반응형
<네트워크 보안>
* ICMPv4 메시지 종류
-에코 응답(Echo Reply): Type 0
-목적지 도달 불가 (Destination Unreachable): Type 3
-발신 억제(Source Quench): Type 4 (표준에서 제외됨)
-재지정(Redirect): Type 5
-에코 요청(Echo Request) : Type 8
-라우터 광고(Router Advertisement): Type 9
-라우터 간청(Router Solicitation) : Type 10
-시간 초과(Time Exceeded) : Type 11
-매개변수 문제(Parameter Problem) : Type 12
* ICMP Redirect:
ICMP Redirect 메시지(호스트-라우터 또는 라우터 간 라우팅 경로를 재설정하기 위해 전송하는 메시지)를 악용하여 특정 IP또는 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 희생자에게 전송함으로서 패킷을 스니핑하는 공격기법.
* Switch Jamming:
스위치의 맥주소 테이블의 버퍼를 오버플로우, 스위치가 허브처럼 동작하게 만드는 기법. 스위치는 fail open정책을 따르므로 문제가 발생하면 허브처럼 연결된 모든 노드에게 패킷을 전송한다.
* ARP Broadcast:
공격자가 자신이 라우터인 것처럼 mac주소를 위조하여 arp reply패킷을 해당 네트워크에 broadcast한다. (ARP Broadcast) 이를 통해 해당 로컬 네크워크의 모든 호스트와 라우터 사이의 트래픽을 스니핑하고, IP forward 기능을 통해 사용자들이 눈치채지 못하도록 함.
* IP Spoofing:
공격자가 공격대상에 IP를 속여서 라우터를 공격하는 방법. -3계층
* APT(Advanced Persistent Threat) 지능형 지속 공격
공격절차: (침-탐-수-공-유)
침투
탐색
수집
공격
유출
* 워터링 홀:
APT 공격의 한 방법으로, 공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시킨 뒤 잠복하였다가 피해자가 접속하면 감염시키는 공격
* APT 공격 사례: 마스터부트레코드(MBR) 파괴
- 2009년 7.7 디도스
- 2011년 3.4 디도스
- 2013년 3.20 사이버테러
* Open Scan
-TCP Open
포트가 열려 있을 경우 SYN+ACK이 온다.
-UDP Open
포트가 열려 있을 경우 응답이 오지 않는다.
포트가 닫혀 있을 경우에는 ICMP Unreachable 패킷을 수신받는다.
* Stelth Scan
세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 대상 시스템에 로그가 남지 않는다.
-TCP FIN 스캔
FIN플래그를 설정하여 보낸다.
열려 있을때 = 응답 없음
닫혀있을때 = RST 응답 회신
-TCP ACK 스캔
포트의 오픈 여부를 판단하는 것이 아닌, 방화벽 정책을 테스트하기 위한 스캔
대상 방화벽이 상태 기반(Stateful)인지 여부, 대상 포트가 방화벽에서 필터링되는지 여부
열 = 응답 없음 닫 = RST 응답 회신
-NULL 스캔
NULL 플래그(모든 플래그가 0)를 설정하여 보낸다.
열려 있을때 = 응답 없음
닫혀있을때 = RST 응답 회신
-Xmas 스캔
ACK,FIN,RST,SYN,URG 여러 플래그를 동시에 설정하여 한꺼번에 보낸다.
열려 있을때 = 응답 없음
닫혀있을때 = RST 응답 회신
-SYN 스캔
Open 스캔과 대비하여 Half-Open 스캔이라고도 부른다.
SYN을 보내 SYN+ACK이 오면 열린 것으로 판단하고, RST 패킷을 보내 접속을 끊어버린다.
닫 = RST,ACK
* Nmap (대표적인 포트 스캐닝 도구)
* 스캔 옵션:
-sP : ping 스캔
-sS : TCP SYN(Half-Open) 스캔
-sU : UDP 스캔
-sF : TCP FIN 스캔
-sN : TCP NULL 스캔
-b : FTP 바운스 공격 전용 포트스캔
-O : 대상 호스트 운영체제 확인
-p : 대상 포트 지정
* nmap 아웃풋 옵션
-oN : 일반(Normal) 아웃풋
-oX : XML 아웃풋
-oS : Script kiddie 아웃풋
* 가상 사설망 (VPN : Virtual Private Network) 종류
IPSec VPN (IETF)
SSL VPN
SSTP VPN (마이크로소프트-윈도우에서만 사용 가능)
MPLS VPN (ISP에서 서비스하는 VPN, 암호화 지원 X)
PPTP (마이크로소프트)
L2F (시스코)
L2TP (L2F + PPTP)
* 패킷크기(4028)
IP header(20) ICMP header(8) Data(4000)
* IP Fragmentation 과정
1. 첫번째 전송(MTU=1500)
IP header(20) ICMP header(8) Data(1472)
2. 두번째 전송(MTU=1500)
IP header(20) Data(1480)
3. 세번째 전송(MTU=1500)
IP header(20) Data(1048)
* 패킷 필터링
* Ingress 필터링
-라우터 외부에서 라우터 내부로 유입되는 패킷 필터링
-패킷의 소스 IP 나 목적지 포트 등을 체크하여 허용하거나 거부
-공통적으로 필터링 하여야할 소스 IP는 인터넷 상에서 사용되지 않는 IP 대역
-(대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함)**
-Standard 또는 Extended Access-List를 활용한다.
