CISSP IT보안이론 요약: 보안통신과 네트워크 공격

1. 네트워크와 프로토콜 보안 메커니즘

보안통신 프로토콜

• SKIP: IKE에 의해 대체
• swIPe: 캡슐화를 통한 무결성,기밀성 확인
• S-RPC: 원격시스템을 인가되지 않은 코드 실행으로 부터 보호
• SSL: 기밀성,무결성을 보장하는 세션지향 프로토콜
• TLS: SSL보다 강력한 인증/암호
• SET: 트렌젝션 전송을 위한 보안 프로토콜

 

인증 프로토콜

• CHAP: 시도 응답 프로토콜
• PAP: 패스워드 인증 프로토콜
• EAP: 확장 인증 프로토콜

 

2. 가상사설망 (VPN)

터널링

• 패킷내용을 다른 프로토콜의 패킷 속에 캡슐화
  *SSL,TLS 암호화도 터널링의 종류
• 오버해드, 대역폭 소모, 감시의 어려움

 

VPN 작동원리

 

VPN 프로토콜

- PPTP

• 두 지점 간의 터널링 프로토콜. OSI 2계층
• 세션성립 패킷에 암호화가 되어 있지 않음
• 타카플러스, 라디우스 지원 안됨.

- L2F

• 2계층 포워딩 프로토콜. 암호화 없음.

- L2TP

• 2계층 터널링 프로토콜. 보안은 IPSec에 의존.
• 타카플러스, 라디우스 지원.

- IPSec

• 가장 일반적인 VPN 프로토콜. L2TP의 보안 메커니즘. IP 트래픽 보호에 사용.
• AH(인증헤더): 인증, 무결성, 부인방지 기능
• ESP(보안 페이로드 캡슐화)
  • 전송모드: IP패킷 데이터 암호화, 헤더는 암호화 되지 않음.
  • 터널모드: IP패킷 전체 암호화, 전송을 위한 헤더 추가.

 

가상랜(VLAN)

• 스위치 내의 논리적으로 분할 된 다수의 그룹들
• 트래픽 관리 기능

 

3. 원격 접근 보안 관리

원격 접근 보안 계획

- 고려사항

• 원격접속기술: 모뎀,DSL,ISDN,무선네트워킹 등
• 전송보호: VPN, SSL, TLS, SSH, IPSec, L2TP 등
• 인증 보호: PAP, CHAP, EAP, RADIUS, TACACS 등
• 원격사용자 지원: HW와 SW문제, 사용자 교육문제에 대한 지원

 

전화식 프로토콜

• PPP(Point to Point): TCP/IP 패킷을 다양한 LAN이 아닌 환경에서 전송하는 전이중 프로토콜. TCP/IP 뿐만 아니라 어떠한 LAN 프로토콜도 지원
• SLIP(Serial Line IP):  PPP보다 오래된 기술. 시리얼케이블이나 모뎀 전화식과 같은 비동기 시리얼 접속에서 TCP/IP를 지원하는 기술.

 

집중형 원격 인증 서비스

• 라디우스: 원격 전화식 연결의 인증을 중앙화
• 타카스: 인증과 허가
  • 확장된 타카스(XTACACS): 인증, 허가, 계정 분리
  • 타카스플러스(TACACS+): 확장된 타키스에서 이중인증 추가

 

4. 네트워크 주소 변환

NAT 장점(3계층)

• 적은 수의 공인IP를 할당 받아 네트워크 전체를 인터넷에 연결.
• 사설IP를 사설네트워크에서 사용하면서 인터넷과 통신 가능.
• 네트워크 형태를 인터넷에서 숨길 수 있다.
• 침입형태의 공격을 차단한다.

 

사설IP주소

• 10.0.0.0 - 10.255.255.255 (1개 A클래스)
• 172.16.0.0 - 172.31.255.255 (16개 B클래스)
• 192.168.0.0 - 192.168.255.255 (256개 C클래스)

 

상태기반 NAT

매핑DB와 연동하며 통신세션에 대한 정보를 유지
 

정적과 동적 NAT

• 정적 NAT: 사설IP와 공인IP의 고정된 매핑.
• 동적 NAT: 사설IP가 공인IP보다 많을 때 사용. NAT가 매핑DB를 유지.

*NAT은 패킷헤더를 수정하므로 IPSec과는 호환이 안됨.
 

자동 사설IP주소 할당(APIPA)

• DHCP 할당이 실패할 경우 할당
• 169.254.0.1 - 169.254.255.254 범위

 

5. 교환 기술

회선교환

• 음성에 주로 이용

패킷교환

• 모든 종류의 트래픽에 이용

가상회선

• 논리적 경로를 구현
  • PVC: 영구 가상회선
  • SVC: 스위치식 가상회선

 

6. 광역망 기술(WAN)

WAN 접속기술

- x.25 WAN연결

• 두 지점간 연결 성립을 위한 영속적인 가상회선

- 프레임 릴레이 연결

• 단일 WAN 캐리어 서비스에 다중 PVC 지원

- ATM(비동기식 전송모드)

