2. 복합적인 바이러스 * e-mail 및 MS 네트워크망을 통해서 확산한다. * 피해 동작은 없는 것이 일반적이나 최근에는 피해 동작까지 일으키는 바이러스 등장 * 일반적인 바이러스도 확산을 위해 e-mail 및 MS 네트워크망을 사용하기도 한다. 2. 복합적인 바이러스 * 흔히 I-Worm에 해당하는 바이러스는 여러 개의 형태가 복합화 된 것이 많다. * 윈도우 바이러스 + 네크워크 확산 기능 + e-mail 확산 기능 * VBS 바이러스 + 네크워크 확산 기능 + e-mail 확산 기능 * 매크로 바이러스 + 네크워크 확산 기능 + e-mail 확산 기능
컴퓨터 바이러스 종류별 특징 - 인터넷 웜 (I-Worm) 3. 대응 방법 * 기업 등 네트워크 환경 컴퓨터 사용자의 보안 정책 지식 숙지 가장 중요함 * 백신 프로그램 제품군 중 e-mail Server의 proxy 감시 기능 등 네트워크 유입 경로 원천 차단. 전자우편으로 유입되는 바이러스 차단 * 네트워크 서버용 백신 프로그램 제품군 이용 파일 바이러스의 확산 방지
컴퓨터 바이러스 종류별 특징 - 기타 1. Palm 바이러스 2. WinCE 바이러스 * 현재까지 알려진 바이러스는 4종 * 계속적으로 나타날 것으로 전망 2. WinCE 바이러스 * 알려진 바이러스는 없음 * Palm 바이러스가 나타난 이상 주의를 해야 될 것으로 전망
컴퓨터 바이러스 종류별 특징 - 기타 3. 핸드폰 바이러스 * 알려진 바이러스는 없음 * 핸드폰에 메시지를 보내는 것일 뿐 핸드폰이 직접 바이러스에 감염되는 형태는 없음 주)1 * 주의를 해야 할 것으로 전망 주)1 : 2000년 6월 - 티모포니카 바이러스(VBS.Timofonica) -스페인 2001년 6월 – I-mode 핸드폰 바이러스 -일본 (통신 사업자의 문자 메시지 서버 (SMS Server) 를 공격하여 가입자에게 불필요한 문자 메시지를 보내는 방법)
백신프로그램이란 ? 백신 프로그램이란 ? - 컴퓨터 바이러스를 예방, 진단, 치료하기 위하여 인위 적으로 개발한 시스템 프로그램으로 정의 - Anti-Virus(바이러스에 대항)라고도 불림 - 바이러스와 마찬가지로 의학 용어들이 사용
백신프로그램이란 ? 백신 프로그램의 동작원리 - 예방용 프로그램 (특정 문자열 검색 방법) . 컴퓨터바이러스보다 먼저 메모리에 상주 . 모든 실행파일에 대하여 바이러스 감염되어있는지 확인 . 만일 바이러스가 있다면 사용자에게 경고하고 프로그램 강제종료 . 없으면 정상적으로 해당 프로그램 실행
백신프로그램이란 ? 백신 프로그램의 동작원리 - 예방용 프로그램 (모든 행동 감시 검색 방법) . 컴퓨터바이러스보다 먼저 메모리에 상주 . 모든 실행파일에 대하여 일단 실행시킨 후, 이상한 행동 여부 계속적으로 확인. . 이상한 동작을 하면 사용자에게 경고하고 해당 명령에 대한 지시여부 확인 . 사용자가 내린 명령이면 정상적인 수행 . 그렇지 않으면 해당 명령 강제 종료
