[Ctrl + F 통해서 검색]
※ 정보보안기사 필기 시험을 준비하면서 개인적으로 기출문제 위주의 용어들을 정리한 내용입니다.
중요도가 높거나 시험에 많이 출제되는 내용은 주황색으로 표시했습니다.
TCP | Transmission Control Protocol
신뢰성 있는 연결 지향
세그먼트에 순번을 지정하여 데이터의 순서 유지
3-Way Handshaking 을 통해 연결 / 4-Way Handshaking을 통해 연결 종료
Error Control 을 위해서 Check sum , Go Back-N 기법 사용
[플래그]
SYN : TCP Connection의 최초 접속 시 연결을 요구하는 플래그
ACK : 응답 확인 플래그
PSH : 데이터를 버퍼링하지 않고 즉석에서 수신자에게 송신하는 것을 요구하는 플래그
URG : 긴급 포인터 플래그
FIN : 접속 종료 플래그 (정상 종료)
RST : 접속 종료를 위한 리셋 플래그 (강제 종료)
TCP Protocol Timer
재전송 타이머(Retransmission time out : RTO)
- 재전송 시각-초과 값으로 설정
- 세그먼트 전송 후에 재전송 타이머를 구동
왕복 시간(Round Trip Time : RTT)
- 재전송 시각-초과 값을 계산하기 위해서 왕복 시각을 계산
영속 타이머
- 교착상태 발생 및 해결
킵업라이브 타이머(Keepalive timer)
- 두 TCP 사이에 설정된 연결이 오랜 기간 동안 휴지 상태에 있는 것을 방지하기 위해서 사용
UDP | UCP Protocol
비연결성, 비신뢰성의 특성으로 패킷을 빠르게 전달할 수 있는 프로토콜
송수신의 여부에 대한 책임을 Application이 가진다.
데이터를 빠르게 전송할 용도로 사용
TCP에 비해 기능은 없지만 데이터를 빠르게 송수신 할 수 있다.
재전송 기능이 없어 네트워크에서 패킷이 손실될 수 있다.
데이터가 전송되는 것을 보장하지 않음
"다중화"는 TCP와 UDP 모두 지원 , 한 개의 포트에 여러 개의 어플리케이션이 송수신할 수 있는 기능
IDS | Intrusion Detection System | 침입탐지시스템 ★★★★★
네트워크 또는 호스트의 비정상적인 접근을 탐지하는 시스템
탐지만을 하는 시스템
침입탐지시스템을 도입하기 위해서 가장 먼저 해야할 일은
조직에서 보호해야할 자산을 선정하고 자산의 위험요소를 파악 위험요소가 파악되면 위험 분석과 대응 방법 수립
[긍정오류와 부정오류]
- 오탐 (False Positive) : "정상"적인 접근 -> "비정상"적인 접근 , 잘못 판단
- 미탐 (False Negative) : "비정상"적인 접근 -> "정상"적인 접근 , 잘못 판단
[실행 4단계]
데이터 수집 - 데이터 가공 및 축약 - 침입 분석 및 탐지 - 보고 및 대응
[분류]
★ 지식기반 침입탐지 | Knowledge-based Detection
- "비정상" 행위에 대한 패턴을 입력하여 일치하는 패턴 탐지
- 시그니처(Signature) 기반 = Knowledge 기반
- 전문가 시스템(Expert System) , 상태전이 모델 , 패턴 패칭(Signature-based Detection)
- "오용 탐지(Misuse Detection)"
- 장점 : 오탐률 낮음 , 빠른 속도 , 구현 쉬움 , 이해 쉬움
- 단점 : 새로운 패턴 탐지 불가 , 대량의 자료 분석 부적합
