SeoulTech 컴퓨터보안 박종혁 서울과학기술대학교컴퓨터공학과 jhpark1@seoultech.ac.kr
학습목표 OSI 7계층의세부동작을이해한다. 네트워크와관련된해킹기술의종류와방법을알아본다. 네트워크해킹을막기위한대응책을알아본다.
1. 네트워크의이해 2. 네트워크공격과보안 - Dos와 DDos - 스니핑공격 - 스푸핑공격 - 세션하이재킹공격 3. 무선네트워크공격과보안 4. 방화벽 5. 침입탐지시스템 6. 침입방지시스템 7. 부록
OSI 7 계층 국제표준화기구 (ISO, International Organization for Standardization) 는다양한네트 워크간의호환을위해 OSI 7 계층이라는표준네트워크모델을만듦 응용프로세스와직접관계하여일반적인응용서비스를수행하는계층 코드간번역을담당하는계층 양끝단의응용프로세스가통신을관리하는방법을제공 양끝단간신뢰데이터를주고받아상위계층이데이터전달의유효성이나효율성을신경쓰지않게해주는계층 여러개의노드를거칠때마다경로를찾아주는계층 두지점간의신뢰성있는전송을보장 실제장치를연결하기위한전기적 물리적세부사항정의 OSI 7 계층
2, 3 계층에서의패킷의흐름
3- 웨이핸드쉐이킹 (3-Way Handshaking) ➊ 1단계 : 두시스템이통신을하기전에, 클라이언트는포트가닫힌 Closed 상태며서버는해당포트로항상서비스를제공할수있도록 Listen 상태 ➋ 2단계 : 처음클라이언트가통신을하고자하면, 임의의포트번호가클라이언트프로그램에할당되고클라이언트는서버에연결하고싶다는의사표시로 Syn Sent 상태가됨. ➌ ➍ 3단계 : 클라이언트의연결요청을받은서버는 SYN Received 상태가됨. 그리고클라이언트에게연결을해도좋다는의미로 SYN+ACK 패킷을보냄. 4단계 : 마지막으로클라이언트는연결을요청한것에대한서버의응답을확인했다는표시로ACK 패킷을서버에보냄.
TCP 세션의종료 ➊ 통신을하는중에는클라이언트와서버 모두 Established 상태 ➋ 통신을끊고자하는클라이언트가서버 에 FIN 패킷을보냄. 이때, 클라이언트 는 Close Wait 상태가됨. ➌ ➍ 서버는클라이언트의연결종료요청을확인하고클라이언트에게응답으로 ACK 패킷을보냄. 서버도클라이언트의연결을종료하겠다는의미로 FIN 패킷을보내고Close Wait 상태가됨. 마지막으로클라이언트는연결종료를요청한것에대한서버의응답을확인했다는의미로ACK 패킷을서버에보냄.
Whois 서버 등록, 관리기관 도메인이름 목표사이트네트워크주소와 IP 주소 관리자, 기술관련정보 등록자, 관리자, 기술관리자 레코드생성시기와업데이트시기 주 DNS 서버와보조 DNS 서버 IP 주소의할당지역위치 관리자이메일계정 담당지역 Whois 서버담당지역 Whois 서버 유럽 www.ripe.net 호주 Whois.aunic.net 아시아 www.arin.net 프랑스 www.nic.fr
DNS 의계층구조
DNS 의서버이름해석과정
1. 서비스거부공격 (DOS) 공격대상이수용할수있는능력이상의정보를제공하거나초과시켜동작하지못하게하는공격 자원고갈공격형, 취약점공격형으로분류 포장마차에서행해지는서비스거부공격
자원고갈공격형 죽음의핑공격 (Ping of Death) 시스템을파괴하는데가장흔히쓰인초기의 DoS 공격 네트워크에서패킷을전송하기적당한크기로잘라서보내는특성을이용한공격 네트워크의연결상태를잘게쪼개져보내짐. 공격대상시스템은대량의작은패킷을수신하면서네트워크가마비됨. 점검하는 ping 명령을보낼때패킷을최대한길게 ( 최대 65,500바이트 ) 보내면수백수천개의패킷으로나누어져피해컴퓨터에과부화발생 Ping of Death
자원고갈공격형 SYN 플러딩공격 네트워크에서서비스를제공하는시스템에걸려있는사용자수제한을이용한공격 존재하지않는클라이언트가서버별로한정된접속가능공간에접속한것처럼속여다른사용자가서비스를제공받지못하게함. SYN Flooding 공격
자원고갈공격형 SYN 플러딩공격 TCP의연결과정인웨이핸드셰이킹의문제점을악용한공격 마지막에클라이언트가서버에다시 ACK 패킷을보내야하는데보내지않는다면? 서버는 SYN Received 상태로일정시간기다려야함 공격자 : 가상의클라이언트로위조된수많은 SYN 패킷을만들어서버에전송 서버의가용접속자수를모두 SYN Received 상태로만듦 공격자 정상이용자 3-Way 핸드셰이킹악용 공격대응책은 SYN Received 의대기시간을줄이는것. 침입방지시스템과같은보안시스템으로도공격을쉽게차단할수있음.