* Egress 필터링
-라우터 내부에서 라우터 외부로 나가는 패킷을 필터링
-라우터를 통과하여 나가는 패킷의 소스 IP는 반드시 라우터와 같은 대역이여야 함
-(라우터를 통해 나가는 패킷의 소스 ip 중 사용중인 ip 대역을 소스로 한 패킷은 허용하고 나머지는 거부 하도록 설정)
* Blackhole 필터링 (Null routing 을 활용한 필터링)
-특정한 IP 대역에 대해서 Null 이라는 가상의 쓰레기 인터페이스로 보내도록 함으로써 패킷의 통신이 되지 않도록 함
* Unicast RPF
-인터페이스를 통해 들어오는 패킷의 소스 ip 에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인
-Access-List나 Blackhole 필터링을 이용한다.
* Smurf 공격
여러 호스트가 특정 대상에게 다량의 ICMP Echo Request 를 보내게 하여 서비스거부(DoS)를 유발시키는 보안공격
소스 주소를 공격 대상 호스트로 위조한 ICMP 패킷을 브로드캐스트하면 근처의 호스트가 다량의 Echo Reply를 발생시킨다.
공격 대상 호스트는 다량으로 유입되는 패킷으로 인해 서비스 불능 상태에 빠진다.
-공격법
hping 192.168.0.255 -a 10.10.10.5 --icmp --flood
ndd -set /dev/ip ip_forward_directed_broadcasts 0 (유닉스)
- Smurf 대응
라우터에서 다른 네트워크에서 자신의 네트워크로 들어오는 IP브로드캐스트 패킷을 차단한다.
라우터에서 Direct Broadcast를 Disable시킨다.
라우터에서 Ingress Filtering을 이용하여 Spoof된 패킷(중간에 가로채서 변경)을 차단한다.
호스트는 IP브로드캐스트로 전송된 ICMP패킷에 대해 응답하지 않게 설정한다.
* DRDoS(Distributed Reflection Denial of Service)
취약점이 있는 외부의 정상적인 서버들을 이용하여 공격을 수행하는 분산 서비스 거부 공격
-출발지의 IP를 위조하여 정상 요청(request)하면 공격 대상 에 대량의 응답 값이 전달되는 것을 이용한 공격방법이다.
-DDoS의 에이전트 설치의 어려움을 보완한 공격으로 TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용한 공격으로 정상적인 서비스를 제공 중인 서버 Agent를 활용하는 공격기법이다.
-클라이언트의 특성상 외부 인터넷 서버 접속이 잦으므로 인하여 클라이언트의 보호는 사실상 어렵다.
-DDoS와의 차이
IP Spoofing의 적극적인 사용
우월한 공격자 은닉(추적 방지)
반사체(Reflector)의 사용
공격량의 증대(공격력 강화)
* DDOS 공격 종류:
* Ping Of Death Attack
ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 전송하면 IP 단편화(fragment)가 발생한다.
이를 재조합하는 과정에서 많은 부하가 발생하거나 버퍼 오버플로우가 발생하여 정상적인 서비스를 하지 못하게 한다.
* Ping of Death 의 대응 방안
-ICMP Ping에 대해 응답을 하지 않도록 설정한다. (리눅스 명령어)
sysctl -w net, ipv4, icmp_echo_ignore_all=1
* Stacheldraht
트리누와 TFN을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구이다.
마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화 하는 기능이 추가 되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있다.
* Syn Flooding Attack 대응 방법
- 3-way handshaking의 half open 취약점을 이용한 공격
1. 시스템 백로그(동시에 연결을 시도하는 최대 클라이언트 수) 큐 크기를 늘려준다.