★ 행위기반 침입탐지
- 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상 구분
- "비정상 행위 탐지(Anomaly Detection)"
- 통계적 분석 , 예측 가능한 패턴 생성 , 신경망 모델
- 장점 : 패턴 자동 업데이트 , 새로운 패턴(ZeroDay Attack 등) 탐지 가능
- 단점 : 오탐률 높음 , 정상/비정상 기준 수립 힘듦 (임계치 설정 어려움) , 구현이 어려움
| 구분 | 오용탐지(Misuse) | 비정상탐지(Anomaly) |
| 동작 방식 | Signature 기반 = Knowledge 기반 | 프로파일 기반 = Behavior 기반 = Statistical 기반 |
| 침입판단 방법 | 미리 정의된 Rule에 매칭 이미 정립된 공격패턴을 미리 입력하고 대칭 |
미리 학습된 사용자 패턴에 어긋남 정상적, 평균적 상태를 기준 급격한 변화 있을 때 침입 판단 |
| 사용기술 | 패턴 비교, 전문가 시스템 | 신경망, 통계적 방법, 특징 추출 |
| 장점 | 빠른 속도, 구현이 쉬움, 이해가 쉬움 False Positive 가 낮음 |
알려지지 않는 공격(ZeroDay Attack) 에 대응 가능 사용자가 미리 공격패턴을 정의할 필요 없음 |
| 단점 | False Negative 큼 알려지지 않은 공격 탐지 불가 대량의 자료를 분석 부적합 |
정상/비정상을 결정하는 임계치 설정이 어려움 False Positive 가 큼 구현이 어려움 |
[침입탐지시스템 종류]
| 구분 | NIDS (Network based IDS) | HIDS (Host based IDS) |
| 동작 | 네트워크에 흐르는 패킷들 검사, 침입 판단 방화벽 외부의 DMZ나 방화벽 내부의 내부 네트워크 모두 배치 가능 |
시스템 상에 설치, 사용자가 시스템에서 행하는 행위, 파일의 체크를 통해 침입 판단 주로 웹 서버, DB 서버 등의 중요 서버 배치 |
| 자료원 | promiscuous 모드로 동작하는 네트워크 카드나 스위치 | 시스템로그, 시스템콜, 이벤트 로그 |
| 탐지기능 공격 | 스캐닝, 서비스 거부공격(DOS), 해킹 | 내부자에 의한 공격, 바이러스, 웜, 트로이목마, 백도어 |
| 장점 | 네트워크 자원의 손실 및 패킷의 변조가 없음 거의 실시간으로 탐지 가능 감시 영역이 하나의 네트워크 서브넷으로써 HIDS에 비해 큼 |
침입의 성공 여부 식별 가능 실제 해킹 및 해킹시도 판단이 용이 주로 소프트웨어적으로 서버가 같은 시스템에 설치되며 설치 및 관리가 간단함 |
| 단점 | 부가 장비가 필요함(스위치 등) 암호화된 패킷은 분석 불가 False Positive가 높음 오탐으로 인해 정상적인 세션이 종료 DoS의 경우 대응이 불가능(탐지만 가능) 능동적인 대응 가능 미비 |
감시 영역이 하나의 시스템으로 한정 탐지 가능한 공격에 한계가 있음 (주로 이벤트 로그만 탐지) 오탐으로 인해 정상적인 사용자가 자신의 계정을 사용할 수 없는 문제 |
[스텔스 모드 침임탑지시스템 = 로그가 남지 않는 스텔스 스캔을 탐지하기 때문에 은닉공격 행위도 탐지]
스텔스 스캔은 포트 스캔 수행에 대해서 로그를 기록하지 않게 하기 때문에 파악하기 어려운 스캔 방법
스텔스 스캔까지 탐지하는 것으로 은닉공격 행위도 탐지한다.