자원고갈공격형 스머프공격 ICMP 패킷과네트워크에존재하는임의의시스템으로패킷을확장해서비스거부공격을수행하는것으로, 네트워크공격에많이사용함. 다이렉트브로드캐스트를악용하는것으로공격방법은간단함. 다이렉트브로드캐스트 (direct broadcast): 기본적인브로드캐스트는목적지 IP 주소인 255.255.255.255를가지고네트워크의임의의시스템에패킷을보내는것
취약점공격형 Boink, Bonk, TearDrop 공격 프로토콜의오류제어로직을악용해시스템자원을고갈시키는방식 TCP 패킷에는각패킷이데이터의어느부분을포함하는지표시를위한시퀀스넘버가기록되어있는데, 시스템패킷재전송, 재조합에과부하가걸리도록시퀀스넘버를속이는공격임. 이러한공격에의한취약점은패치를통해제거하는데과부하가걸리거나계속반복되는패킷은무시하고버리도록처리함. 1) Boink와 Bonk 공격
취약점공격형 2) TearDrop 공격 TearDrop 공격시패킷의시퀀스넘버 TearDrop 공격시패킷의배치
취약점공격형 Land 공격 패킷을전송할때출발지 IP주소와목적지 IP주소값을똑같이만들어서공격대상에게보내는공격 ( 조작된 IP주소값은공격대상의 IP여야함 ) Land 공격에대한보안대책도운영체제의패치를통해서가능 방화벽등과같은보안솔루션에서패킷의출발지주소와목적지주소의적절성을검증하는기능을이용하여필터링 Land 공격
2. 분산서비스거부공격 (DDOS) 공격대상에여러대의공격자를분산적으로배치하여동시에 DoS를발생시켜공격하는방법 DoS 공격의상위단계 최근발생하는분산서비스거부공격은악성코드와결합된형태가다수 1 PC에서전파가가능한형태의악성코드작성 2 사전에공격대상과스케줄을정한뒤미리작성한악성코드에코딩. 3 인터넷으로악성코드전파하는데전파과정에서는공격이이루어지지않도록잠복. 이렇게악성코드에감염된 PC를좀비 PC, 좀비 PC끼리형성된네트워크를봇넷 (botnet) 이라고부름. 4 공격자가명령을내리거나정해진스케줄에따라일제히공격을수행하면대규모의분산서비스거부공격이이루어짐.