2. 리눅스 계열의 경우 syncookies 기능을 이용하고 Windows 계열의 경우 레지스트리를 변경한다.
3. 라우터에서는 방어 솔루션인 tcp intercept를 설정한다.
4. TCP Connection Timeout 시간을 짧게 설정한다. (단, 너무 짧게 설정할 경우 정상적인 연결요청임에도 느리다는 이유로 연결이 거부되는 경우가 생긴다.)
5. 방화벽 -(예시) 공격이 시도되고 있는 포트로 유사 패킷이 1초당 10개를 초과할 경우 차단한다.
# iptables -A INPUT -p TCP --dport 80 --syn -m limit 10/second -j ACCEPT
# iptables -A INPUT -p TCP --dport 80 --syn -j DROP
6. 솔루션
Anti-DDoS, IDS/IPS, 방화벽/UTM 등 보안 장비, 솔루션을 이용하여 비정상적인 접근을 탐지하여 차단한다
* Land Attack
출발지와 목적지가 같은 패킷을 만들어 공격 대상이 자기 자신에게 응답하도록 해 부하 유발
현재는 대부분의 OS에서 해당 취약점이 해결되어 이론적으로만 존재
* Smurf Attack
-ICMP 프로토콜 취약점을 이용한 DoS공격 기법
-출발지를 공격 대상 IP로 위조한 ICMP 패킷을 브로드캐스트하여 공격 대상이 다수의 ICMP 응답 받게 만들어 부하 유발
* Smurf Attack 예시 (hping3 프로그램 사용)
hping 192.168.0.255 -a 10.10.10.5 --icmp --flood
* Smurf Attack 대응
-라우터에서 다른 네트워크에서 자신의 네트워크로 들어오는 IP브로드캐스트 패킷을 차단한다.
-라우터에서 Direct Broadcast를 Disable시킨다.
-라우터에서 Ingress Filtering을 이용하여 Spoof된 패킷(중간에 가로채서 변경)을 차단한다.
-호스트는 IP브로드캐스트로 전송된 ICMP패킷에 대해 응답하지 않게 설정한다.
-유닉스
ndd -set /dev/ip ip_forward_directed_broadcasts 0
* Teardrop Attack
하나의 IP 패킷이 분할된 IP 단편의 offset값을 서로 중첩되도록 조작하여 이를 재조합하는 공격 대상 시스템에 에러와 부하 유발
유사한 공격으로 Bonk, Boink
Bonk는 순서번호가 1번인 단편을 계속 보냄
Boink는 처음에는 정상적인 순서의 단편을 보내다가 점점 순서번호가 어긋난 패킷을 보내는 방법으로, Bonk보다 개선된 방식
이러한 공격들을 Inconsistent Fragmentation 공격 이라 한다.
* DoS 대응 절차 (모-침-초-상-차)
모니터링: 서비스 거부 공격을 탐지할 수 있는 시스템을 갖추고 모니터링을 수행한다.
침입탐지: 서비스 거부 공격으로 추정되는 공격을 탐지한다.
초동조치: 신속하게 할 수 있는 조치로 공격의 피해를 완화한다.
상세분석: 서비스 거부 공격이 맞는지, 어떤식으로 차단해야 정상 이용자에게 피해가 없을지 분석한다.
차단조치: 차단 조치를 수행한다.
* WinNuke는 다량을 패킷을 보내는 일종의 DoS공격도구
* 3.20 사이버 테러
-2013년 3월 20일 오후 2시 50분경 국내 주요 언론사와 금융권의 전산망을 악성코드에 감염시킨 공격
-방송 및 금융부문 6개사 전산망이 동시에 마비되어 최장 10일간의 복구 기간 소요
-마스터 부트 레코드(MBR)와 볼륨 부트 레코드(VBR)가 파괴되어 부팅되지 않음 → 데이터 소실
* MDM (Mobile Device Management)
① 루팅을 하지 못하도록 제어가 가능하다.
② 하드웨어적 API를 이용하여 카메라 등을 제어한다.
③ 분실된 단말기의 위치 조회 및 원격 제어가 가능하다.
* 에러 로그 위험도 (syslog):
emerg –> alter -> crit -> error -> warn -> notice -> info -> debug
* VoIP 공격 유형
bye attack, cancel attack, RTP Flooding, ARP cache poisoning, ddos
① WEP 보안프로토콜은 RC4 암호 알고리즘을 기반으로 개발되었으나 암호 알고리즘의 구조적 취약점으로 인해 공격자에 의해 암호키가 쉽게 크래킹되는 문제를 가지고 있다.
