고정 헤더 영역
상세 컨텐츠
본문
반응형
침입방지 시스템(IPS) = IDS + F/W = 능동 보안
가상 사설망 : 전용선
원격 접속
보안관리
네트워크 장비 보안
제3회_금융보안관리사_금융IT보안_제6장 IT인프라 보안 v0.7.pdf
64P
라우터를 이용한 네트워크 보안 설정
ingress : 방화벼을 중심으로 외부에서 내부로 들어오는 것
egress : 아웃바운드 = 내부서버의 악성코드에 의해서 나가는 경향이 있음
null rouging : 널 라우팅(Null Routing)이란,
IP 대역 또는 특정한 목적지 IP를 Null이라는 가상의 인터페이스(interface)로 보내버리는 방법입니다.
블랙홀 필터링(Blackhole Filtering)이라고 부르기도 합니다. 널 라우팅은 UDP 공격을 방어할때에도 많이 쓰이고 있습니다
unicast RPF : A-B-C 형태로 라우팅 하는것 (ip 스푸핑을 이용)
라우터의 인터페이스를 통해 들어오는 패킷의 소스 IP 에 대해서 라우팅 테이블 확인해서 그 패킷이 들어온 인터페이스로 다시 나가는지 확인하는 것이다.
즉, 1.1.1.1 이라는 소스 IP 달고 들어오는 패킷 있다면 먼저 그 패킷이 어느 인터페이스로 들어왔는지 본다. 그리고 라우팅 테이블을 확인하여 1.1.1.1 을 목적지로 하여 라우팅 할 때 이전과 같은 인터페이스로 나가는지 확인한다.
만약 같다면 정상적인 트래픽으로 간주하여 트래픽 통과시키고, 다르다면 스푸핑 된 패킷으로 간주하여 필터링 한다.
라우터 에서 URPF Enable 함으로써 IP Spoofing 필터 할 수 있다. 하지만, 모든 스푸핑 된 패킷을 필터 할 수 있는 것은 아니다. 현재 네트워크 환경 상 스푸핑 된 패킷이더라도 같은 인터페이스로 나갈 수 있기 때문이다.
소스 라우터 : 경로를 지정하는 것 (성능이 떨어짐 / 해커들이 많이사용)
사용하지 않는 것이 좋음
스트릭트 소스 라우팅 : 이경로 아니면 가지마
라우터보안설정
static : 수동으로 관리자가 설정하는것
Dynamic : 프로토톨이 자동으로 설정 - 보안에 취약
Reflexive Access-list IP를 세션 기반으로 필터링
Class-map, Policy Map = 와프(WAF) , html을 분석
NBAR = QOS
CAR(Committed Access Rate) QOS
네트워크보안취약점분석
대상 서정 = 탐색 (IP,포트를 검색) = 서비스 목록 탐색 = 서비스 인식
= 어플리케이션 확인 = 네트워크 취약점 확인 = 발견된 네트워크 취약점 보고
네트워크보안취약점점검분야
계정관리
접근관리
패치관리
로그관리
기능관리
네트워크취약점진단방법
ping 스캔
tcp/udp 포트 스캔
패스워드 추측
SNMP 점검
패킷 스니퍼
원격 서비스 점검
백도어 점검
수동적 공격
탐지가 어려움
telnet, ssh를 이용해서 배너 그래밍을 통해서 OS 정보를 확인
TCP/IP의 핑커프린터를 이용해서 OS 정보를 확인
포트스캔
TCP 오프 스캔 : 로그가 남음 == 모든 OS 가능
하프오픈 : 로그가 없음 (리셋을 보내서 로그를 남기지 않음) 스텔스 == 모든 OS 가능
FIN/Xmas/Null : 포트가 열리면 응답이 없음/ 닫혀있으면 응답이 있음 == OS 마다 다름
UDP : 막혀있으면 ICMP의 응답이 있음 / 열려 있으면 응답이 없음 == 로그가 남음
스니핑
허브 환경 : 랜카드 모드를 프로미어스 모드로 구성하여 패킷을 갭처 == 리눅스는 명령어로 변경이 가능
스위치 환경 : 스위치 재밍 = 부화를주어서 버퍼 overflow를 시켜 허브형태로 스위치를 다운시키는것
ARP 리다리렉션 : 중간에 해커가 자료를 받고 원래 목적지로 데이터를 전송