2. 분산서비스거부공격 (DDOS) 분산서비스거부공격의기본구성 공격자 (attacker): 공격을주도하는해커컴퓨터 마스터 (master): 공격자에게직접명령을받는시스템으로여러대의에이전트를관리 핸들러 (handler) 프로그램 : 마스터시스템의역할을수행하는프로그램 에이전트 (agent): 직접공격을가하는시스템 데몬 (daemon) 프로그램 : 에이전트시스템의역할을수행하는프로그램
DOS/DDOS 탐지및보안방법 사이버대피소이용 : DDoS 트래픽을대피소로우회하여분석, 차단 DDoS보안솔루션이용 : 서버접속사용자를정상사용자와좀비PC 구분검증 (AWS, CloudFlare) KISA 사이버대피소 DDoS 보안솔루션
3. 스니핑공격 Sniff : 코를킁킁거리다 데이터속에서정보를찾는것으로공격시아무것도하지않고조용히있는것만으로도충분하여수동적공격이라함 스니핑공격자는가지지말아야할정보까지모두볼수있어야하므로랜카드의프러미스큐어스 (promiscuous) 모드를이용해데이터링크계층과네트워크계층의정보를이용한필터링을해제함 스니퍼공격
스니핑공격자의프러미큐어스모드 스니핑을수행하는공격자는자신이가지지말아야할정보까지모두볼수있어야하기때문에 2계층과 3계층정보를이용한필터링은방해물임. 이럴때 2, 3계층에서의필터링을해제하는랜카드의모드를프러미큐어스 (Promicuous) 모드라고한다. 정상적인네트워크필터링 네트워크필터링해제상태
스니핑공격의종류 스위치재밍공격 스위치가 MAC 주소테이블을기반으로포트에패킷을스위칭할때정상적인스위칭기능을마비시키는공격 MACOF 공격이라고도함 고가의스위치는 MAC 테이블의캐시와연산자가쓰는캐시가독립적으로나뉘어있어스위치재밍공격이통하지않음 SPAN 포트태핑공격 스위치의포트미러링 (port mirroring) 기능을이용한공격 포트미러링 : 각포트에전송되는데이터를미러링하는포트에도똑같이보내는것으로침입탐지시스템이나네트워크모니터링또는로그시스템을설치할때많이사용
스니핑공격의탐지 자신의이름이아닌데도아무이름에나받아들여대답하다가교수님께걸리는프리미 스큐어스모드의학생 대출이들키는상황
스니핑공격의탐지 ping 을이용한스니퍼탐지 의심이가는호스트에네트워크에존재하지않는 MAC 주소를위장해서 ping 을보내면스니퍼탐지가능 존재하지않는 MAC 주소를사용했으므로스니핑을하지않는호스트라면 ping request 를볼수없는것이정상이기때문 ARP 를이용한스니퍼탐지 위조된 ARP request 를보냈을때 ARP response 가오면프러미스큐어스모드로설정된것이므로탐지가능 DNS 를이용한스니퍼탐지 일반적인스니핑프로그램은스니핑한시스템의 IP 주소에 DNS 의이름해석과정인 Reverse-DNS lookup 을수행함 대상네트워크로 ping sweep 를보내고들어오는 Reverse-DNS lookup 을감시하면스니퍼탐지가능
유인을이용한스니퍼탐지 가짜아이디와패스워드를네트워크에계속뿌려서공격자가이를이용해접속을 시도하면스니퍼탐지가능 ARP watch 를이용한스니퍼탐지 ARP watch는 MAC 주소와 IP 주소의매칭값을초기에저장하고 ARP 트래픽을모니터링하여이를변하게하는패킷이탐지되면알려주는툴 대부분의공격기법은위조된 ARP를사용하기때문에쉽게탐지가능
4. 스푸핑공격 Spoof : 속이기 외부의악의적공격자가웹사이트를구성하여사용자방문을유도, TCP/IP 구조적결함을이용하여사용자시스템권한을획득한뒤, 정보를빼가는공격 ARP 스푸핑공격 ARP 스푸핑은 MAC 주소를속이는것 로컬에서통신하는서버와클라이언트의 IP 주소에대한데이터링크계층의 MAC 주소를공격자의 MAC 주소로속여클라이언트에서서버로가는패킷이나서버에서클라이언트로가는패킷이공격자에게향하게하여랜의통신흐름을왜곡하는공격 현재인지하는 IP와해당 IP를가진시스템의 MAC 주소목록확인가능 이목록을 ARP 테이블이라고함
