2020.11.10 침입차단시스템

침입차단시스템
 - 접근통제 , 로깅 및 감사추적,인증,무결성,트래픽 암호화, 트래필 로그

종류
- 패킷 필터링 (IP,Port)
- 어플리케이션 게이트웨이 (7계증, protocol 별 데몬)
- 서킷게이트웨이 (5-7 계층, 일반적인 proxy, 클라이언트 측에 서킷 프락시를 인식할 수 있는 수정된 클라이언트 프로그램이 설치)
- 하이브리드 방식 : 패킷 필터링과 어플래케이션을 혼합

베스천 호스트
 - 꼭 하나가 아니며, 방화벽과 동일하지 않음
 - 베스천 호스트의 위치 중 한 곳에 방화벽이 있음

스크링 라우터
  - 3계층 네트워크와 4계층 트랜스포트 계층에서 실행
  - 외부와 내부 경계선에 존재, 일반 라우터에 패킷 필터링 규칙을 적용
  - 세부적인 규칙 적용이 어렵고 규칙을 많이 걸면 부하가 발생
  - protocol의 수가 제한, 내부 방화벽과 인터넷으로 서비스를 제공하기 위한 전용 네트워크에서 사용될 때 가장 유용

이중 네트워크 호스트
  - 두개의 네트워크 인터페이스를 가진 이중 네트워크 호스트
  - 각각의 NIC에 의한 방화벽 내외부의 시스템 분리
  - 방화벽을 우회하는 것은 불가능
  - 방화벽 침해나 파괴는 전체 네트워크 마비
     = 인터넷의 트래픽이 적을 때, 트래픽이 사업상 중요하지 않을 때, 인터넷 서비스가 없을 때, 중요한 데이터를 포함하지 않을 때

스크린 호스트
  - 스크린 라우터에서 1차 패킷 필터일, proxy(베스천 호스트 등) 와 같은것으로 2차 방어
  = 내부로 가는 패킷을 베스천 호스트를 거쳐 가게됨
  = 스크린 호스트구조를 일반적인 웹서버로 사용하는 것은 부적절
     == 인터넷 접속이 거의 없을 때 

스크린 서브넷
   = 방화벽이 공격을 당해도 내부 네트워크를 장악하지 못하게 하기 위함
   - 경계선 네트워크 + 스크린 호스트 구조로 구성
   - 베스천 호스트가 점령되어도 내부 방화벽이 방어가 가능

   독립 스크린 서브넷 : 높은 수준의 보안 유지, 일부분을 인터넷에 독립적으로 사용하고자 할 때
   분활 스크린 서브넷 : 높은 수준의 보안 유지와 인테넷 서비스를 제공하면서 높은 보안을 유지


여러개의 베스천 호스트 사용 권장
내부 라우터와 외부 라우터를 병합이 좋음(경계선 네트워크는 존재해야 한다)
베이스천 호스트와 외부 라우터를 병합하는 것이 좋다(낮은 대여폭 :  외부 라우터 + 베스천 호스트)
여러개의 외부 라우터를 사용하는 것이 좋다
베이스천 호스트와 내부라우터를 병합하는 것은 위험
여러개의 내부 라우터를 사용하는 것은 위험

==============================================================
침입탐지 시스템
 - 대상 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지

네트워크기반 IDS , Host 기반 IDS , 하이브리드 IDS

침입모델 기반
  - 오용 탐지 : 알려진 공격법이나 보안 정책을 위반한 행위에 대한 패턴을 지식 데이터베이스로 부터 찾아서 특정 공격들과 시스템 취약점에 기초한 계산된 지식을 적용하여 탐지해내는 방법으로 지식 기반 탐지 , 정확도 높음, 알려지지 않은 공격 미탐지
 - 비정상적인 행위탐지 : 예상된 행동으로부터 이탈하는지 확인, 높은 확률의 잘못된 정보로 정확성 문제 발생

침입탐지시스템 프로세스
  데이터 수집 , 데이터 가공 및 축약 , 분석 및 칩입 탐지, 보고 및 대응

침입탐지 시스템 침입판정
  - 지식 기반 침입 방지(오용탐지)
  - 행위기반 침입탐지(비정상 해위 탐지)

FP(False Positive) : 오탐 - 정상을 오류로 탐지
FN(False Negative) : 미탐 - 오류를 탐지하지 못함

침입방지시스템(IPS)
  IDS + F/W 

==============================================================

사설 가상망(VPN)
  - 핵심 기술은 터널링
  L2TP : 2계층 터널링
  IPSEC: 3계층 터널링(AH,ESP)
 - 데이터 암호화 및 인증 기술, 인증 기술 및 접근 제어 기술

