정보보안기사 필기 - Part 2. 네트워크 보안

정보보안기사 필기

Part 2. 네트워크 보안

---

OSI 7계층

 

1. Application (응용) : 사용자에게 서비스 제공 (FTP,SNMP, HTTP, Mail ....) 게이트웨이
   
   
2. Presentation (표현) : 포맷, 압축, 암호화, 텍스트/그래팩 16진수 변환(GIF,ASCII,EBCDIC)
   
   
3. Session (세션) : 가상연결, 통신 방식 (반이중, 전이중, 완전이중) 결정 (SSL)
   
   
4. Transport (전송) : 에러제어, 데이터흐름제어, 논리적 주소 연결, 신뢰도/품질 보증(TCP,UDP)
   
   
5. Network (네트워크) : 라우팅, 논리적 주소 연결(IP), 데이터 흐름 제어(IP,ICMP, ARP, RIP, OSPF,BGP) 라우터
   
   
6. Data Link (데이터링크) : 물리적 결정, 에러제어, 흐름제어 (PP2P,L2TP) 브릿지, 스위치
   
   
7. Physical (물리) : 전기적, 기계적 연결 정의(케이블, 광섬유) 케이블, 리피터
   

---

응용 계층

 

 

• HTTP(TCP :80 , State-less)

• 전송방식
  • Get : 쿼리스트링(url) 데이터 전달
  • Post : Http body 데이터 전달, 크기 제한 없음
  • Options : 음답 메시지 없이 전송
  • Put : 메시지 + 데이터요청 URL 포함
  • Delete : URL 지정된 자원 삭제
  • Trace : 경로 기록
  • HTTP Header - body 구분 \r\n\r\n

---

정보 유지방법 

 

Cookie : 클라이언트에 정보 저장 Text, 최대 4kb

Session : 서버에 정보 저장 , Object

---

SMTP (Simple Mail Transfer Protocol, 25) : 전자우편 표준 프로토콜

 

Store-and-Forward 방식

MTA(Mail Transfer Agent), MDA(Mail Deilvery Agent) , MUA(Mail User Agent)

MDA // POP3(TCP 110) : 수신후 메일 삭제, IMAP(143) : 수신후 메일 저장

---

FTP (File Transfer Protocol) : 파일 전송 프로토콜

 

등록된 사용자만 파일전송 가능, 그 외는 익명으로 사용

ftpusers : FTP 차단 유저

전송모드

Active Mode (TCP : 21,20)

21번 포트 : 접속

20번 포트 : 데이터 전송

Passive Mode (TCP : 21, 1024 ~)

21번포트 : 접속

1024~65535번 : 데이터 전송(Random)

 

---

SNMP(Simple Network Management Protocol) :

네트워크 장애, 통계, 상태 정보를 실시간으로 수집 및 분석 하는 네트워크 관리 시스템

---

전송계층

송/수신자 논리적 연결, 연결지향 서비스 제공

TCP(Transmission Control Protocol) :

클라이언트- 서버 연결 지향

신뢰성 있는 데이터전송, 에러제어(FEC,BEC), 흐름제어(슬라이딩 윈도우), 순서제어, 혼잡제어(TCP Slow Start, Go-Back-N)

---

 

완전 이중

netstat : TCP 상태 정보 확인

---

UDP(User Datagram Protocol) ex Voip

데이터 송수신 속도 빠름

비신뢰성

비접속형

---

인터넷 계층

송신자 - 수신자 IP주소 경로 결정, 전송 / 패킷 전달에 대한 채깅ㅁ

패캣 + IP Header : Datagram

라우팅 : IP 헤더에서 IP 주소를 읽어 경로 결정

---

 

 

IP(Internet Protocol) // TCP/IP

 

IPv4(128), IPv6(128)

주소화, 데이터그램 포맷, 패킷 핸들링

MTU(Maximum Transmission Unit) : 한번에 통과할 수 있는 패킷의 최대 크기(ifconfig, ipconfig 확인 가능)

IP : 네트워크 주소 : 호스트 주소

---

ICMP(Internet Control Message Protocol) Ping

오류제어 프로토콜
질의 메시지 기능

 

ICMP 메세지
3 Destination Unreachable (목적지 찾을수 없음)

4 Source quench(패킷이 너무 빨라 네트워크 제어)

5 Redirection(패킷 라우팅 경로 수정, Smurf)

8 | 0 Echo request / reply (Host 존재 확인)

11 Time exceeded (시간경과, 패킷 삭제)

12 Parameter problem (IP Header 잘못된 정보 있음)

13 | 14 Timestamp request | reply (비슷한 시간에 정보 추가)

---

ARP/RARP

ARP(Address Resolution Protocol)

IP 주소를 MAC 주소로 변경

ARPCache Table : MAC , IP 주소를 보유하고 있는 테이블

RARP (MAC 주소를 IP주소로 변경)