IP 스푸핑공격 트러스트관계 ( 신뢰관계 ) 를맺고있는서버와클라이언트를확인한후클라이언트에서비스거부공격을하여연결을끊은뒤클라이언트의 IP 주소를확보한공격자는실제클라이언트처럼패스워드없이서버에접근하는기법 [IP 스푸핑을이용한서버접근 ]
트러스트에대한이해 트러스트는도메인사이에설정되는신뢰관계 서버에미리정보가기록된클라이언트가접근하면아이디와패스워드입력없이로그인을허락하는인증법 사용자가다른도메인자원을사용할수있도록함. 트러스트의방향성 단방향 : 트러스트방향이일방적으로설정된경우 양방향 : 두개의도메인이서로상대방도메인에대해트러스트를준경우 액세스방향 트러스트방향 리소스도메인 계정도메인
DNS 스푸핑공격 실제 DNS 서버보다빨리 DNS response 패킷을보내어공격대상이잘못된 IP 주소로웹접속을하도록유도하는공격 DNS 스푸핑공격을막으려면중요서버에대해 DNS query를보내지않으면되는데이를위해서는중요접속서버의 URL에대한 IP를 hosts 파일에등록해야함 모든서버의 IP를등록하는것은무리이므로모든서버의 DNS 스푸핑을막기는어려움
정상적인 DNS 1 2 3 클라이언트가 DNS 서버에게접속하고자하는 IP 주소 (www. wishfree.com과같은도메인이름 ) 를물어봄. 이때보내는패킷은 DNS Query임. DNS 서버가해당도메인이름에대한 IP 주소를클라이언트에게보내줌. 클라이언트가받은 IP 주소를바탕으로웹서버를찾아감.
DNS 공격 1 클라이언트가 DNS 서버로 DNS Query 패킷을보내는것을확인 - 스위칭환경일경우에는클라이언트 DNS Query 패킷을보내면이를받아야하므로 ARP 스푸핑과같은선행작업이필요함 - 만약허브를쓰고있다면모든패킷이자신에게도전달되므로클라이언트가DNS Query 패킷을보내는것을자연스럽게확인할수있음
DNS 공격 2 3 공격자는로컬에존재하므로 DNS 서버보다지리적으로가까움. 따라서 DNS 서버가올바른 DNS Response 패킷을보내주기전에클라이언트에게위조된 DNS Response 패킷을보낼수있음 클라이언트는공격자가보낸 DNS Response 패킷을올바른패킷으로인식하고, 웹에접속 - 지리적으로멀리떨어져있는 DNS 서버가보낸 DNS Response 패킷은버림
DNS 공격결과
DNS 공격에대한대응책 hosts 파일에는주요 URL 과 IP 정보가등록 127.0.0.1 localhost 200.200.200.123 www.wishfree.com 201.202.203.204 www.sysweaver.com
세션하이재킹 세션가로채기라는뜻으로세션은사용자와컴퓨터또는두컴퓨터간의활성화된상태이므로세션하이재킹은두시스템간의연결이활성화된상태, 즉로그인된상태를가로채는것. 가장쉬운세션가로채기는누군가작업을하다가잠시자리를비운 PC를몰래사용해원하는작업을하는것.
TCP 세션하이재킹 TCP의고유한취약점을이용하여정상적인접속을빼앗는방법. 서버와클라이언트에각각잘못된시퀀스넘버를사용해서연결된세션에잠시혼란을준뒤자신이끼어들어가는방식. 1 클라이언트와서버사이의패킷을통제하고 ARP 스푸핑등으로통신패킷모두가공격자를지나가게함. 2 서버에클라이언트주소로연결을재설정하기위한 RST reset 패킷을보냄. 서버는패킷을받아클라이언트의시퀀스넘버가재설정된것으로판단하고다시 TCP 3-웨이핸드셰이킹을수행. 3 공격자는클라이언트대신연결되어있던 TCP 연결을그대로물려받음. 세션하이재킹대응책 텔넷과같은취약한프로토콜을이용하지않고 SSH와같이세션인증수준이높은프로토콜로서버에접속해야함. 또는클라이언트와서버사이에 MAC 주소를고정해야함.
무선랜 유선랜의네트워크를확장하려는목적으로사용되며이를위해서는내부의유선네트워크에 APAccess Point 장비를설치해야함. 확장된무선네트워크는 AP를설치한위치에따라통신영역이결정되며보안이설정되어있지않으면공격자가통신영역안에서내부사용자와같은권한으로공격가능.