백신프로그램이란 ? 백신 프로그램의 동작원리 - 진단용 프로그램 (특정위치 문자열 검색방법) . 이미 분석한 바이러스 샘플에서 특정위치에 존재하는 문자열 추출 . 진단되는 모든 파일에 대하여 해당 위치에 문자열 존재여부 확인 . 존재하면 바이러스로 판단 . 존재하지 않으면 정상적인 파일로 판단
백신프로그램이란 ? 백신 프로그램의 동작원리 - 진단용 프로그램 (전체 검색방법) . 바이러스만이 가지고 있는 공통의 명령어를 진단 대상의 모든 영역에서 검색하는 방법 . 진단되는 모든 파일에 대하여 위치에 상관없이 공통의 명령어 있는지 확인 . 존재하면 알려지지 않은 바이러스 감염으로 판단 . 존재하지 않으면 정상적인 파일로 판단
백신프로그램이란 ? 백신 프로그램의 동작원리 - 치료용 프로그램 . 바이러스를 분석하여 원래 복구정보 알아낸 다음 원래 데이터를 기록함으로써 원상태로 복구시켜 줌. . 바이러스에 해당하는 부분 절단 및 삭제 . 복구하지 못할 경우에는 삭제여부 확인 . “Y”하면 해당 파일 삭제
백신프로그램이란 ? 백신의 한계점 및 새로운 방법 제시 - 기존 백신 프로그램에 대한 한계점 노출 (문자열 검색방법 등 … ) - 바이러스 발견 후 진단, 치료되는 방법을 주로 사용 - 최초의 감염자 또는 피해자가 발생한 후에 제작됨. - 새로운 형태(Method)의 백신 프로그램 제작이 필요 . 알려지지 않은 바이러스(Unknown Viruses) 진단 하여 감염 전 차단 또는 파괴동작 못하도록 제어. . 인터넷 또는 네트워크상에서 차단 가능 . 바이러스 공통적인 특징이용.
백신프로그램(예방용 프로그램) 컴퓨터바이러스보다 먼저 메모리에 상주 모든 실행파일에 대하여 바이러스 감염확인 바이러스 발견 시 경고 후 프로그램 강제종료
백신프로그램(진단용 프로그램) 이미 발견된 바이러스 샘플에서 특정위치에 존재하는 문자열 추출 진단되는 모든 파일에 대하여 해당 위치에 문자열 존재여부 확인 존재하면 바이러스로 판단 존재하지 않으면 정상적인 파일로 판단
백신프로그램(치료용 프로그램) 바이러스를 분석하여 복구정보 알아낸 후 원래 데이터를 기록, 원상태 복구 바이러스에 해당하는 부분 절단 및 삭제 복구하지 못할 경우에는 삭제여부 확인 허가하면 해당 파일 삭제
백신 프로그램의 특징 백신 프로그램의 한계 새로운 형태의 백신 프로그램 필요 바이러스 발견 후 진단 가능 최초의 감염자, 피해자 발생 후 개발 가능 새로운 형태의 백신 프로그램 필요 알려지지 않은 바이러스 탐지 기능 네트워크 상에서의 차단 기능
1.3.1 네트워크 보안 기술 개발 동향 복합보안 형태로 발전 정책 기반 통합적 관리 메커니즘 보안 관제 업체의 등장 하나의 플랫폼에 다양한 보안기능 장착 개별 보안기능들을 통합 및 연동 관리자의 부담 감소 정책 기반 통합적 관리 메커니즘 보안 제품간의 상호 연동 필수 연동 프로토콜 개발(OPSEC, IDMEF) 보안 관제 업체의 등장 네트워크 보안, 해킹 관제, 실시간 복구, 데이터 저장 무선 인터넷의 등장으로 새로운 보안 시장 확대
보안관련사이트 한국정보보호학회 한국정보보호진흥원 CERTCC-KR 해커스랩 SecurityTechNet 보안이닷컴 시큐아이닷컴 Thanks Mr. Kwan Suk Chul.