스푸핑 : ARP를 보내서 맥테이블을 변조시켜서 공격(ARP는 캐쉬로 남아서 지속적으로 ARP를 입력해야 한다)
스니핑 대응 방법
암호화
핑 request
안티 스니핑
ARP를 이용하는 방법
IP를 속이면 IP 스푸핑
맥을 속이면 ARP 스푸핑
레이어 4 TCP syn flooding . udp flood 공격
IP 공격
–Land Attack
–Teardrop
–Inconsistent Fragmentation 공격 : 봉크(offset 값을 모두 1로 보냄) 와 보잉크 (offset 값을 랜덤하게 사용)
ping 스머프는 ICMP 공격
–Ping of Death 공격 : 큰 데이터를 보내 MTU를 짤라내어서 공격
–스머프공격 : 다른 놈에게 공격
레이어 4 공격
–TCP Syn Flooding 공격
–UDP Flood 공격 : icmp 를 이용한 공격(오픈되지 않은 포트에 공격)
DDOS 공격대응절차
–(1단계) 공격의인지
–(2단계) DDoS 공격유형파악
–(3단계) 공격유형에따른공격방안정의및대응
–(4단계) 공격대응후사후조치
APT를 이용한 악성코드 공격이 주로 일어나게됨
분산반사서비스거부공격(DRDOS) === 에이전트를 없이 공격하는 것 (마땅한 방어 대책이 없는 공격)
–1. TCP 취약성
–2. BGP 프로토콜취약성
–3. Reflection Server 설정방법
2M
11M 2.4
54M 5G
54M 2.4
1G 2.4/5
문선랜 인증 : pSK,
암호
WEP
WPA2
WPA
무선네트워크취약점
Rouge AP 공격자가불법적으로설치한AP 이용한 공격
침입차단 시스템
G/W 방어
End to End
NAC , DLP, DRM
Byod
침입차단시스템(Firewall) 종류
–패킷필터링(packet filtering) 방화벽 = 가장 빠름, Header 만 통제
–애플리케이션게이트웨이(Application Gateway) 방식방화벽 = 응용프로그램마다 프록시를 만들어서 자세한 인증을 제공 (성능이 떨어짐, 신규마다 새로이 만듬)
–서킷게이트웨이(Circuit Gateway) 방화벽 = 슈퍼데몬을 통해서 모든 데이터 통과 : 접근제어와 인증 = 공통적인 것만 가능
–하이브리드(Hybrid) 방식방화벽 = 패킷 필터일 + 어플리케이션 게이트 웨이 를 붙여놓은것
애플리케이션게이트웨이은 Payload를 가지고 통제
두얼홈 : 하나에서 여러개 연결
스크린 호스트 : 라우터에서 ACL를 이용해서 걸러주고 proxy(베스천 호스트) 에서 걸리고
스크린 서브넷 : 방화벽 DMZ 방화벽 방식을 이용
방화벽 : ruleset 관리 = ruleset의 일몰관리가 중요
모든 서비스에 대해서 기간을 주어주고 해당기간이 다되면 연장하는 것
운영단계에서 hit 카운터를 확인하는 것
IDS : 행위에 임계치를 부여하여 진행
Host 기반 : 로그를 기반으로 탐지, 오탐이 적음, 암호화된 패킷역시 서버에서 복호화 됨으로 탐지가능 === 중요서버에다 설치
네트워크 기반 : 미러일, 서버에 부하가 없음, OS에 관련 없음, 스캔 공격을 탐지 , 암호화된 패킷은 탐지가 안됨
오용 탐지
이상 탐지 : 발견되지 않은 공격 탐지가 가능 , 오탐이 많음, 패턴 디비를 주기적으로 업데이트
네트워크 어플라이언스는 오래된 공격에 대한 정보를 가지고 있지 않음
침입탐지프로세스
데이터수집
데이터가공 및 축약
분석및침입탐지
보고및대응
오탐 : False Positive - 잘못된 것을 공격으로 오인
미탐 : False Negative - 공격을 정상으로 오인
사설 가상망
암호화
SSL - 레이어 4
IPSec - 레이어 3
PPTP,L2F,L2TP - 레이어 2
인증
터널링