무선랜 주요무선랜프로토콜
무선네트워크보안 물리적인보안및관리자패스워드변경 AP 보호를위한첫번째사항은물리적인보안 AP 신호세기가건물내에한정되도록출력을조정하고, 눈에쉽게띄지않는곳에설치 설치후기본계정패스워드는반드시재설정 SSID 브로드캐스팅금지 무선랜을검색을위한 AP 탐색이후, 나타나는 SSID(Service Set Identifier) 는쉽게노출되지않도록 Hidden AP로변경한다.
무선랜통신의암호화 WEP WEP(Wired Equivalent Privacy) 는무선랜통신을암호화하기위해 802.11b 프로토콜부터적용되기시작, 1987년에만들어진 RC 4Ron s Code 4 암호화알고리즘을기본으로사용. WEP 암호화세션의생성
무선랜통신의암호화 WPA-PSK WPA-PSK(Wi-Fi Protected Access Pre-Shared Key) WEP 방식보안의문제점을해결하기위해만들어짐. WPA 규격은 WPA-개인과 WPA-엔터프라이즈로각각규정. WPA 규격의구조
무선네트워크공격 무선랜인증우회 MAC 관리테이블 MAC 주소 : AA:BB:CC:DD:EE:FF AA:BB:CC:DD:EE:FF AB:CD:EF:AB:CD:EF.. MAC 주소 : AB:CD:EF:AB:CD:EF MAC 주소변경후접속 실제 MAC 주소 : CD:CD:CD:CD:CD:EF MAC 주소 : AB:CD:EF:AB:CD:EF
무선네트워크공격 WEP 암호크랙 키스트림을재사용하는취약점이있음 일정평문을얻고암호문을만드는 IV에대한키스트림테이블을생성할수있음 2004년발표된 802.11i 표준에서 IEEE는 WEP를사용중단 (deprecated) 선언. IV Original Unencrypted Packet Checksum key RC4 알고리즘 Encrypted packet WEP 키생성과정과누적패킷으로 WEP 암호크랙
무선네트워크공격 기존유선네트워크에적용되었던 DoS, Man in the Middle Attack, Spoofing, Sniffing 등의공격 방법도무선네트워크에서도이루어질수있음.
방화벽 네트워크트래픽을모니터링하고정해진보안규칙을기반으로특정트래픽의허용또는차단을결정하는네트워크보안디바이스 신뢰하지않는외부네트워크와신뢰하는내부네트워크사이를지나는패킷을미리정한규칙에따라차단하거나보내주는기능을하는하드웨어나소프트웨어 내부네트워크의보안을제공하기위한가장기본적인솔루션
방화벽의기능 접근제어 관리자가통과시킬접근과거부할접근을명시하면방화벽이그에따라수행. 구현방법에따라패킷필터링 (packet filtering) 방식, 프록시 (proxy) 방식으로나뉨. 접근제어를수행하는룰셋 (rule set) 은방화벽을기준으로보호하려는네트워크의외부와내부에존재하는시스템의 IP 주소와포트로구성. [ 표 10-1] 방화벽룰셋의예 번호 외부 (From) 내부 (To) IP 주소포트 IP 주소포트 동작 1 External Any 192.168.100.100 80 Allow 2 Any Any Any Any deny
로깅과감사추적 방화벽은룰셋설정과변경, 관리자접근, 네트워크트래픽의허용또는차단과관련한사항을로그로남김. 사고발생시출입자를확인하여추적을하기위함. 인증 방화벽에서는메시지인증, 사용자인증, 클라이언트인증방법사용. 메시지인증 VPN 과같은신뢰할수있는통신선으로전송되는메시지의신뢰성을보장. 사용자인증 패스워드를이용한단순한인증부터 OTP, 토큰기반인증등높은수준의인증까지가능. 클라이언트인증 모바일사용자처럼특수한경우에접속을요구하는호스트자체가정당한지확인하는방법. 데이터암호화 한방화벽에서다른방화벽으로데이터를암호화해서보내는것. 일반적으로 VPN의기능을이용.
방화벽의한계 바이러스는파일등을통해감염되므로근본적으로방화벽이영향을미치기어려움. 일부웜은막을수있지만정상적인서비스포트에대해웜이공격을시도할때는막을수없음.