PPTP,L2F,L2TP : 2계층

IPSec 주요 보안 서비스
 - 통신 상대방 인증, 데이터 원천(근원지) 인증, 비연결형 무결성, 기밀성, 접근 통제, 재생공격방지  
 -  AH + ESP +IKE
  = AH : 비 연결형 무결성 / 인증 서비스  - 인증데이터와 순서를 가져서 송신자를 확인하고 메시지가 송신되는 동안 수정되지 않음을 보장(데이터 인증)
  = ESP : 비 연결형 기밀성 / 무결성 / 인증 서비스 - Payload를 암호화 하여 기밀성을 제공
  = IKE : 키교환 프로토콜, 두 개체 간의 인증 , 키 및 보안에 관련된 파라미터들을 협상

  터널 모드 : IP 패킷 전체를 보호 그위에 새로운 IP헤더를 추가하는 방식
  Transport 모드 : IP 헤더 이외 나머지 데이터 부분만 보호하는 방식

SSL VPN
 - SSL Record Protocol ; 합의된 Mac을 이용한 무결성 기능 , 합의된 압축 알고리즘을 이용한 메시지 압축,데이터 암호화 무결성을 위한 MAC생성 상호인증서 교환 및 검증의 역할 상위계층 프로토콜의 캡슐화 MD5,SHA-1 사용
 - SSL Control Protocol : HandShake Protocol -  암호 알고리즘, 암호키, MAC 알고리즘등의 보안 속성을 협상 SSL에서 가장 핵심이 되는 부분 , 세션 정보와 연결 정보를 공유 보안인수의 결정 인증 협상 된 보안인수의 설명 및 에러 조건의 보고를 위한 프로토콜
                             : Change Chiper Spec Protocol - 서버와 클라이언트 상호간의 chiper spec 확인을 위해 메세지를 교환하는데 사용
                             : Alert Protocol - 다양한 에러 메시지(경고,치명적에러)를 전달

=======================================================
NAC(네트워크 접근 통제)
  네트워크 접근통제 도입 절차
    - 사전 환경조사를 거쳐 NAC의 기능을 어디까지 구현할 것인지를 설정한다
    - NAC의 설치 위치를 결정
    - 업무 역할에 따른 네트워크 범위 지정
    - 장치 및 사용자 인증에 대한 범위 및 인증 주기 결정
    - 보안 정책 적용 및 운영
    - 보안 요건 준수 점검을 톻한 준수 결과에 대한 지속적 관리
    - 추가된 장치 및 사용자에 대한 수준 및 요건 관리와 정기적 점검
 NAC 주요 기능
   - 비인가 단말 반입 차단, IP 추적 가능, IT 자산관리, 무선랜과 공유 패스워드 관리, 허갇되지 않은 외부네트워크 차단, 필수 소프트웨어 설치 유도, 운영체제 패치 적용


===========================================================
가상랜
 - 물리적으로 나누는 것이 아니라 브로드캐스팅 도메인을 나누는 것
 - 포트기반, MAC, IP, 프로토콜 기반으로 구분
===============================================
망분리 / 망연계 시스템
 - 내부 통신망과 연결된 본점 영업점의 PC 및 프린터 등 주변기기에 대해서는 물리적 또는 논리적 방식 중 한가지를 선택

외부망 보안 강화 : APT(지능형 해킹) 차단 대책 수립

=====================================================

FTP 서비스 이해
  Active 모드와 Passive 모드
   Active : 21.20 포트 사용 , 서버에서는 두개의 포트만 열면 서비스 가능
             두번째 connection은 서버에서 클라이언트로 접속
             클라이어트에 방화벽 설치시 접속 불가

  Passive : 21, 1024 이후 포트 사용
             데이터 전송하기 위해 1024번 이후 포트 사용
             서버에서 클라이언트로 접속해야 하는 모순 해결하기 위해 고안된 방식
             서버에서는 21번 포트와 1024번 이후의 모든 포트 오픈
             보안을 위해 서버에서 Passive  모드로 사용할 포트 제한

FTP 공격
   방화벽 내부에 외부에서 Anonymous 접근이 가능한 FTP서버가 있다면 방화벽의 Packet Filtering을 와전히 무시하고 침입할 수 있게 된다
   FTP Bounces(바운스 - 심장이 뛰다, 반송 - )공격을 이용하면 메일의 헤더 부분을 허위로 입력된 거짓 메일을 만들어 보낼 수 있다
  
