3. 정보보안개론

    목/정보보안개론 2017. 5. 27. 14:28

    ATTACK / DEFENCE


    ITUT-X.800 

    Security Attack

    Security Mechanism

    Security Services

    Passive

    Interception

    도청, 트래픽 분석

    Encryption

    Confidentiality

    Active

    Modification

    Modification of

    Message

    Hash

    Integrity

    Key Hash

    Integrity, Authentication

    Interruption

    DoS,DDoS

    Anti-Dos

    Availability

    Fabrication

    Session Hijacking

    Sniffing+Spoffing

     Anti_spoffing

    Authentication



    1. Passive Attack

    1.1 Sniffing

    프로그램을 사용하여 트래픽을 분석하는 기술


    원리

    1) 패킷이 평문으로 되어있다.

    2) 같은 네트워크에서는 패킷이 브로드캐스팅된다.

    3) 자신의 패킷뿐만아니라 다른 패킷도 모두 수용한다.


    여기서 2,3번은 HUB환경에서 발생한다.


    1.1.1 HUB환경 스니핑

    - NIC는 브로드캐스팅, 멀티캐스팅, 자기가 목적지인 패킷만 통과시킨다.

    - 스니퍼를 통해 NIC의 모드를 Promiscuous 모드로 변경하면 모든 패킷을 통과시킨다.


    예방 방법

    - 암호화

    - 스위치를 사용

    - Promiscuous Mode를 찾아 Sniffer를 찾는다


    1.1.2 Switch 환경 스니핑

    - MAC주소를 이용하여 전송하기 때문에 Promiscuous모드로 결정하더라도 내용을 받을 수 없다.


    1) Switch Jaming( 연속적 신호 발생)

    - 스위치에 엉뚱한 MAC주소를 가진 패킷을 계속해서 보냄으로써 스위치 맥테이블을 overflow시킴

    - 주소테이블이 가득차게 되면 스위치는 모든 포트로 브로드캐스팅하는 성질을 가지데 된다.


    2) ARP Redirect

    - ARP Request : 목적지 IP주소를 갖고 해당 목적지가 어떤 MAC을 가지고 있는지 묻는 BROADCAST PACKET

    - ARP Reply: 목적지 IP 주소가 자신이라고 스위치에게 대답하는 응답패킷


    이를 이용하여 ARP 브로드캐스트 패킷이 들어왔을때 원래 대답해야할 장치보다 빠르게 자신이 그 IP를 사용하고 있다고 스위치에게 알린다.


    2. Active Attack

     - Social Engineering - SCAIENGE: 하드복구기술, Dumpster Diving, Phising 등등

     - Reply Attack - 재생공격 

    *) 예방법 : Time Stamp, Sequence Number, Nonce

     - DDoS

     - Spoffing Attack

     - Session Hijacking


    2.1 DoS


    정의)

     정상적인 서비스의 지연, 마비시키는 해킹 공격 기법 (파괴, 가용성 저하)


    성격)

    1. 파괴 - 디스크, 데이터, 시스템 파괴

    2. 시스템 자원 고갈 : CPU,메모리, 디스크 과부하

    3. 네트워크 자원 고갈 : 대역폭 고갈


    형태)

    공격자가 바로 희생자를 공격(1 Tier Attack, DoS)

    공격자가 증폭 네트워크를 통한 공격(2 Tier Attack, Smurf)

    공격자가 여러 서버를 장악한 후 클라이언트를 좀비로 만들어 공격(3 Tier Attack, DDoS)


    원리)

    - 3 Way Handshake의 취약점을 이용, 

    Syn Packet은 메모리에 Back Log Queue에 쌓여지게 되고 넘치게 된다.

    - Fragmentation / 조립의 취약점을 이용한다.


    예방법)

    TimeOut 줄임

    Back Log Queue의 증가

    IDS 설치

    방화벽을 통하여 서버에 RST를 보내 TCP Session 을 모두 지운다.


    3 Tier Attack 에서의 이름과 기능 

    Client(Attacker)

    Handler(Master)

    Agent(Zombie)

    Target(Victim)


    DoS 공격의 유형)

    1. LAND Attack

    SYN 패킷을 이용하여, 목적지 IP를 희생자 IP로 바꿔 무한 루프시키는 공격

    즉 , 소스IP = 목적IP


    대책 : 소스IP와 목적지 IP가 같은 패킷을 제거


    2. SYN Flooding

    목적지 주소를 아무렇게나 변경 후 SYN 패킷을 지속적으로 보내게 되면 목표시스템은 응답하게 되는데 응답을 무한정으로 기다리게 되어 Back Log Queue를 넘치게 하는 공격 기법


    3. Ping Of Death

    Ping : 회선의 정상적 연결을 확인

    ICMP 패킷을 고의로 아주 크게 만들어 희생자 시스템으로 계속 전송


    Fragment의 취약점을 이용한 공격


    4. Tear Drop

    Offset 조정을 이용하여 비정상인 패킷을 만들어 재조합하는 과정에서 버퍼를 넘쳐쓰게 만든다.