정의 침입탐지시스템은네트워크를통한공격을탐지하기위한장비로내부의해킹이나악성코드활동탐지와같이방화벽이하지못하는일을수행. 설치위치와목적에따른구분 호스트기반침입탐지시스템 (Host-based Intrusion Detection System, HIDS) 네트워크기반침입탐지시스템 (Network-based Intrusion Detection System, NIDS)
주요기능 데이터수집 호스트기반의침입탐지시스템 (HIDS) 윈도우나유닉스등의운영체제에부가적으로설치, 운용되거나일반클라이언트에설치. 운영체제에설정된사용자계정에따라어떤사용자가어떤접근을시도하고어떤작업을했는지기록을남기고추적. 네트워크환경과의연계성이낮으므로전체네트워크에대한침입탐지가불가능하고자신이공격대상이될때만침입탐지가능. 운영체제의취약점이 HIDS 를손상할수있으며다른침입탐지시스템보다비용이많이드는것이단점. 네트워크기반의침입탐지시스템 (NIDS) 네트워크에서하나의독립된시스템으로운용. 감사와로깅을할때네트워크자원이손실되거나데이터가변조되지않고 HIDS 로는할수없는네트워크전반에대한감시를할수있으며감시영역이상대적으로큼. IP 주소를소유하지않아해커의직접적인공격을거의완벽하게방어할수있고존재사실도숨길수있음. 공격에대한결과를알수없으며암호화된내용을검사할수없음. 스위칭환경에서 NIDS 를설치하려면다른부가장비필요. 10Gbps 이상의고속네트워크에서는네트워크카드등의하드웨어적인한계로네트워크의모든패킷을검사하기어렵다는것이단점. HIDS 와 NIDS 는각각장단점이있어상호보완적으로사용함.
주요기능 데이터필터링과축약 HIDS와 NIDS로수집한침입관련데이터를상호연관시켜좀더효과적으로분석하면공격에빠르게대응가능. 보안이강화된시스템에데이터를보관하면침입으로인한손실을막을수있음. 보안감사에서는세밀하고자세한데이터보다빠르고정확하게파악할수있는데이터가더유용하므로데이터의효과적인필터링과축약이필수. 효과적인필터링에는데이터수집규칙을설정하는작업필요. 클리핑레벨 (clipping level) 을설정하여잘못된패스워드로일정횟수이상접속하면로그를남기도록하여조정가능.
주요기능 침입탐지 오용탐지기법 이미발견되고정립된공격패턴을미리입력해두었다가해당하는패턴이탐지되면알려주는것. 비교적오탐률이낮고효율적이지만, 알려진공격외에는탐지할수없고대량데이터를분석하는데는부적합하며어떤순서로공격을실시했는지에대한정보를얻기어려움. 오용탐지기법의또다른형태인상태전이 (state transition) 방법은공격상황에대한시나리오를작성해두고각각의상태에따른공격을분석하는것. 결과가매우직관적이지만세밀한시나리오를만들기가어렵고추론엔진이포함되어시스템에부하가능. 이상탐지기법 정상적이고평균적인상태를기준으로급격한변화를일으키거나확률이낮은일이발생하면알려주는것. 인공지능침입탐지시스템은스스로공격을판단하고결정을내려알려주지만, 판단근거가확실치않고오탐률높음. 면역시스템은새로운공격을당하면스스로학습하여다시그공격이발생하면대응, 재설치를하면처음상태로되돌아가는것이단점. 인공지능과면역시스템은아직개발단계로다른침입탐지시스템과병행하는형태로만운용되고있음.
주요기능 침입탐지 책임추적및대응 침입탐지시스템은기본적으로침입을알려주는시스템. 최근에는공격을역추적하여침입자의시스템이나네트워크를사용하지못하게하는능동적인기능이많이추가됨. 이를침입방지시스템 (Intrusion Prevention System, IPS) 이라고함.