접근제어 - ACL
네트워크 접근통제(NAC) - IP 관
•비인가단말반입차단
•IP 추적가능
•IT 자산관리
•무선랜과공유패스워드관리
•허가되지않은외부네트워크차단
•필수소프트웨어설치유도
•운영체제패치적용
agent 기반 NAC의 경우 온라인과 오프라인의 접근통제를 다르게 가져갈 수 있음
가상랜(VLAN)
- L2 기반의 가상화 가능
- 스위치를 구매할 때 VLAN기능이 있는 것을 구매
- port = 스위치를 분리보관해야 한다
- MAC = 스위치에 맥을 등록 (NAC 을 대체하기 위해서 많이 사용, 사용자가 적은 경우)
- IP =
- 프로토콜 기반 VLN = 가상화 , 터널링을 하기위해서 사용
물리적 망분리
- 업무용과 인테넷용망으로 분리
- 도입비용이 높음
- 높은 보안성
- 업무환경 효율성 저하
논리적 망분리
- 가상화 기술 이용
- 물리보다 비용 낮음
- 상대적으로 낮은 보안성
- 관리가 용이
감독규정은 물리적 망분리를 요구
망분리 예외 규정(망연계)
전산실
본점, 영업점
포트스캔, DDOS , 응용프로그램 시험에 나올 가능성이 높음
교과서 253 페이지
FTP
Active 모드인 경우 클라이언트가 NAT인 경우 문제가 발생할 수 있음
암호화가 되어 있지 않아 권장하지 않음
passive 모드는 서버에서 any로 포트를 열어야 하며
active 인 경우 클라이언트 에서 any로 열어야 한다
상태감시 방화벽을 이용해서 첫번재 패킷이 오면 다음번 행위에 대해서 막지 않음
ftp 보다 scp를 이용 (ssh를 이용해서 scp를 이용하면 좋음)
scp는 암호화 가정과 복호화 과정에서 시간이 많이 걸림
ftp 공격
ftp 바운스 공격
PORT 라는 명령어를 이용해서 공격(포트 스캔 공격
tftp(trivial ftp) 공격
사용자 인증하지 않음
UDP 사용 69 port
정확한 디렉토리경로를 알아야 가능
- 펌웨어 업그레이드시 사용
- 비슷한 명령어가 wget (리눅스) 를 이용한 http 통신
익명 ftp 공격
- 쓰기는 어드민만 가능
- 나머지는 읽기와 실행만 가능(555)
이메일 보안
263P
MUA : 메일 클라이언트
MTA : 메일 서버
SMTP : MUA 에서 MTA로 발송
pop (move의 개념 ), imap(143 포트) imap3 (copy의 개념 220) : 서버에서 클라이언트로 가지고오는 것
메일 클라이언트
Active Contents = 본문 공격 ( 텍스트 , MIME = 본문을 html 로 만듬 : html에 스크립트가 들어갈 수 있음 = 드라이브 by 다운로드 공격)
= 스크립트를 동작못하게 하여서 공격을 반영
트로이목마 공격 = 첨부파일 공격
exe같은 실행화일을 실행
백신이 검사
문서형 악성코드로 많은 공격
VB 매크로로 공격
메일 서버 공격
버퍼 오버 플로워 공격 :
DOS : 메일 밤 공격
스펨메일 대책
메일 제도
opt in : 사전동의
opt out : 사후 동의 === 메일을 받으면 아래 수신 거부할 수 있는 것이 있음
SFP (기술로 통제)
정상적인 메일을 보내는 것인지 확인하는것
RBL (real-time spam black lists)
스펨메일 목록을 모아놓고 관리
PGP,PEM.S/MIME 보안 메일
PGP : 암호화, 기밀성, CA가 존재하지 않음(분산 PKI), 출처인증은 하지 않음, 메세지 인증은 한다
RSA 와 IDEA 를 기반
PEM : 인테넷 표준
s/mime : 송신 부인 방지, 메세지 인증, 무결성
암호화, 해위, 서명, 암호화 서명
DNS
초기에는 host 파일에서 관리
- 캐쉬 확인 , hosts 파일, DNS 서버에 질의 하는 순서로 동작
ipconfig /displaydns = 캐쉬에 있는 내용을 확인