   TFTP 특징
    - 디렉토리를 보여주지 않아도 될때
    - 사용자 인증이 불필요할 때
    - 불필요한 정보 또한 유출될 기회를 제공
    - TCP 대신 UDP 사용 69번 포트
    - 표준 문서 rfp 1350
    TFTP는 보안모드로 사용을진행

 Anonymous FTP 공격 대책
   - anonymous 사용자의 루트 디렉토리, bin,etc,pub 디렉토리의 소유자와 퍼미션을 제한
   - $root/etc/passwd 파일에서 anonymous FTP에 불필요한 항목제거
   - anonymous 사용자가 login했을때 루트가 되는 디렉토리의 소유주를 반드시 root가 되어야 하며 Permission은 555로해야한다 (쓰기권한 삭제)
   - FTP/incoming와 같이 누구나 파일을 올리수 있으면 소유주 root 권한 777 파일 시스템 분리
   - FTP 밑에 .rhosts와 .forwar 파일을 만들고 소유자 root 권한 000 파일크기 0 으로 설정
   - 주기적으로 FTPd 데몬에 의해 만들어지 로그 감시

=======================================================

메일 서비스 이해
MTA (Mail Transfer Agent) : 아웃룻이나 /bin/mail
MUA(Mail USE Agent) : sendmail 이나 exchange (클라이언트)
MDA(Mail Delivery Agent) : 메세지를 사용자 우편함에 쓰기위해 MTA가 이용하는 프로그램 - 메일 서버에서 사용자 메일 박스로 복사하는 기능
MRA(Mail Retrieval - 리트리블 회수 - Agent) : 원격지 서버에 있는 우편함으로 부터 사용자의 MUA로 메시지를 가져오는 프로그램

POP
  - 클라이언트로 서버의 메일을 가지고 오는 것으로 서버에는 메세지가 남아있지 않음(110 port)

IMAP
  - 메일일 읽고 서버에 계속 메세지를 남겨놓음(143 포트 IMAP3 는 220 포트 사용)

===========================================================

메일 서비스 공격 유형
  Active Contents 공격 : 자바스크립트나 비주얼 베이직 으로 공격
  트로이 목마 공격 : 사회공학적 기법을 이용하며 , 첨부파일을 실행시 감염됨

메일서버 공격
  - 버퍼오버플로우 공격, 서비스 거부 공객 

===========================================================

SPAM 메일 대책
  - 릴레이 허용불가, anti-spam DB, qmail 스팸차단, MS exchange 기능 설정이나 레지스터리 설정, EMWAC 메일 서버 스팸릴레이 차단

SPF : 적법, 부적합메일, 부적합메일필터링 필요, 판정불가 - 발신자 도메인 인증 
RBL : 스펨에 사용되는 IP 리스트

스팸 대응 도구
  sanitizer (사니티저 - 소독약-): 모든 공격에 효과적 
  inflex : inboud outbound 정책
  SpamAssassin : 점수
====================================================
악성 메일 및 웜 대책
  네트워크 장비  : class -map을 이용한 차단, policy-map을 이용한 차단

메안메일
  PGP : 송신자 신원을 확인함으로써 메시지가 도중에 변경되자 않음로 확인(메세지 암복호),MIME 객체에 암호화와 전자 서명을 추가한 것
  PEM : IETE , 인터넷 표준 , 유출되도 메세지 알수 없음
  S/MIME : MIME에 보안 기능을 추가 인증,메세지 무결성,송신처부인봉쇄
              봉인된 데이터,서명데이터,순수한서명,서명과 봉인된데이터

===========================================================

DNS 이해
 record Type
SOA (Start of Authority) : zone의 등록정보제공
NS(Name Server) : DNS Server 나열
A(Address) : hostname -> IP address
MX : Mail server
CNAME :  별칭 제공(www, FTP 등)
PTR(Pointer) : IP Address를 hostname으로 변환
SRV(Service) : Service Resource Record(LDAP)

====================

DNS 취약점
  DNS 캐시 포이즈닝

DNSSec : 파밍을 방어
  피싱 : 가짜사이트 유도  , 실제 도메인과 유사한 도메인 사용
  파밍 : 가짜사이트 유도  , 실제 도메인 그대로 사용, 최상위 도메인 공격

======================================

문서.rtf

0.03MB