설치위치 침입탐지시스템의위치
설치위치 ❶ 패킷이라우터로들어오기전 네트워크에실행되는모든공격탐지가능. 공격의도를가진패킷을미리파악할수있지만공격이아닌패킷을너무많이수집하고내부네트워크로침입한공격과그렇지않은것이구분되지않아효율적인대응이어려움. ❷ 라우터뒤 라우터의패킷필터링을거친패킷검사. 패킷필터링과정에서단순한공격패킷이걸러지므로더강력한의지를가진공격자탐지가능. ❸ 방화벽뒤 방화벽뒤에서탐지되는공격은네트워크에직접영향을주므로공격에대한정책과방화벽연동성이가장중요. 내부에서외부로향하는공격도탐지할수있어내부공격자도어느정도탐지가능. 침입탐지시스템을한대만설치할수있다면이곳에설치하는것이좋음. ❹ 내부네트워크 내부의클라이언트를신뢰할수없어내부네트워크해킹을감시하려할때설치. ❺ DMZ DMZ 에침입탐지시스템을설치하는이유는능력이매우뛰어난외부및내부공격자에의한중요데이터의손실이나서비스중단을막기위함. 중요데이터와자원을보호하기위해침입탐지시스템을별도로운영하기도함.
설치위치 침입탐지시스템의설치우선순위는 ❸ ❺ ❹ ❷ ❶ 네트워크의목적에따라중간에 NIDS를선택적으로설치가능. HIDS는유지, 관리비용이너무많이들어서웹서버와같이사업을유지하는매우중요한시스템에만설치.
개발이유 방화벽이공격을차단하는비율은 30%. 공격에대한능동적인분석과차단을수행하기위해침입방지시스템 (Intrusion Prevention System, IPS) 개발. 필요성 방화벽은 IP 주소나포트에의한네트워크공격을차단할수있지만응용프로그램수준의공격과새로운패턴의공격에대한적응력이무척낮고실시간대응을할수도없음. 침입탐지시스템은실시간탐지는가능하지만대응책을제시하지못하기때문에대안필요. 취약점발표후실제공격까지하루가채걸리지않는제로데이공격 (zero day attack) 이많음.
동작원리 침입방지시스템은침입탐지시스템과방화벽의조합. 침입탐지기능을수행하는모듈이패킷하나하나를검사, 분석하여정상적이지않으면방화벽기능의모듈로패킷차단. [ 그림 10-12] 침입방지시스템의동작원리
동작원리 공격의종류와기술이다양해지면서모든유형의패턴을등록하여차단할수는없음. 침입방지시스템에가상머신 (virtual machine) 을이용한악성코드탐지개념도입. [ 그림 10-13] 가상머신을이용한침입방지시스템의동작원리 가상머신을이용한탐지는네트워크에서확인되는실행파일, 악성코드와같은형태, 공격으로보이는패킷등을분석하지않고침입방지시스템에내장된가상머신에보내그대로실행시키는것. 가상머신에서실행된코드나패킷이키보드해킹이나무차별네트워크트래픽생성등악성코드와유사한동작을보이면해당패킷을차단.
설치 침입방지시스템은일반적으로방화벽다음에설치. 방화벽이네트워크앞부분에서불필요한외부패킷을한번걸러주어더효율적으로패킷검사가능. [ 그림 10-14] 침입방지시스템과방화벽의구성 방화벽없이침입방지시스템만설치하기도함. 하드웨어칩으로만든 ASIC(Application Specific Integrated Circuit) 를소프트웨어로많이이용.
양대일, 정보보안개론 ( 개정 3 판 ), 한빛아카데미, 2018 양대일, 정보보안개론과실습 ( 개정판 ), IT CookBook, 2011 박영호, 문상재. (1995). OSI 참조모델의네트워크계층보호프로토콜. 정보보호학회지, 5(2), 64-73. 장성렬, 이영경, and 이경현. " 보안성을개선한 WEP 프로토콜제안." 한국멀티미디어학회학술발표논문집 (2002): 271-274. 강유성, et al. " 무선 LAN 보안취약점과단계적해결방안." 한국통신학회지 ( 정보와통신 ) 20.7 (2003): 117-128. Kavitha, T., and D. Sridharan. "Security vulnerabilities in wireless sensor networks: A survey." Journal of information Assurance and Security 5.1 (2010): 31-44.
Q & A