침입차단시스템 | Firewall
외부의 불법적인 침입으로부터 내부를 보호하고 외부로부터 유해정보의 유입을 차단하기 위한 정책과 이를 지원하는 하드웨어/소프트웨어
[주요 기능]
- 접근 통제
- 감사 및 로깅
- 프록시 기능
- 보안정책 구현
- 사용자 인증
스위치 장비 동작 방식
Stored and Forwarding
전체 프레임을 모두 받고 오류 검출 후 전달하는 방식
VPN | Virtual Private Network | 가상사설망
인터넷과 같은 공중망을 사설망처럼 사용할 수 있도록 하는 기술
구축 비용이 비싼 전용선을 대체하기 위한 용도로 많이 사용
터널링 프로토콜과 암호화 기술 이용
VPN 구현기술 : 터널링 , 인증 , 암호화
프로토콜 분류 : IPSec VPN , SSL VPN , L2TP VPN , PPTP VPN , SSTP VPN , MPLS VPN
Ransomware | 랜섬웨어
ransom(몸값) + ware(제품) 의 합성어
사용자의 파일 및 시스템의 접근을 막고 이를 해제하는 대가로 "금전"을 요구하는 악성 소프트웨어
암호화 방식
- 대부분의 PC 에서 이루어지는 방식
- 사용자의 파일을 암호화하고 복호화에 대한 대가로 금전 요구
잠금 방식
- 주로 모바일 기기에 이용되는 방식
- 모바일 기기의 패턴, PIN 잠금 기능 등을 활성화하고 잠금 해제에 대한 대가로 금전 요구
- 해커 입장에선 암복호화 방식보다 구현하기 용이
종류
- 록키(Locky) : 자바 스크립트 파일이 들어있는 압출파일들을 첨부하여 실행시 감염되는 것으로 파일이 암호화되고 확장자가 .locky 로 변경된다
- 크립트XXX(CryptXXX) : 감염되면 파일 확장자가 .crypt 등으로 변경, 비트코인 지불 안내서를 제공 DLL 형태로 배포
- 케르베르(CERBER) : 취약한 웹 사이트 방문으로 감염되며 파일을 암호화하고 확장자가 .cerber 로 변경 , 윈도우의 볼륨 섀도우를 삭제하여 윈도우를 복구 불가능하게 한다.
- 워너크라이(WannerCry) : SMB(Server Message Block) 취얍점을 이용하여 전바푇는 것, 워너크라이에 감염되면 모든 파일에 암호를 걸어버린다. 파일 암호화 이후에 금품을 요구. 대응하기 위해 SMB 프로토콜은 UDP 137,138 포트와 TCP 139, 445를 차단해야한다.
- 페티야(Petya)
공격자는 Office 파일에 랜섬웨어 코드를 삽입하고 피해자에게 메일 발송
-> 피해자는 메일의 첨부 파일 클릭
-> 페티야는 감염 PC를 재부팅하고 하드디스크의 MFT(Master File Table) 을 암호화
-> MBR(Master Boot Record) 파괴
-> 공격자는 비트코인을 요구
IPv6
IETF에서 IPv4의 주소 부족 한계를 위해 개발한 세로운 주소체계
보안과 인증 확장 헤더를 사용함으로써 인터넷 계층의 보안기능 강화 , 헤더가 간단하다
"128비트" , 각 16비트씩 8자리
64비트 네트워크주소+64비트 인터페이스 주소
2001:0DB8:1000:0000:0000:0000:1111:2222
Stacheldraht
트리누와 TFN을 참고하여 제작된 도구로써 이들이 갖고 있는 특성을 대부분 가지고 있는 공격 도구
마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화하는 기능이 추가되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있다.
WPA | Wi-Fi Protected Access
보안에 취약한 WEP를 대체하기 위해 2003년에 IEEE802.11i에 포함하여 발표
WEP와 동일한 RC4 알고리즘을 사용하지만 보다 확장된 48비트의 Initial Vector 사용
WPA2
IEEE 802.11i 표준에 정의된 보안 규격
RSN(Robust Security Network)으로도 불린다.
AES 블록 암호화를 사용하여 RC4 스트림 암호화를 사용하는 Wi-Fi Protected Access 표준과는 구별된다
WEP와 키 관리상의 유사점을 가지고 있지만
AES 기반의 128bit 대칭키를 사용하고 블록암호모드로 CCM모드를 사용하는 CCMP 암호화 방식을 사용한다.