    Fragment의 취약점을 이용한 공격


    5. SPAMming

    대량의 메일을 다수의 사용자에게 보내 디스크 공간을 가득 채운다.


    6. Smurf Attack

    ★이용하는 기법)

    - IP Spoffing

    - ICMP 메세지

    - 브로드캐스팅

    - 증폭 Network


    순서)

    1. 공격자가 목적지 주소에 희생자 IP를 넣고 수신지에는 증폭 네트워크의 브로드캐스트 주소를 쓰는 ICMP 패킷을 만든다.

    2. 브로드캐스트 도메인에서 그 패킷을 받게되면 ICMP 오류라는걸 희생자에게 한꺼번에 보내게 된다.



    3. VPN(Virtual Private Network)

    공중망(PSTN(전화망),PSDN(데이터망),인터넷망)에 보안 프로토콜을 사용하여 사설망같은 효과를 얻는다.

    그 통로를 터널이라고 한다.


    ★3.1. 보안프로토콜

    - Application Layer - SSL / SSH

    - Network Layer - IPSec

    - Data-Link Layer - L2TP, PPTP


    3.1.1 L2TP

    Layer 2 Tunneling Protocol

    L2F(CISCO사)와 PPTP를 결합한 프로토콜이다.

    - Dial-in 사용자 인증, 라우팅 지원


    - 정보보호 서비스

    1. 기밀성이 없다. 즉, 암호화 기능이 없다. 그러므로 IPSec 같은 암호 프로토콜이 필요하다.

    2. 인증기능을 수행한다. 인증서를 사용한다.


    3.1.2 PPTP

    Point to Point Tunneling Protocol

    원격접속 프로토콜 중 PPP를 사용한다.(참고, SLip - 전송만 담당, PPP- 전송,인증,오류제어)


    - 정보보호 서비스

    1. 기밀성을 보장한다.(RC4 알고리즘을 사용)

    2. 인증기능을 수행한다. CHAP



    인증기능의 강함은 인증서 > CHAP 이다.


    Data-Link의 보안 프로토콜 정리 표

     

    암호화

    인증

    L2TP

    X

    인증서

    PPTP

    O(RC4)

    CHAP



    ★3.1.3 IPSec

    가설사설망, 다이얼 접속을 통한 원격 사용자 접속의 구현에 유용하다.


    ★- 연결 형태에 따른 모드

    Mode

    Field

    Tunneling Mode

    ESP - 암호화

    Transport Mode

    AH - 인증


    1) AH

    - IP 패킷의 인증기능을 부여한다.

    - Reply Attack을 방지한다.(Sequence Number)

    - 변조를 막기위한 MAC(Message Authentication Code) 알고리즘을 사용한다.

    - 인증, 무결성을 보장한다.


    2) ESP

    - 기밀성, 무결성, 인증을 제공한다.

    - Reply Attack의 방지한다.


    - 인증 및 암호화

     키 교환 파라메터 : IKE : ISAKMP, OAKLEY


    5 클라이언트와 서버 환경


    1) 중앙 집중 환경(중앙 집중 시스템)

    - 모든 작업들이 한 장소에서 이루어짐 (의존성이 큼)

    - 업무의 일관성, 관리 편리 하지만 사용자 효율성은 저하된다.

    2) 비중앙 집중식 환경(독립적 시스템)

    - 다수의 사이트가 상호 통신없이 독립적으로 운영

    3) 분산 시스템

    장점

    1. 자원의 공유

    2. 연산 속도의 향상

    3. 확장에 용이


    단점

    1. 보안에 취약

    2. SW 개발 복잡

    3. 관리비의 증가


    5.1 이슈


    1) 분산환경 이슈

     - Agent : 사용자를 대신하여 미리 지정된 스케줄에 따라 자동적으로 작업을 수행하는 프로그램

     - Moblie Code - 웹 브라우저를 통해 다운로드 되어 실행되는 작은 애플리케이션


    - 악성 Agent

    - 악성 Mobile Code


    2) 비분산환경 이슈


    - 바이러스 : 전염성O, 독자적으로 실행되지 못하고 다른 프로그램에 기생한다.

    - 웜 : 자기복제

    - 인터넷 웜 : 자기복제 , 전염성O

    - 트로이 목마: 서버에 심어놓고 일정주기, 이벤트가 발생했을 때만 활동

    - 논리 폭탄 : 프로그램의 논리값을 변경

    - RAT : 서버에 심어놓고 해커에 의해 활동됨

    - Prank(JOKE) : 피해 X, 장난식

    - SpyWare : 개인정보 유출

    - Adware : 광고성 악성코드

    - BackDoor(Trap Door) : 네트워크를 관리하기 위한 영역을 나쁜 의도로 사용

    저작자표시 비영리 변경금지

    ' > 정보보안개론' 카테고리의 다른 글

    5. 정보보안개론  (0) 2017.06.11
    4. 정보보안개론  (0) 2017.06.06
    2. 정보보안개론  (0) 2017.05.21
    1. 정보보안개론  (0) 2017.05.14
    7. 정보보안개론  (0) 2017.04.15
    '목/정보보안개론' 관련 글 more
    Posted by Config

티스토리툴바