6장 침입차단시스템 기술 침입차단시스템 개요 침입차단시스템 유형 침입차단시스템 구성
6.1 침입차단시스템 개요 외부로부터의 불법적인 접근이나 해킹으로부터 내부 네트워크를 보호 외부 네트워크와 내부 네트워크 사이에 설치 라우터, 호스트 이 외에 인증과 같은 보안 정책을 지원하는 모든 하드웨어 및 소프트웨어의 총칭
6.1.3 침입차단시스템의 기능 외부로부터 내부 네트워크 보호 서비스 허용 및 거부 사용자 인증 트래픽 감시 통계자료 제공 의심스러운 패킷 발생 시 경고 기능
6.1.5 침입차단시스템의 한계 서비스 접근에 대한 통제 백도어 등에 의한 우회 공격 시 무방비 내부 보안 기능 부재 바이러스 검색 기능 부재 병목 현상으로 작용 가능
6.1.6 침입차단시스템의 구성요소 네트워크 정책 강력한 인증 침입차단 기능 서비스 접근 정책(상위정책) 허용 및 거부 될 서비스에 대한 정책 결정 침입차단시스템 설계 정책(하위정책) 거부하지 않은 모든 서비스 허용 허용하지 않은 모든 서비스 거부 강력한 인증 패스워드 포획 방지 스마트카드, 인중토큰, 생체인식. 소프트웨어 등 침입차단 기능
6.2 침입차단시스템 유형 패킷 필터링 라우터 응용-레벨 게이트웨이 회로-레벨 게이트웨이 Layer 3, 4에서 동작 서비스 별 네트워크 접근 제어, 인증 회로-레벨 게이트웨이 프락시를 통해 침입차단기능 수행
6.2.1 패킷 필터링 라우터 패킷 헤더 정보 분석 스크리닝 라우터 이용 정해진 규칙에 따라 필터링 네트워크, 전송 계층에서 동작 IP, TCP, UDP 스크리닝 라우터 이용 프로토콜, 근원지 및 목적지 주소, 제어필드, 포트번호 등을 분석 진입 허용 혹은 거부 패킷 필터링 규칙을 이용(교재 pp. 203 ~ 204)
패킷필터링 라우터의 약점 패킷 내의 데이터에 대한 공격 차단 불능 필터링 규칙의 복잡성 규칙의 정확성 판단 도구 없음 특정 라우터는 기록 기능이 없어 패킷 침입 이 후에 탐지 가능 필터링 규칙에 대한 예외 규칙이 증가 라 경우 필터링 규칙이 매우 복잡 관리 불능 상태가 될 수 있음
UDP 패킷 헤더 구조
TCP 패킷 헤더 구조
IP 패킷 헤더 구조
6.2.2 응용-레벨 게이트웨이 패킷필터링 라우터의 단점 보완 TELNET, FTP 등과 같은 서비스에 대한 필터링 필요 → 응용소프트웨어 사용 필요 응용소프트웨어 : 프락시서비스 교재 pp. 205 그림 6-3 Store-and-forward, interactive 트래픽 모두 처리 가능 응용계층에서 트래픽 분석 가능하도록 프로그래밍 감시 추적의 레벨도 응용 및 사용자 레벨에서 가능 사용자는 특수한 클라이언트 응용 서비스 필요 응용-레벨 게이트웨이에 로그인 혹은 서비스 신청이 가능한 프로그램 패킷필터링 라우터와 응용-레벨 게이트웨이를 결합 할 때 더 높은 보안 효과
내부 호스트 접근 과정 사용자 → 응용게이트웨이로 Telnet 내부호스트 이름 입력 게이트웨이에서 접근 허용 여부 결정 사용자인증 프록시서비스: 게이트웨이와 내부호스트 사이에 Telnet 연결 생성 응용 게이트웨이는 접근 기록
프록시 서비스 프록시를 통과한 서비스만을 허용 프로토콜 필터링 가능 재택 근무용 보안 솔루션 FTP, Telnet 프록시만 있다면 나머지 서비스는 모두 차단 됨 프로토콜 필터링 가능 예) FTP의 put 명령만 거부 재택 근무용 보안 솔루션
6.2.3 회로-레벨 게이트웨이 Layer 5 ~ 7 사이에서 동작 모든 응용 프로그램이 사용 가능한 일반 프록시 이용 외부 클라이언트는 프록시를 인식 할 수 있는 클라이언트 프로그램 필요 패킷 필터링 라우터보다 느리지만 강력, 응용-레벨 게이트웨이보다 빠름 교재 pp. 207 그림 6-4 참조