Tcpdump
네트워크 인터페이스를 거치는 패킷의 내용을 출력해주는 프로그램
스니핑 도구의 일종
자신의 컴퓨터로 들어오는 모든 패킷의 내용을 모두 모니터링 할 수 있다
LAN 상의 모든 트래픽을 모니터링 하기 위해서는 이더넷 스위치에 "포트 미러링"을 통해
다른 컴퓨터의 트래픽이 도착하도록 하고 이더넷 모드를 "무차별 모드"로 변경하여야
컴퓨터로 들어온 패킷을 운영체제에서 확인 할 수 있다
DoS | Denial of Service | 서비스 거부 공격
대상 시스템이 정상적인 서비스를 할 수 없도록 가용성을 떨어뜨리는 공격
[목표]
네트워크 자원 소진 : 네트워크 대역폭 소진
시스템 자원 소진 : 자원에 과도한 부하 발생
자원 파괴 : 디스크, 데이터, 시스템 파괴
[종류] * DoS 종류 기억
Ping of Death Attack = 대량의 패킷 전송으로 인한 과부하
ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 전송하면 IP 단편화 발생.
이를 재조합하는 과정에서 많은 부하가 발생하거나 버퍼 오버플로우가 발생하여 정상적인 서비스 불가
Land Attack = 출발지와 목적지가 동일한 IP
출발지와 목적지가 같은 패킷을 만들어 공격 대상이 자기 자신에게 응답하도록 만들어 부하 유발
현재는 대부분의 OS에서 해당 취약점이 해결되어 이론적으로만 존재
Smurf Attack
출발지를 공격 대상 IP로 위조한 ICMP 패킷을 브로드캐스트하여
공격 대상이 다수의 ICMP 패킷을 응답받게 만들어 부하 유발
Teardrop Attack
하나의 IP 패킷이 분할된 IP 단편의 offset 값을 서로 중첩되도록 조작
이를 재조합하는 공격 대상 시스템에 에러와 부하 유발
유사한 공격으로
Bonk : 순서번호가 1번인 단평늘 계속 보냄
Boink : 처음에는 정상적인 순서의 단편을 보내다가 점점 순서번호가 어긋낫 패킷을 보내는 방법. Bonk보다 개선
Inconsistent Fragmentation 공격
DDoS | Distributed Denial of Service | 분산서비스거부공격
분산된 다수의 좀비 PC를 이용하여 공격 대상 시스템의 서비스를 마비시키는 공격 형태
[종류]
대역폭 소진 공격
OSI 3~4계층에서 이루어짐(네트워크 계층, 전송 계층)
IP, ICMP, IGMP, UDP, TCP 등의 프로토콜 대상
전체 네트워크 가용성에 영향
- UDP Flooding
- ICMP Flooding
- DNS Query Flooding
- TCP SYN Flooding
- TCP Flag Flooding
- TCP Session Flooding
서비스 마비 공격
OSI 7계층에서 이루어짐(응용 계층)
HTTP, DNS, FTP, STMP 등의 프로토콜 대상
공격 대상 시스템만 마비
- HTTP Continuation
- CC Attack
- RUDY
- Slowloris
- Hash DoS
- Hulk DoS
* Dos 와 DDos 의 차이
- DoS
시스템의 취약점을 이용해 부하 유발
단일 컴퓨터를 이용해서 공격
하나의 호스트가 비정상인 접근을 통해 부하 유발
- DDoS
분산된 다수의 좀비 PC를 동원하여 서비스 접근
대량의 호스트가 일시에 정상적인 접근을 하는 것만으로 공격이 됨
DRDoS | Distributed Reflection Denial of Service
취약점이 있는 외부의 정상적인 서버들을 이용하여 공격을 수행하는 분산 서비스 거부 공격
- 출발지의 IP를 위조하여 정상 요청을 하면 공격 대상에 대량의 응답 값이 전달 되는것을 이용
- DDoS의 에이전트 설치의 어려움을 보완한 공격
- TCP 프로토콜 및 라우팅 테이블 운영 상의 취약성을 이용한 공격
- 정상적인 서비스를 제공중인 서버 Agent 를 활용하는 공격 기법
- 클라이언트의 특성상 외부 인터넷 서버 접속이 잦으므로 인하여 클라이언트의 보호는 어렵다
Robots.txt | 로봇 배제 표준
웹 사이트에 로봇이 접근하는 것을 방지하기 위한 규약
웹 사이트에 웹 크롤러 같은 로봇들의 접근을 제어하기 위한 규약
꼭 지킬 의무는 없음
웹 사이트의 최상위 경로(Root) 에 있어야 한다.