• 셀교환 WAN 통신기술
• 연결기반 패킷 교환 기술

- SMDS

• 연결이 필요없는 패킷교환 방식

- 특수 프로토콜

• SDLC(동기식 데이타 연결 제어): 메인프레임 연결을 지원. 폴링 사용.
• HDLC(상위 데이터 연결 제어): 시리얼 동기식 연결. 전이중 통신. 폴링. 오류탐지. 흐름제어.
• HSSI(고속 시리얼 인터페이스): DTE/DCE 인터페이스 표준

 

7. 가상화

단일 컴퓨터에 하나 또는 그 이상의 OS를 제공하기 위해 사용되는 기술

보안관련 이점

• 빠르고 쉽게 백업 가능. 빠르게 복구 가능.
• 게스트OS의 악성코드 감염이 호스트OS에 영향을 주는 경우가 드물다.

 

8. 기타 보안 통제 특성

• 투명성 : 명확한 보안 메커니즘
• 무결성 검증: 해시값
• 전송 매커니즘: 전송로깅, 전송오류교정

 

9. 이메일 보안 관리

SMTP에 Open relay가 켜져있다면 SMTP서버는 전송자를 인증하지 않는다. 이 점은 스패머들의 표적이 된다.

 

이메일 보안 목표

• 부인방지
• 메시지 접근을 수신인에 제한
• 메시지 무결성
• 메시지 src인증 검증
• 메시지 전달 검증
• 메시지와 첨부파일의 민감한 내용 분류

 

이메일 보안이슈의 이해

- 취약점

• 프로토콜이 암호화를 사용하지 않음
• 악성코드를 전달하기 쉬움
• 근원지 검증 방법을 거의 제공하지 않음
• 무결성 검사가 없음
• Email DoS가 가능

 

이메일 보안 솔루션

- S/MIME

• X509 인증서
• 디지털 서명을 통한 인증·기밀성·무결성·부인방지 제공

- MOSS

• 메시지의 인증·기밀성·무결성·부인방지 제공
• MD2, MD5, RSA, DES

- PEM

• 이메일 암호화 메커니즘
• RSA, DES, X509

- PGP

• 공개-개인키 시스템.
• 표준이 아님

이메일 게이트웨이에서 첨부파일을 제거하여서 악성 첨부파일의 위험을 줄일 수 있다.
 

10. 안전한 음성통신

- 사회공학 기법

• 신뢰되지 않고 인가받지 않은 사람이 조직 내 특정 사람의 신뢰를 획득하는 방법
• 예방법: 대응법, 상호작용법을 사용자에게 교육

- 사기와 남용

• PBX(사설 전화 네트워크)사기와 남용 : 요금징수 회피, 신원 숨기기

- 프리킹

• 전화시스템을 직접 공격

 

11. 보안경계

다른 보안사항·요구사항을 가진 환경 또는 서브넷 사이에 구분되는 선.
예: LAN과 인터넷 경계, 보호영역과 비보호영역 경계
 

12. 네트워크 공격과 대응 방안

서비스 거부와 분산 서비스 거부

- 서비스 거부(DoS): 자원소비 공격

• 유형1: HW/SW의 취약점을 이용
• 유형2: 더미 네트워크 트래픽으로 서비스를 마비시키는 공격(Flooding)

- 분산 서비스 거부(DDoS): DoS 공격에 여러개의 중간 시스템(봇넷,좀비,에이전트)을 사용하는 것.

• 대책
  • DDoS 탐지 후 자동으로 차단되는 IDS, 방화벽, 라우터를 추가
  • 외부시스템으로 echo 비활성화
  • 내부로 들어오거나 나가는 스푸핑 패킷을 차단
  • 최신 업데이트를 유지

 

도청

• 통신 트래픽을 복제해서 듣는 행위
• 레코딩 툴, 스니핑 툴 등이 사용 됨
• 대책: 암호화, OTP

 

가장/숨김

• 허가 받지 않은 시스템 접근을 위해 가장하는 것
• 인증서가 절취되거나 속이는 것

 

재생공격

• 도청으로 저장된 네트워크 트래픽을 재생해서 세션 재연결을 시도하는 것
• 타임스템프로 예방 가능

 

변조공격

• 수집된 패킷을 변조한 뒤 재생
• 인증 매커니즘, 세션순서 제한을 우회하기 위해 설계

 

ARP 스푸핑

• 요청된 IP에 잘못 된 MAC 주소를 제공하는 것
• 대책: 정적 ARP 매핑 사용, ARP 캐시 감시, IDS 사용

 

DNS 오염, 스푸핑, 탈취

• DNS 오염: 트래픽을 악의적으로 재전송. DNS 시스템의 도메인 이름-IP주소 매핑을 공격자가 갱신
• DNS 스푸핑: 요청하는 시스템으로 실제 응답 대신 잘못된 응답을 보낼 때 발생
• 탈취: 캐싱 DNS 서버로 위조된 응답을 전송해서 전체 도메인의 resolution 정보를 탈취

 

하이퍼링크 스푸핑

DNS 스푸핑의 형태이거나, 간단하게 하이퍼링크 URL의 변경 등이 해당 된다.