6.2.5 배스천호스트(Bastion Host) 네트워크 보안을 위해 중요한 기능을 담당하는 시스템으로 지정된 호스트 배스천호스트 통과 후 내부 네트워크 접속 가능 해커 및 불법 침입자들이 배스천호스트의 정보를 이용할 경우 매우 위험 배스천호스트의 사용자계정, 중요하지 않은 파일, 명령, 유틸리티, IP 포워딩파일, 라우팅 정보 등은 삭제 배스천호스트로의 입력 시 강력한 인증기능 필요 내부 네트워크로의 접근에 대한 기록 기능, 추적을 위한 기록 및 모니터링 기능 필요
6.3 침입차단시스템 구성 하나 이상의 패킷필터링 라우터와 게이트웨이를 이용하여 구성 가능 듀얼 홈드 게이트웨이(Dual homed gateway) 스크린드 호스트 게이트웨이(Screened host gateway) 스크린드 서브넷 게이트웨이(Screened subnet gateway)
6.3.1 듀얼 홈드 게이트웨이 두 개의 네트워크 인터페이스를 가진 배스천호스트 내부 네트워크로의 진입을 위해 필히 듀얼 홈드 게이트웨이를 거쳐야 함 내,외부 내트워크 간에는 라우팅이 불가 내부 네트워크로의 직접적인 접근을 차단 내부 네트워크 사용자들이 서비스 받는 방법 듀얼 홈드 게이트웨이에 응용 레벨 게이트웨이가 실행되어 응용 서비스 지원 응용 서비스를 제공하는 듀얼 홈드 게이트웨이에 직접 로그인한 다음 서비스 지원 악용의 소지가 있는 명령, 유틸리티 등을 삭제
6.3.2 스크린드 호스트 게이트웨이 듀얼홈드 게이트웨이 + 패킷필터링 라우터 외부로부터의 패킷 내부로부터의 패킷 외부 네트워크: 패킷필터링 라우터 내부 네트워크: 배스천호스트 외부로부터의 패킷 1차 감시: 패킷필터링 라우터 2차 감시: 배스천호스트(프록시서버 즉 응용-레벨 게이트웨이가 구동 내부로부터의 패킷 외부로부터의 패킷의 감시 순서 역순
6.3.2 스크린드 호스트 게이트웨이 패킷필터링 라우터는 외부로부터 유입되는 모든 패킷을 배스천호스트로 전달 내부 네트워크에 직접 접속 방지 라우팅테이블을 변환 시킬 수 있으면 내부 네트워크로의 접속이 가능 침입차단시스템의 패킷필터링 라우터는 정적 라우팅 방식을 사용
6.3.3 스크린드 서브넷 게이트웨이 내외부 네트워크 사이드에 패킷필터링 라우터, 그 사이에 배스천호스트 설치 교재 pp. 213 그림 6-8 참조
√ 보안 장비 Fire Wall IDS(Intrusion Detection System) IPS(Intrusion Protection System) Virus Wall 기타 인증 서버
√ 방화벽 구성(with DMZ) Router 61.35.240.33 / 24 61.35.240.40 / 24 F/W Internet Router 61.35.240.33 / 24 61.35.240.40 / 24 F/W 192.168.10.1 /24 192.168.1.1 /24 Server Farm 192.168.10.200 / 24 L2 S/W 192.168.1.X / 24
방화벽 구성(without DMZ) Route 61.35.240.33 / 24 61.35.240.40 / 24 F/W Internet Route 61.35.240.33 / 24 61.35.240.40 / 24 F/W 61.35.240.41 / 24 L2 S/W Server Farm
Tip !! 최초로 방화벽과 통신 하기 위한 설정 arp –s 100.100.100.1 00-40-5c-84-2d-ba
다단계 보안 및 Firewall Load Balancing First Tier: 1. DoS Attacks Prevention 2. Stateful ACL 3. Hardware NAT Second Tier Load Balanced Firewalls Attacker Internet DMZ Secure Services PIX