사이트의 url/robots.txt 를 통해 확인할 수 있다.
포트 스캔 | Port Scan
운영 중인 서버에서 열려있는 TCP/UDP 포트 검색
Open Scan | 오픈 스캔
TCP Open
포트가 열려 있을 경우 SYN+ACK
UDP Open
포트가 열려 있을 경우 응답 없음
포트가 닫혀 있을 경우 ICMP Unreachable 패킷 수신
Stelth Scan | 스텔스 스캔
세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 대상 시스템에 로그가 남지 않음
1) TCP FIN Scan
FIN 플래그를 설정하여 보냄
응답이 없으면 열려있는 것으로 판단
2) TCP ACK Scan
포트의 오픈 여부를 판단하는 것이 아닌 방화벽 정책을 테스트하기 위한 스캔
NULL Scan
NULL 플래그(모든 플래그가 0)를 설정하여 보냄
응답이 없으면 열려있는 것으로 판단
RST 패킷이 되돌아오면 닫혀있는 것
Xmas Scan
여러 플래그를 동시에 설정하여 한꺼번에 보냄
응답이 없으면 열려있는 것으로 판단
RST 패킷이 돌아오면 닫혀있는 것
SYN Scan
오픈 스캔과 대비하여 Half-Open 스캔이라고 부름
SYN을 보내 SYN+ACK이 오면 열려있는 것으로 판단
RST 패킷을 보내 접속을 끊어버림
| TCP Open | UDP Open | TCP FIN Scan | NULL Scan | Xmas Scan | SYN Scan | |
| 포트 열림 | SYN+ACK | 응답 없음 | 응답없음 | 응답없음 | 응답 없음 | SYN->SYN+ACK |
| 포트 닫힘 | - | ICMP reachable 패킷 수신 | - | RST 패킷 리턴 | RST 패킷 리턴 | RST -> 접속 끊음 |
NAC | Network Access Control
네트워크에 접근하는 접속 단말의 보안성을 검증하여 접속을 통제할 수 있는 End-Point 보안 인프라
사용 단말이 내부 네트워크에 접속하기 전에 보안 정책 준수여부를 검사해 네트워크 접속을 통제하는 보안 솔루션
- 엔드포인트(End-Point) 보안 문제를 해결하기 위해 고려된 방식
- 내부 사용자의 외부 접근에 대한 제어 및 통제
- 기업의 업무용 단말기에서 많이 사용
- 일반적으로 접근 제어를 위한 사용자 인증과 백신 관리, 채피 관리 등 무결성 체크 기능 포함
- PacketFence, FreeNAC
원격 운영체제 탐지 방법
telnet, ip port, ftp 을 연결하면 운영체제 정보가 베너에 노출
nmap -O 옵션은 운영체제를 식별할 수 있는 명령어
HTTP Get과 서버의 포워드를 grep
ICMP
시간 초과(Time exceeded)
TTL 필드값이 0인 경우 발생 ( TTL=0 )
메시지를 구성하는 모든 단편화된 조각들이 정해진 특정 시간 내에 목적지에 도착하지 못할 경우 발생
[ICMP 오류 메시지 종류]
| Type | Messages | 설명 |
| 3 | Destination unreachable | Router가 목적지를 찾지 못 할 경우 보내는 메시지 |
| 4 | Souce quench | 패킷을 너무 빨리 보내 네트워크에 무리를 주는 호스트 제지 |
| 5 | redirection | 패킷 라우팅 경로를 수정, Smurf 공격에서 사용 |