ipconfig /flushdns = 캐쉬를 비우는 명령
DNS 서버
- 캐쉬 , DNS 도메인의 루트 디렉토리로 이동 하는 순서(DNS root 에서 리컬시브 질의를 이용 - 이 과정에서 인증을 받지 않음 -)
- DNS 캐쉬 폴리즌 공격 : 가짜 DNS 정보를 캐쉬에 보관하게 하는 공격
레코드 유형
NS 유형, MX, PTR 유형이 중요
DNS 캐쉬 폴리즌 공격 : 가짜 DNS 정보를 캐쉬에 보관하게 하는 공격
요청시 소스 아이피를 다른 PC로 하여 DNS에 요청하여 다른 PC의 캐쉬가 변경되게 공격
DNSSEC : 질의시 마다 서명을 확인하여 위조나 변조만확인 (기밀성은 제공하지 않음)
파밍 방어 가능, 피싱은 안됨, DDOS 해당 없음, 포이즌과 스푸핑 방어 가능
DNS는 UDP 53을 이용 , 존 트랜스퍼(이차 도메인으로 요청시) 에서는 TCP 사용 , 서버와 클라이언트에 큰 자료를 주고 받을 때 TCP, 일시적 사용자 몰릴때 TCP
DNS는 TCP와 UDP 를 모두 열어야 한다
데이터 베이스 보안
정형적 보안 = DB 접근 통제
DB 암호화
데이터 가상화(테스트 데이터 생성)
비정형적 보안 = 컨턴츠 보안 == 액티브 보안 (DRM) 사용을 제한
== 패시브한 보안 (사용을 제한하니 않으나 추적성) , 워터마킹(소유권 확인), 핑커프린터(출력물 시간 , 사원번호 등)
DB 보안
DB의보안위협들은사용자의실수, 오용, 내부자의권한남용, 비정상적인접근행위및DB에대한알려진취약점들로부터기인
DB 보안목적
DB의안전한보호를위해DB에대한접근제어(Access Control)와인증(Authentication)이가미되어DB 보안정책
DB 보안과CIA
기밀성
•선별적인접근체계를만들어비인가된개인이나시스템에의한접근과정보공개·노출을막는것
•선별적인접근체계를만드는방법은먼저접근가능한데이터를선별하고(데이터분류),
•두번째로데이터에접근할수있는자격을(접근권한분류)
•DB 내중요한개인정보를저장하고있는사람들의프라이버시를유지하는데필요한최소한의필수조건
•-대표적인기밀성유지방안: 접근제어와암호화
무결성 = 누락이나 중복이 없고, 현행화 되어 있는것
•정당한방법에의하지않고는데이터가변경될수없음을의미
•데이터의정확성및완전성을보장하고그내용이고의혹은악의로변경되거나훼손또는파괴되지않음을보장
•DB에서의무결성은접근제어와의미적무결성제약(Semantic Integrity Constraints) 을함께적용
가용성
•정당한권한을가진사용자나애플리케이션에대해원하는데이터에대한원활한접근을제공하는서비스를지속할수있도록보장하는것
•컴퓨팅시스템이정확하게정보를저장·처리하고, 보안통제가그것을보호하며해당정보에접근하는데사용되는통신채널이정확하게기능되어야함
데이터 무결서 저하 유형
인식 불가 데이터 : 유효하지 않은 데이터
중복 데이터 : 정규화 되지 않은 데이터
모순된 데이터 : 서로 다른 데이터
데이터 이상 : 삭제, 수정에 대한 이상
데이터 읽기 비일관성
데이터 비동시성
데이터 설계이상 발생시 지속적인 문제가 발생
DB 보안 모델
접근 통제 행렬(ACM)
주체와 객체로 나누어서 접근 통제
기밀성 모델 (벨 라파듀엘)
사용자, 계정, 프로그램등의주체와릴레이션, 튜플, 속성, 뷰, 연산등의객체를보안등급을
①극비: Top Secret, ②비밀: Secret, ③일반: Confidential, ④미분류: Unclassified) 로분류
제약조건
•단순보안규칙: 주체는자신보다높은등급의객체를읽을수없다. (No-Read-Up)
•★(스타)-무결성규칙: 주체는자신보다낮은등급의객체에정보를쓸수없다. (No-Write-Down)
–주체가높은등급의정보를낮은등급으로복사하여유출을시도하는것을방지하기위함으로정보의기밀성보호를위한제약이다.