Active Standby Datacenter 재난복구 시스템 구조 Geographically Distributed Front-End Distributed Director Cache Engine Distributed Director Redirects Web Traffic Access Network Production Web Servers Active Standby Datacenter Access Network Database Web Servers Local Director Data Updates Standby Database Active Datacenter Production Access Network Web Servers Local Director Customers Partners Ent. Storage Ent. Storage
7장 침입탐지시스템 기술 침입탐지 개념 침입 대응 방법 및 구현 기술 IETF IDS(Intrusion Detection System) 기술 표준 동향 침입 탐지 시스템의 발전 방향
7.1 침입탐지 개요 목적: 침입자에 의한 불법적인 사용을 명시, 합법적인 사용자의 남용이나 오용을 방지 문제점: False Positive: 침입이 아닌데 침입으로 오해 사용자에게 불만, 시스템 생산성 감소 False Negative: 침입인데 탐지 못 함 목적 달성 실패 IDS: 침입차단 시스템과 연계하여 호스트의 비정상적인 사용, 오용 등의 침입을 관리자가 실시간으로 탐지할 수 있는 시스템
7.1.1 침입탐지의 일반적 모델 기본모델: 원시데이터, 사건탐지, 분석, 대응, 데이터저장소(page 220 그림 7-1) 원시데이터: 시스템 자원으로부터 얻어진 자료, 시스템자원의 사용 내용(CPU 점유율, 메모리 사용량 등) 네트워크 관련 정보 사건탐지: 특정데이터, 환경, 행동 등의 발생 상황 분석: 사건을 분석하여 침입이 발생할 확률 계산 대응: 침입으로 판단 시 관리자에게 알리는 방법(콘솔, 메일, 페이저, 메신저 등) 데이터저장소: 탐지된 사건, 분석에 필요한 데이터, 알려진 침입에 대한 프로파일, 세부적인 원시 제이터
7.1.2 침입탐지 시스템의 분류 침입탐지 모델 기반의 분류 데이터 소스 기반의 분류 탐지 방법 중심 분류 비정상행위 탐지: 정해진 모델을 벗어나는 경우 오용탐지: 침입이라고 정해진 경우의 탐지 데이터 소스 기반의 분류 탐지 영역 중심 분류
(1) 침입탐지 모델기반의 분류 비정상행위 침입탐지 기법 정상적인 행위에 대한 프로파일 생성→수집된 감사정보와 비교 →정상행위와 불일치 →침입으로 간주 새로운 침입 탐지에 효율적 탐지비용이 높고 서서히 학습 시키는 행위 패턴에 대하여 정상 행위라고 판단할 우려 데이터베이스의 정확도에 따라 False Positive 탐지 오류 발생 가능 Page 221 그림 7-2 참조
(1) 침입탐지 모델기반의 분류(계속) 수량적 분석 모델 통계적 분석 모델 신경망 모델 탐지규칙 혹은 속성을 수치로 나타내어 임계값을 기준으로 침입 여부를 결정 현재 많은 IDS가 사용 통계적 분석 모델 이전 정보들을 이용하여 정상행위에 대한 프로파일 생성 프로파일과의 비교를 통해 침입 여부를 결정 신경망 모델 비정상 행위에 대한 적응학습 기술 사용 사용자 행위 학습 →입력된 사건을 학습된 사용자 정보와 비교 판단 침입자의 의도적인 학습이 가능하다는 단점
(1) 침입탐지 모델기반의 분류(계속) 오용탐지 기법 침입으로 알려진 패턴을 정의 → 일치된 패턴의 발견되면 침입으로 간주,(Pattern Matching) 기술 사용 일반적인 침입에 대해 강함 새로운 패턴의 침입에 약함 전문가 시스템 모델, 상태전이 모델, Language/API 기반 모델