| 8 or 0 | Echo request or reply | Host 의 존재를 확인 |
| 11 | Time exceeded | 패킷을 보냈으나 시간이 경과하여 패킷이 삭제되었을 때 |
| 12 | Parameter problem | IP Header field에 잘못된 정보가 있다는 것을 알림 |
| 13 or 14 | Timestamp request and reply | Echo와 비슷하나 시간에 대한 정보가 추가 |
DHCP Spoofing
DHCP 프로토콜이 제공하는 정보를 변조하여 타겟 PC를 속이는 공격 방법
네트워크상에 동적으로 IP정보를 할당 , 사용자에게 편의를 제공하기 위한 프로토콜
DHCP의 패킷은 DISCOVER - OFFER - REQUEST - ACK 순서로 동작
1) 사용자 PC가 네트워크에 접속하면 먼저 DHCP DISCOVER 패킷을 전송
2) 해당 패킷은 네트워크 상에 존재하는 DHCP 서버를 찾는 역할
3) DISCOVER 패킷을 받은 서버는 DHCP OFFER 패킷을 DISCOVER 패킷을 보낸 PC에 전달
OFFER 패킷은 Window 환경을 제외한 나머지 환경을 Unicast로 동작
Window 환경의 DHCP 서버는 Broadcast로 동작
4) DHCP OFFER 패킷을 받은 PC는 DHCP REQUEST 패킷을 Broadcat
5) 해당 패킷을 받은 DHCP 서버는 ACK 패킷을 보냄
스니핑 | Sniffing
네트워크 패킷이나 버스를 통해 전달되는 중요한 정보를 엿보고 가로채는공격 행위
네트워크 상에 흘러다니는트래픽을 훔쳐보는행위
자신에게 와야할 정보가 아닌 정보를 자신이 받도록 조작하는 행위
스니핑 기법 : Switch Jamming , ARP Spoofing , ARP Redirect , ICMP Redirect
[대응 방법]
전송되는 패킷을 암호화하고 스니핑을 해도 그 내용을 볼 수 없게 하는 것
SSL, SSH 등과 같은 것을 사용하여 암호화를 수행
유인 이라는 기법이 있는데 가짜 ID와 Password를 전송하고 로그인 시도 여부를 확인하여 스니핑 여부를 식별
ARP Spoofing
APR 캐시 테이블을 변조하는 공격
공격자의 주소로 MAC 주소를 변경하여 패킷을 가로챌 수 있다.
네트워크 공격은 LAN에 있는 공격대상에게 MAC 주소를 속여
클라이언트에서 클라이언트로 가는 패킷이나 서버에서 클러이언트로 가는 패킷을 중도에 가로챔
[특징]
ARP는 인증을 하지 않기 때문에 ARP Replay 패킷을 각 호스트에 보내서 쉽게 ARP Cache를 업데이트함
변조된 ARP Replay를 지속적으로 보내서 각 호스트들이 ARP Cache에 변조된 MAC 주소 정보를 계속 유지 시켜야함
NIC | Network Interface Card
네트워크 장비와 LAN 사이의 통신을 준비
전송된 데이터를 병렬에서 직렬로 전환 (병렬 -> 직렬)
빠른 전송을 위해서 데이터를 코딩 및 압축
목적지 장비의 NIC는 데이터를 수신하고 CPU로 데이터 전달
OSI 모델의 Data Link 계층 기능에서 Logical Link contorl 기능과 Media Access Control 기능을 구현하도록 프로그래밍하는 하드웨어와 펌웨어가 들어가 있다.