② 소규모 네트워크에서는 PSK(PreShared Key) 방식의 사용자 인증이,
대규모 네트워크인 경우에는 별도의 인증서버를 활용한 802.1x 방식의 사용자 인증이 많이 활용된다.
③ WPA/WPA2 방식의 보안프로토콜은 키 도출과 관련된 파라미터 값들이 암호화되지 않은 상태로 전달되므로
공격자 는 해당 피라미터 값들을 스니핑한 후 사전공격(Dictionary attack)을 시도하여 암호키를 크래킹할 수 있다.
* WPA2 (Wi-Fi Protected Access2)- IEEE 802.11i 표준
이 무선 랜 보안 표준은 IEEE 802.11을 준수하며, 별도의 인증 서버를 이용하는 EAP 인증 프로토콜을 사용하고 암호 키를 동적으로 변경 가능하며, AES 등 강력한 블록 암호 알고리즘을 사용한다.
* 파밍
-Private Data + Farming의 합성어로 호스트(hosts)파일 변조 등을 통해 가짜 사이트로 접속을 유도하여 개인정보 등을 탈취하는 사기 수법을 말한다.
-정상적인 사이트 주소를 입력해도 가짜 사이트로 이동하거나 정상적인 사이트로 이동하면서 가짜 팝업이 뜨게 한다.
-가짜 사이트 또는 가짜 팝업을 통해 아이디/비밀번호, 개인정보, 금융정보 등을 입력하면 공격자의 서버로 보내지게 된다.
* 파밍 공격기법:
-악성코드를 이용하여 hosts 파일 또는 hosts.ics 파일 위조
-DNS 스푸핑
-PAC(Proxy Auto-config)
* 하트비트 (Heartbeat)
일종의 Echo Request/Echo Reply처럼 서버의 기동 여부를 진단하기 위한 프로토콜
특정 Echo Request를 보내고, 반환 받을 크기를 지정하면 해당 크기만큼 Echo Reply가 온다.
* 하트블리드
-반환 받을 크기 지정 시 보낸 메세지보다 훨씬 크게 지정(최대 64KB)하여 보낼 수 있는 취약점이 존재하였다.
-OpenSSL 1.01f이전 버전에서 발생한다.
-서버의 정상 기동 여부를 진단하기 위한 프로토콜을 이용한다.
-임의의 메모리 데이터가 누출( ->피흘림)된다.
* X.509 인증서
* X.509 v3부터는 확장자의 개념이 도입
- 키 및 정책 확장자
- 주체와 발급자에 대한 속성 정보
- 인증서 경로 및 규제 정보
- CRL을 위한 확장자
* X.509 인증서 폐지 관련 설명
① 인증서 폐지 메커니즘 : X.509에 정의된 인증서 폐지목록(CRL)으로 관리
② 폐지 사유 : 인증서 발행 조직 탈퇴, 개인키의 손상, 개인키의 유출 의심
③ 인증서 폐지 요청 : 인증서 소유자 또는 인증서 소유자의 대리인이 요청
④ 폐지된 인증서 : CA의 저장소 또는 디렉터리에 저장되어 신뢰 사용자가 언제든지 이 목록을 검색할 수 있어야 한다.
* SSL (Secure Sockets Layer)
-공개키 알고리즘 기반
-X.509 인증서 지원
-TCP 443
* SSL 프로토콜 구성 (레-헨-체-알)
-Record 프로토콜
기밀성을 위한 데이터 암호화를 수행한다.
무결성을 위한 MAC을 생성한다.
아래 3개의 프로토콜 하위에 위치하며 실질적인 보안을 수행한다.
동작 순서
단편화 → 압축 → MAC추가 → 암호화
-Handshake 프로토콜
세션에 대한 세션정보와 연결 정보를 공유하기 위한 프로토콜
초기 연결 시 세션 형성을 관장한다.
동작순서:
-Cipher Suite
서버와 클라이언트가 어떤 암호화 방식을 사용할지 정하기 위해 교환하는 문자열 값
-단축된 핸드셰이크(Abbreviated Handshake)
한동안 통신을 하지 않다가 다시 통신할 때(Session Resumption) 사용되는 프로토콜
-Change Cipher Spec 프로토콜
서버와 클라이언트 상호 간의 cipher spec 확인을 위해 메시지를 교환하는데 사용된다.
-Alert 프로토콜
메시지의 암호화 오류, 인증서 오류 등을 전달한다.
* sniffing, eavesdropping, tapping 는 모두 다른 사람의 메시지를 가로채거나 전달받기 위한 기법들이다.
spoofing은 상대방을 속이기 위한 방법이다.