(2) 데이터소스 기반의 분류 단일 및 다중 호스트 기반의 IDS 네트워크 기반의 IDS Page 224 표 7-1 참조 시스템 로그정보와 특정행위에 대한 감사자료 분석을 통해 침입 탐지(시스템 내부 자료 이용) 침입 여부를 감시하는 호스트에 보안 에이전트를 삽입, 관리자는 그 호스트로부터 모여진 자료를 바탕으로 침입을 탐지 네트워크 기반의 IDS 네트워크 상의 패킷 헤더 및 트래픽 발생패턴 분석, 침입 유무 판단 감사 자료는 사용하지 않음 호스트 기반 IDS에 비해 장점이 있음 Page 224 표 7-1 참조
외부 관제에 의한 IDS 관리
7.1.3 IDS의 구조 및 기능 데이터수집→데이터 가공 및 축약→분석 및 침입탐지→보고 및 대응 분석 및 침입 탐지 시스템의 비정상사용에 대한 탐지 비정상 행위 탐지 기술 시스템 취약점, 프로그램의 버그 이용 침입 탐지 오용 탐지 기술 IDS에는 침입차단시스템과 달리 해킹 수법을 자체적으로 내장 → 침입행동을 실시간으로 탐지 → 제어 기능 page 225 그림 7-4 참조
7.2.1 침입 대응 방법 침입 대응 방법 침입 발생 지역의 연결 차단 공격 시작 호스트의 트래픽 차단 침입차단시스템, 라우터의 설정 변경 관리자에게 연락 메일, 콘솔, 페이저, 등등
7.2.2 IDS 구현 기술 사후 감사 추적에 의한 분석 기술 실시간 패킷 분석 기술 실시간 행위 감시 및 분석 기술 After the fact: 일단 손실을 본 후에 추적 실시간 패킷 분석 기술 네트워크(link) 상의 패킷을 실시간으로 분석 IP Spoofing, packet flooding 등의 공격 탐지 가능 실시간 행위 감시 및 분석 기술 네트워크의 시스템 및 장치들로부터의 보안 관련 행위 모니터링, 조치 실시간 행위 감시 프로그램 이용 비인가 파일 접근, 로그인 프로그램의 변경 시도, 루트 접근 탐지
7.4 IDS 발전 방향 고속성 확장성 연동성 하드웨어화, 분산처리 대규모 네트워크에서의 기능의 보장 필요 감사정보의 정형화, 프로토콜의 표준화, 시스템 구조 일반화 침입차단시스템과의 연동 일체형 통합, 시스템간 연계형 통합
8.1 VPN 개요
VPN 구성
VPN 구성
8.2 VPN 구성 방식 활용분야: QoS 보장 및 보안을 필요로 하는 응용 구성방식 전자상거래, 전자경매, 주식거래, 기업정보공유, 재택근무자, 이동근무자 구성방식 인트라넷, 익스트라넷, 리모트 엑세스, 사이트 연결 방식
8.3 VPN 분류: 구조에 의한 분류 인트라넷(그림 8.2) 익스트라넷(그림 8-3) 원격접속 사이트 접속(그림 8-5) 가장 간단한 형태 익스트라넷(그림 8-3) 라우터 이용 전용선 통한 인터넷 접속, RAS를 이용한 고객 접속 등의 복잡한 형태 탈피 원격 사용자가 VPN S/W 실행 원격접속 ISP에서 VPN S/W 실행 사이트 접속(그림 8-5) 통합 VPN(그림 8-6)
VPN 구성 예
8.3.2 구축 방식에 따른 분류 전용시스템 방식 라우터 방식 침입차단 시스템 방식 전용 S/W 고속 통신 망에 적합 VPN 확장이 용이 고가의 비용 라우터 방식 라우터에 VPN 기능을 탑재 경로상의 라우터는 사용자가 제어 불가능 침입차단 시스템 방식 침입차단 시스템에 VPN 기능 탑재 병목점으로 작용 가능 전용 S/W 개인용 PC에 VPN 기능 탑재
8.4 VPN의 계층별 프로토콜 해당 계층의 프로토콜 처리 시 VPN의 기능, 즉 암호화, 터널링 기법 등이 처리 데이터링크 계층 구현 네트워크 계층 구현 응용 계층 구현
인터넷 프로토콜 IPv4로는 부족한 상황 IPv6 개발 보안을 위한 IPSec 개발 주소공간부족 QoS 지원 불가능: best effort 방식 이동성 지원 불가능 보안 기능의 부재 IPv6 개발 보안을 위한 IPSec 개발
IPv6 기본헤더구조