라우터 | Router
네트워크 간 연결에 사용되는 최적의 전송 경로를 찾아 데이터를 전송하는 인터네트워킹 장비
OSI 3계층(네트워크 계층) 장비
[주요 기능]
- 패킷 스위칭
- 경로 설정 기능
- 로드 밸런싱
[동작 방식]
- 정적 라우팅 : 사용자가 수동으로 설정해놓은 경로로 이동
- 동적 라우팅 : 라우팅 프로토콜에 의해 라우팅 경로 학습 및 설정
[라우팅 프로토콜]
IGP (Interior Gateway Protocol : 내부 라우팅) : RIP, OSCF
EGP (Exterior Gateway Protocol : 외부 라우팅) : EGP, BGP
라우터 필터링 유형
1) Ingress Filtering
standard 또는 extended access-list를 활용
라우터 내부, 사내 네트워크로 유입되는 패킷을 source ip나 목적지 port등을 체크하여 허용하거나 거부하도록 필터링
대부분의 공격이 실제 존재하지 않는 위조된 ip 주소를 소스로 하여 진행되므로
인터넷상에서 사용되지 않는 ip 대역만 차단해도 비정상 패킷을 사전에 차단하는 효과가 있다.
2) Egress Filtering
ingress filtering과 반대의 개념
라우터 내부에서 라우터 외부로 나가는 패킷의 source ip 나 목적지 port등을 체크하여 필터링
외부로 나가는 패킷의 source ip는 반드시 해당 네트워크 대역인 것이 정상이며 이외의 패킷은 모두 위조된 패킷
3) Blackhole Filtering (Null Routing)
특정 ip 또는 ip 대역에 대하여 비정상적인 시도가 감지되었을 경우
가상의 쓰레기 인터페이스(Null interface)로 보내도록 함으로써 패킷 통신이 되지 않도록 하는 방법이다.
4) Unicast RPF (Reverse-Path Forwarding) Filtering
access-list 나 blackhole 필터링을 이용
일일이 ip나 ip대역을 지정하지 않고도 비정상 트레픽을 효율적으로 필터링 하는 기법
인터페이스를 통해 들어오는 패킷의 소스 ip에 대해 라우팅 테이블을 확인하여
들어온 인터페이스로 다시 나가는지 확인하는 원리이다.
VLAN | Virtual Local Area Network
OSI 모델 데이터링크 계층, 브로드캐스트 도메인을 나누기 위한 기술
물리적 배치와 상관없이 놀리적으로 왕복시간을 구성할 수 있는 기술
VLAN 태그가 상이한 네트워크간의 접속을 근본적으로 차단하여 보안성 강화
VLAN으로 구성된 논리적 그룹에 대하여 서로 다른 보안정책 적용
[예시]
집에 2개의 스위치가 있고 2개의 스위치에 각각의 컴퓨터들을 연결했다고 가정
이 2개의 스위티가 서로 연결되지 않았다고 하면 컴퓨터들은 서로 통신할 방법이 없다.
이것이 물리적 LAN 환경이다
물리적으로 서로를 떨어트려 독립적인 네트워크 구성
VLAN은 물리적 네트워크 구성이 아닌 논리적 네트워크 구성을 가능하게 한다
하나의 스위치가 있고 이 스위치에는 포트가 1~10까지 있다고 가정
1~5를 VLAN1 , 6~10 VLAN2 로 설정
물리적으로 같은 스위치에 존재해도 VLAN1 과 VLAN2는 서로 통신하지 못함
스위치의 모든 인터페이스는 동일 브로드캐스트 도메인에 포함되어 있으나
VLAN을 적용할 경우 스위치의 일부 인터페이스를 하나의 브로드캐스트 도메인으로 구성
다른 인터페이스를 또 다른 브로드캐스트 도메인으로 구성하여 여러개의 도메인을 만들 수 있다
이렇게 스위치에 의해 논리적으로 만들어진 브로드캐스트 도메인을 VLAN이라고 한다
[종류]
1) Port 기반 VLAN
스위치 포트를 각 VLAN에 할당하는 방식
가장 일반적이고 가장 많이 쓰임
2) MAC 기반 VLAN
MAC 주소를 기반으로 VLAN 구성
VLAN 구성하는 MAC 주소를 전부 등록하고 관리해야 함
각 호스트들의 MAC 주소를 VPMS(VLAN Memvership Policy)에 등록한 후 호스트가 스위치에 접속하면 등록된 정보를 바탕으로 VLAN 할당