---

 

네트워크 접근 계층 (데이터링크, 물리) : IP주소 > MAC주소 변환, 에러제어, 흐름제어

CSMA/CD(Carrier Sense Multiple Access / Collision Detection) : 유선 랜 메시지 송수신 방법
충돌을 감시하여 비어있는 채널을 재사용하게 만듬

CSAM/CA(Carrier Sense Multiple Access / Collision Avoidence) : 무선 랜 메시지 송수신 방법
수신자에게 간단한 전송을 유발하여 프레임을 전송하는 방법

---

네트워크 기반 공격 기술의 이해 및 대응

 

서비스 거부 공격 (Dos : Denial of Service) : 특정 서비스를 계속적으로 호출하여 컴퓨터 자원 고갈 (CUP, Memory, Network) 로직공격(IP Header 변조), 플로딩 공격(무작위 패킷 공격)

DDos(Distributed Denial of service) : 다수의 분산되어 있는 공격자 서버로 특정 시스템을 공격하는 방법

DDos(분산 서비스 공격)

1. TCP SYN Flooding : TCP SYN패킷을 이용하여 수많은 연결 요청을 통해 일반 사용자의 가용성을 저해 시킴
   
   
2. ICMP Flodding(Smurf Attack) : ICMP 패킷 이용 서비스 및 포트가 필요 없음
   
   
3. Tear Drop : Fragment 재조합 취약점 이용, offset 값을 조작하여 중첩 유발
   
   
4. Ping of Death : Ping을 이용하여 ICMP MTU이상의 패킷 크기 조정
   
   
5. Land Attack : 송신자 IP주소 - 수신자 IP 주소를 같게 설정 트래픽 유발
   
   
6. HTTP Get Flooding : 정상적 연결 이후 HTTP Get 지속적으로 요청 -> 다량의 Request 호출
   
   
7. Cache Control Attack : Cache-Control Header 옵션을 사용하여 항상 새로운 페이지를 요청
   
   
8. Slow HTTP Get/Post Attack : Get(TCP/UDP) - 정상 IP 기반 공격, 소량의 트래픽/세션 연결 Post-Post지시자 사용, 대량데이터를 장시간에 걸쳐 분할 연결
   
   
9. Hash DoS : 해시테이블의 인덱스 정보가 중복되도록 유도 조회 시 CPU자원 소모
   
   
10. (HTTP Get, Post Request 시 변수를 해쉬테이블 구조로 관리)
    
    
11. Hulk DoS: 공격대상 URL을 지속적으로 변경하여 DDos 차단 정책 우회 Get Flooding 수행

---

포트스캐닝 (Port Scanning) : NMAP

1. TCP Open Scan : 3-Way-Handshaking을 이용하여 포트 확인 , 연결 수립
   (Open : SYN+ACK, Close: RST+ACK)

2. TCP Half Open Scan : SYN 패킷 전송 응답 정보로 포트 확인, 연결 X

   (Open : SYN+ACK, Close : RST+ACK)

3. FIN Scan : FIN 패킷 전송 (Open : 응답 X, Close : RST)

4. UDP Scan : UDP 패킷 전송 (Open : 응답 X, Close : ICMP Unreachable) 신뢰성 낮음

5. X-MAS Scan : FIN,PSH,URG 패킷 전송 (Open : 응답, Close : RST)

6. NULL Scan : NULL 패킷 전송 (Open : 응답 X, Close : RST)

---

스니핑 공격(Sniffing Attack) : 수동적 공격 , Promiscuous 모드 사용, Tcpdump 이용

 

Session Hijacking : 스니핑 공격을 이용하여 이미 인증을 받은 세션을 탈취하여 인증 우회

(Hunt, Arpsppof, IPWatcher, Ferret, Hemster, WireShark)

---

스푸핑 공격 (Spoofing Attack)

TCP/IP 구조 취약점을 이용하여 IP 변조 후 SynSlooding , 인증 우회

ARP Spoofing : 클라이언트 MAC 주소를 탈취하여 서버 인증 우회, 연결이 끊어지지 않도록 Releas 해야함

---

네트워크 대응 기술 및 응용

 