IPv6 확장헤더구조
8.5 IPSec 프로토콜 네트워크 계층에서의 VPN 구현 두 종류의 보안 서비스 지원 인증 헤더 (AH) ESP (Encapsulating Security Payload): 송신자의 인증 및 데이터 암호화를 함께 지원 이러한 각 서비스에 관련된 명확한 정보는 IP 패킷 헤더의 뒤를 잇는, 헤더 속의 패킷에 삽입
IPSec IP 계층의 보안 프로토콜 호스트-호스트, 호스트-보안 게이트웨이, 보안게이트웨이- 보안게이트웨이 간의 경로 보호용 프로토콜 보안게이트웨이 라우터 혹은 칩입차단시스템에 IPSec 프로토콜을 구현한 시스템 보안연계(SA: Security Association) 서비스 제공 AH 프로토콜과 ESP 프로토콜을 이용
8.5.1 AH IP datagram의 인증과 무결성 보장 IP헤더 뒤에 AH를 추가함으로써 인증 보장 트랜스포트 모드(Transport Mode) 호스트-호스트 간 적용 원래 IP 헤더의 출발지, 목적지를 그대로 유지하는 방법 터널 모드(Tunnel Mode) 새로운 IP 헤더를 만들어서 원래의 IP 패킷 모두를 AH의 페이로드로 만드는 방법 어느 한 쪽이 IPSec 게이트웨이 일 때 사용 가능 내부 IP 헤더를 보호 가능 그림 8-10 참조
AH 프로토콜 무결성 인증 재전송 공격에 대한 보호 전송 메시지가 중도에 변조 혹은 위조 되지 않았음을 증명 메시지의 발신자 확인 재전송 공격에 대한 보호 재전송 메시지가 아닌 원래의 메시지임을 증명
Security Parameter Index AH 헤더 구조 Security Parameter Index Sequence Number Authentication Data ……. Next Header Payload Len Reserved
전송 모드에서의 인증 데이터 삽입 IPv4의 경우 IPv6의 경우 AH 삽입 전 AH 삽입 후 AH 삽입 전 AH 삽입 후 IP Header TCP Data AH 삽입 전 IP Header AH TCP Data AH 삽입 후 IPv6의 경우 IP Header ext Header TCP Data AH 삽입 전 IP Header added ext Header AH ext Header TCP Data AH 삽입 후
터널 모드에서의 인증 데이터 삽입 IPv4의 경우 IPv6의 경우 AH 삽입 전 AH 삽입 후 AH 삽입 전 AH 삽입 후 IP Header TCP Data AH 삽입 전 New IP Header AH IP Header TCP Data AH 삽입 후 IPv6의 경우 IP Header ext Header TCP Data AH 삽입 전 New IP Header added ext Header AH IP Header ext Header TCP Data AH 삽입 후
8.5.2 ESP 데이터 무결성, 재전송 방지, 기밀성 제공하는 프로토콜 암호화 기법 이용 보호될 데이터 암호화, ESP 헤더와 트레일러 앞 뒤에 추가, ESP 헤더 앞에 IP 헤더 추가 트랜스포트 모드 트랜스포트 헤더 앞에 ESP 헤더 터널 모드 암호화된 IP 패킷이 ESP 페이로드 부분에 삽입, 전체 ESP 프레임 앞에 새로운 평문 IP 헤더
ESP 프로토콜 기밀성 재전송 공격 방지 무결성 인증 전송 중에 도청되어 해독되지 못하도록 IP 패킷이 재전송 공격에 사용될 수 없도록 네트워크 상의 트래픽 흐름에 대한 정보 보호 무결성 전송 메시지가 중도에 변조 혹은 위조 되지 않았음을 증명 인증 메시지의 발신자 확인
Security Parameter Index (SPI) ESP 헤더 구조 Sequence Number Authentication Data Security Parameter Index (SPI) Next Header Pad len Payload Data Padding 암호부분 인증부분