–강한★(스타) 보안규칙: 주체는자신과등급이다른객체에대하여읽거나쓸수없다.
무결성모델(Biba 모델)
•기밀성모델에서정보비밀성을위해정보의일방향흐름통제를활용하는경우, 발생가능한정보의부당변경등을방지하기위한보안모델
제약조건
•단순보안규칙: 주체는자신보다낮은등급의객체를읽을수없다. (No-Read-Down)
•★(스타)-무결성규칙: 주체는자신보다높은등급의객체에정보를쓸수없다. (No-Write-Up)
감사추적(Audit Trail)
로그에 대한 추적
OS는로그를 이용 탐지
데이터 베이스 로그는 탐지와 복구의 기능
취약점
계정관리
= 기본계정에 대한 암호롸 정책 등
= 불필요한 계정 제가나 lock 설정
접근 관리
= 원격 에서 데이터 베이스 서버로의 접근 제한
= DBA 이외 인가되지 않은 사용자 접근 제한
= 메타 데이터 접근 제한(DDL)
= 중요 설정 파일 접근 관리
옵션 관리
= 권한 관리(계정 rule)
패치 관리
데이터오염통제
input control : hash, error detection, errror correction, self checking 등
output control : 트랜잭션 유효성 검증, 권한 부여 통제, 예상결광에 대한 검증, 감사증적
DB보안
접근통제 ; MAC,DAC,RBAC
흐름통제 : 수집 (각각을 모아서 전체를 확인하는 것)
추론통제 (유추를 이용해서 확인): 별개의 정보들의 이용해서 다른 정보를 확인하는 것
접근통제정책
임의적접근통제(Discretionary Access Control)
강제접근통제(Mandatory Access Control)
비임의접근통제(Non-discretionary Access Control)
Role-based Access Control(RBAC)
Lattice-basedNon-DAC
Task-basedNon-DAC
DB 접근제어시스템
DBMS Agent 방식 = DMBS에 agent를 설치 하여 agent가 로그를 남김(DB의 커널을 수정해야하는 단점)
Proxy/In-Line방식 = 국내에서 인기 사용자 proxy DB로 구성
Sniffing 방식 = 사용자 DB 사이의 패킷을 훅에서 분석해서 탐지만 가능
(많은 양의 패킷이 있어도 분석 가능 , Tap을 이용해서 분석)
OS로 접근하여 DB의 sqlplus를 이용해서 실행하면 접근제어에 남지 않음(proxy 접근시 단점)
DB 서버에 콘솔로 접근하면 로그 남지 않음(proxy 접근시 단점)
DBA는 서버실에 입장이 불가하며 금지어 설정하여 사용
cmd, 보안계정, 시간 등을 감시
DB 암호화 방식
전송 : ssl
저장 : DB, DRM
API 방식 : 모든 sql 문장에 암복화 모듈을 제공 WAS 가 암복호화 진행(키를 was 서버에 메모리에 보관)
플러그인 방식 : DB API에 암호 모듈을 플러그인 하여 저장 (데이블은 암호화 되고 뷰는 복호화 ) =DB가 암복호화
데이터 베이스와 키서버와 분리(키를 메모리에 보관)
TDE : 스토리지를 암호화 하는것
web 서버 보안
web 서버 보안 : 엔지니어 보안
아파치, IIS
WAS 서버 보안 : 개발자 보안
OWASP 10, 행안부 지침(설계와 개발)
web 서버 : 사용자가 특정되어 있지 않음
http를 사용
get,post 메소드 사용
200 ok, 300 리다이렉트, 400(클라이언트),500(서버)은 오류
'보안 > 보안관리사' 카테고리의 다른 글
| 2020.09.15 원격실행코드 (0) | 2020.09.15 |
|---|---|
| 2020.09.01 (0) | 2020.09.02 |
| DNS (0) | 2020.08.24 |
| 메일서비스 이메일프로토콜 과 공격 방어 (0) | 2020.08.24 |
| FTP 이해 (0) | 2020.08.24 |
댓글 영역