침입차단 시스템(Firewall) : 네트워크 경유 후 트래픽 모니터링, 접근 통제

• 인바운드 : 외부에서 내부로 들어오는 규칙
• 아웃바운드 : 내부에서 외부로 나가는 규칙

1. 패킷필터링(네트워크, 전송계층) : IP주소 , Port 번호 등을 이용해 접속 제어, 유연성 높음
   
   
2. 애플리케이션 게이트웨이(응용계층) : Proxy Gateway , 보안성 우수, 유연성 결여
   
   
3. 회선 게이트웨이 (응용-세션 계층) : Client 측에 Proxy를 인식할 수 있는 수정된 프로그램, 관리 수월
   
   
4. 상태 기반 패킷 검사(전 계층) : 세션 추적 기능, 방화벽 표준, 내부 대응 어려움
   
   
5. 심층 패킷 분석(DPI : Deep Packet Inspection) : 콘텐츠 까지 모두 검사 상태기반 패킷 검사에서 발전

---

침입차단 시스템 구축 유형

스크리닝 라우터 : 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 permit/drop

배스천 호스트 : 내부 네트워크 전면에서 내부 네트워크 전체를 보호, 외부 인터넷과 내부 네트워크 연결

듀얼 홈드 호스트 : 2개의 NIC로 외부 네트워크와 내부 네트워크 연결, Proxy 기능

스크린드 호스트 : Packet filtering Router(패킷 perm/drop), Bastion Host(패킷 인증) 구성

스크린드 서브넷 : 외부네트워크와 내부네트워크 사이에 하나 이상의 경계 네트워크 생성
(스크리닝 라우터 2개, 배스천 호스트 1개)

---

침입탐지 시스템(Intrusion Detection System : IDS)

 

DB에 저장된 패턴정보를 바탕으로 시스템의 침입을 실시간으로 모니터링하는 보안 시스템 (수동적)

• 오용탐지 : 침입패턴 - 활동로그 비교, 오탐율 (FP) 낮음, 새로운 패턴 탐지 불가능 (패턴비교, 전문가 시스템, 유전 알고리즘)
  
  
• 이상탐지 : 정상패턴 - 활동로그 비교, 오탐률 높음 , 새로운 패턴탐지 가능 (신경망, 통계, 특징 추출, 머신 러닝)
  
  
• NIDS(Network based IDS) : 네트워크 패킷 검사(Dos, 해킹) 부가장비 필요
  
  
• HIDS(Host based IDS) : 시스템상에 설치, 시스템 로그 검사(바이러스, 웜)
  
  
• Snort : 패킷 탐지 침입탐지 시스템
  Alert tcp any any -> any any | (msg: “massage”; sid : 10000000; content:”content” flag:SYN) 룰 헤더 룰 옵션 Action (alert,log, pass,dynamic) Derection -> <> Msg : log 내용 Content : 검사할 콘텐츠 내용 Nocase : 대소문자 구분 x
• Flag(SYN, FIN, PSH) : 패킷검사
  
  
• Sid : 고유 ID
  
  
• <룰 옵션>
  
  
• Protocol(TCP,UDP,IP) 송신지, 수신지(any,127.0.0.1)
  
  
• <룰 헤더>

---

침입대응 시스템(Intrusuon Prevention System : IPS)

 

공격 시그니처를 찾아 비정상 패턴을 감시하고 차단 (능동적)

---

 

허니팟 (Honeypot)

의도적으로 취약한 사이트를 해킹에 노출시켜 해킹 기법, 행동 분석

---

가상 사설망(Vitrual Private Network)

 

공중망을 이용하여 사설망을 가상으로 구축하는 방법(USB 사용 인증)

1. SSL VPN : 웹브라우저 (SSL)을 아용한 VPN 소프트웨어 설치 필요 없음 (인증, 무결성, 기밀성, 부인 봉쇄)
   
   
2. IPSEC VPN : 터널모드 (전체 암호화, 새로운 헤더 생성), 전송모드(End to End 보안)을 이용한 VPN
   
   
3. PPTP VPN : IP 네트워크에 전송하기 위한 터널링 기법 (네트워크 계층)
   
   
4. L2TP VPN : PPTP 호환성 터널링 프로토콜 (네트워크 계층)

---

NAC (Network Access Control)

 

등록되지 않은 단말기 식별 , 차단 (End Point 솔루션), 네트워크 무결성

1. 정책 관리 서버 : 정책설정, 접근 로그 관리
   
   
2. 차단 서버 : 단말기 통제, 단말기 정보 수집 분류, 트래픽 감지
   
   
3. 에이전트 : 사용자 단말기 설치 , 무선 인증 지원
   
   
4. 콘솔 : 웹기반 네트워크 보안정책 설정, 감사, 모니터링, 대시보드 제공

---

ESM(Enterprise Security Management)

 

기업의 정보보안 정책을 반영, 보안시스템 통합한 통합 보안 관제 시스템

• 기업 자산 및 자원 관리
  
  
• 보안감사 , 상관성 분석

---

무선랜 보안 기법

1. SDR(Service Set ID) : AP는 동일한 SSID를 가진 클라이언틈나 접속 허용
   
   
2. WEP(Wired Equivalent Privacy) : IEEE 802.11b RC4 스트림암호화 알고리즘, 40bit 키사용
   
   
3. WPA(Wi-Fi Proteceted Access) : IEEE 802.1x /EAP, 128bit 동적 암호화
   
   
4. WPA2 : IEEE802.11i, WPA + AES