전송 모드에서의 ESP데이터 삽입(IPv4) IP Header TCP Data AH 삽입 전 IP Header ESP Header TCP Data ESP Trailer ESP Auth AH 삽입 후 암호화영역 인증영역
전송 모드에서의 ESP데이터 삽입(IPv6) IP Header ext Header TCP Data AH 삽입 전 IP Header added ext Header ESP Header Dest opt TCP Data ESP Trailer ESP Auth AH 삽입 후 암호화영역 인증영역
터널 모드에서의 ESP데이터 삽입 IPv4의 경우 IPv6의 경우 암호화영역 인증영역 암호화영역 인증영역 New IP Header ESP Header Orig IP Header TCP Data ESP Trailer ESP Auth IPv4의 경우 암호화영역 인증영역 New IP Header added IP Header ESP Header Orig IP Header Orig ext Header TCP Data ESP Trailer ESP Auth IPv6의 경우 암호화영역 인증영역
8.5.3 SA(Security Association) AH 및 ESP 프로토콜 관련 데이터베이스 보안 프로토콜 각각에 대한 보안 매개변수 정의 알고리즘 식별자, 모드, 키 등 AH와 ESP 헤더 처리에 필요한 정보 AH와 ESP 각각에 대한 SA 따로 필요 ISAKMP(Inetrnet Security Association and Key Management Protocol) 보안 연계를 유지 관리하는 기능
보안 연계 기능 보안 연계 서비스 수행 보안 연계 서비스 종류 AH SA, ESP SA, ISAKMP SA 보안 함수값, 목적지 IP 주소,프로토콜 식별자(AH, ESP) 이용 보안 연계 서비스 종류 AH 프로토콜에서 사용된 인증 알고리즘과 키 ESP 프로토콜에서 사용된 암호 알고리즘과 키 ESP 프로토콜에서 사용된 인증 알고리즘과 키 기타 보안 연계 설정과 관련 된 부가 사항
보안 연계 서비스 관련 DB SPD(Security Policy DB) SAD(Security Association DB) 패킷 제거 및 통과 여부, IPSec 처리 여부 결정 SAD(Security Association DB) 각 SA와 연관된 매개 변수 값을 저장 SPD에서 IPSec 처리가 결정된 IP 패킷에 대하여 보안 함수 값, 목적지 IP 주소, 프로토콜 식별자와 관련 된 개체 보관 SA 설정단계에서 협상에 의해 결정
8.4.1 데이터링크 계층의 터널링 터널 종단에서 인증 양단간 다중 터널 이용 터널 중도 위협 존재, 스푸핑 공격에 노출 패킷 단위의 무결성 보장 안 됨 서비스 거부 공격 위험 양단간 다중 터널 이용 각 터널에 각각의 서비스 품질, 압축, 인증 기능 제공 가능
L2F(Layer 2 Forwarding) 프로토콜 원격 호스트의 터널링 프로토콜 연결 동작 원격 호스트는 Dial up 연결이용 →POP 연결 공중망 POP 연결→1차 인증 POP에서 목적 네트워크의 게이트웨이와 터널링 →L2F session 설정 게이트웨이에서 2차 인증 L2F Decapsulation 후 패킷 전송
PPTP(Point to Point Tunneling Protocol) PAC(PPTP Access Concentrator) ISDN, PSTN 망의 POP 위치에서 원격지 호스트의 Dial up 연결 수용 PPTP 연결의 클라이언트 역할 PNS(PPTP Network Server) PPTP 연결의 서버 역할 PPTP 터널 →PAC와 PNS 사이에 설립 그림 8-7