3) 네트워크 주소 기발 VLAN
주로 IP 네트워크를 이용하여 구성
4) 프로토콜 기발 VLAN
같은 통신 프로토콜끼리만 통신이 가능하도록 구성
IPSec
보안에 취약한 구조를 가진 IP의 보안을 위하여 국제 인터넷 기술 위원회(IETF)에서 설계한 표준. RFC2401
IPv4에선 보안이 필요한 경우에만 선택적으로 사용
IPv6부터는 기본 스펙에 포함
SA (Security Association)
IPSec을 사용하는 두 Peer 간의 협약
SP (Security Policy)
일종의 패킷 필터링 정책
- Incoming Traffic 과 Outgoing Traffic 으로 구분
- IP 패킷의 허용/우회 , 폐기, 보호 등을 지원
2+1 프로토콜
1) AH (Authentication Header)
AH (Authentication Header)는 IP Extension Header로서 IP Packet에 대한 인증을 제공
- 메세지 인증 코드(MAC)를 이용하며 무결성(Data Integrity)과 인증(Authentication) 기능 제공
- 암호화는 제공되지 않음
2) ESP (Encapsulating Security Payload)
새로운 데이터 IP Packet을 만들고 기존 IP Packet을 Data Payload에 넣어 감싸는 방식
- AH가 가진 무결성과, 인증도 제공하고 추가적으로 대칭키 암호화를 통해 기밀성(Confidentiality) 제공
3) IKE (Internet Key Exchange)
- IPSec에서 키 교환에 사용되는 프로토콜
- UDP 500 포트를 사용한다.
VPN | Virtual Private Network | 가상사설망
인터넷과 같은 공중망을 사설망처럼 사용할 수 있도록 하는 기술
구축 비용이 비싼 전용선을 대체하기 위한 용도로 많이 사용
터널링 프로토콜과 암호화 기술을 이용
[프로토콜별 분류]
IPSec VPN
- OSI 3계층
- 네트워크 계층인 인터넷 프로토콜에서 보안성을 제공
- SSL-VPN에 비해 구조가 간단하고 속도가 빠름
- 구축 시 전용 하드웨어 장비가 필요
- 사용 시 전용 클라이언트 SW가 필요
SSL VPN
- OSI 4계층
- IPSec VPN에 비해 비용이 적게 들지만 속도가 상대적으로 느림
- 별도의 장비나 클라이언트SW 없이 웹브라우저만으로 동작
- 웹서버 및 브라우저에 내장된 인증서를 통해 암호화/복호화
L2TP VPN
- OSI 2계층
- L2F(계층 2 포워딩 프로토콜)와 PPTP(지점간 터널링 프로토콜)가 결합된 프로토콜
- IPSec과 함께 결합된 경우 PPTP보단 우수한 보안성을 제공
- 터널링 프로토콜로, 암호화를 제공하지 않기 때문에 IPSec과 함께 쓰임
PPTP VPN
- OSI 2계층
- PPP와 IP를 결합하여 터널링 기능을 제공하고, RC4를 이용한 암호화 기능을 제공
- 결함이 많이 발견되었으며 현재는 보안상 취약한 프로토콜로 분류
- 하나의 터널에 하나의 연결만을 지원하여 1:1 통신만 가능
SSTP VPN
- 마이크로소프트에서 소유권을 가지고 있는 프로토콜로 윈도우에서만 사용 가능
- SSL을 이용하며, 기본 포트인 443번을 이용하여 방화벽에 막힐 불상사가 적음
[출처]
https://itinformation.tistory.com/25 [정보보안 스토리]
'자격증 > 정보보안기사' 카테고리의 다른 글
| 정보보안기사 필기 - 모의고사 (0) | 2020.03.11 |
|---|---|
| 정보보안기사 필기 - 정보보안 관리 및 법규 (0) | 2020.03.09 |
| 정보보안기사 필기 - 정보보안 일반 (0) | 2020.03.08 |
| 정보보안기사 필기 - 애플리케이션 보안 (0) | 2020.03.03 |
| 정보보안기사 필기 - 시스템 보안 (0) | 2020.03.02 |