* TCP 세션 하이재킹
-Ack Storm 탐지
-패킷의 재전송 증가 탐지
-예기치 못한 RST 증가 탐지
* 세션 하이재킹 툴: HUNT, Juggernaut
* 스크리닝 라우터 (Screening Router)
- 망과 망 사이에 라우터를 설치하고 라우터에 ACL을 구성한다.
- 응용프로그램 환경변화에 무관하게 동작하므로 투명한 구성이 가능하다. 속도가 빠르지만 라우터에 부하를 준다.
* 듀얼 홈드 게이트웨이 (Dual Homed Gateway)
- 두개의 네트워크 인터페이스를 가진 베스천 호스트를 이용한 구성
- 논리적으로만 구분하는 베스천 호스트에 비해서 물리적으로 구분이 있으므로 훨씬 안전하다.
* 스크린드 호스트 게이트웨이 (Screened Host Gateway)
- 스크리닝 라우터와 베스천호스트의 혼합구성.
- 네트워크, 트랜스포트 계층에서 스크리닝 라우터가 1차로 필터링 하고 어플리케이션 계층에서 2차로 베스천 호스트가 방어한다.
* 스크린드 서브넷 게이트웨이 (Screened Subnet Gateway)
- 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로부터 분리하기 의 한 구조
- 스크리닝 라우터 2개 사이에 하나의 서브넷(망)을 구성하고 서브넷에 베스천 호스트를 적용한다.
- 결국 [스크리닝 라우터 -> 베스천 호스트 서브넷 -> 스크리닝 라우터 -> 내부망] 순서로 접근한다.
- 일반적으로 DMZ 구간을 운영하는 구축 형태에 해당한다.
- 가장 안전하지만 가장 비싸고 가장 느리다.
* 호스트 기반 침입탐지시스템 (HIDS) : 내부, 리소스 탐지
-단일 호스트에 설치되어 해당 시스템의 감사 데이터를 사용해 침입을 탐지하는 시스템이다.
이 방식은 대부분 해당 시스템의 파일들에 대한 무결성을 점검한다.
즉, 그 호스트의 중요한 파일이나 보안 관련 파일들이 수정되었는지 또는 임의의 사용자가 사용자 자신의 보안 수준을 넘는 파일들로 접근하려 시도했는지를 감지한다. 호스트 기반의 침입탐지 시스템은 해당 호스트에 설치되므로 시스템별로 호환성의 문제를 갖고 있으며 시스템 자원에 부하를 줄 수 있는 단점이 있다.
대신 네트워크 환경에 구애받지 않는 장점을 가지고 있다.
* 네트워크 기반 침입탐지시스템 (NIDS) : 외부, 패킷 탐지
-통상 전 네트워크 세그먼트를 감시하는 전용의 시스템들이다.
대부분의 경우 방화벽 외부 네트워크 세그먼트나 내부의 주요 네트워크 세그먼트에 설치한다.
네트워크 기반의 IDS는 네트워크상에 흘러 다니는 모든 패킷들을 검사하여 알려진 공격들이나 의심스러운 행동에 대하여 분석하게 된다. 호스트 기반 침입탐지시스템과 달리 네트워크 세그먼트를 감시하므로 효과적인 침입탐지 환경을 갖출 수 있고 보호하는 네트워크 서버들의 호환성과 상관없이 기존 서비스의 중단 및 영향 없이 시스템을 구축할 수 있게 한다.
다만 네트워크상의 흘러 다니는 모든 트래픽을 검사하므로 네트워크 트래픽 용량에 영향을 많이 받는 단점이 있다.
* 침입탐지시스템(IDS)의 동작 단계
1. 데이터 수집 - 네트워크로 전송된 데이터(트래픽)를 복사해서 데이터를 얻고
2. 데이터 가공 및 축약 - 해당 데이터를 분석할 수 있도록 가공하고, 효율적으로 처리할 수 있게 축약하는 과정을 거친다
3. 침입분석 및 탐지 단계 - 2단계에서 처리된 데이터를 기존에 정의 된 룰과 비교해서 침입인지 아닌지를 판단하고
4. 보고 및 대응 - 침입으로 판단된 경우 그것을 보고하고 침입에 대응하는 조치를 취한다.
* 침입탐지시스템(IDS) 기능
-상태 추적 기능(Stateful Inspection)
패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다.
메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다.
공격방법 예시: 침입차단시스템을 우회하기 위하여 침입차단시스템 내부망에 있는 시스템의 서비스 요청을 받은 것으로 가장하여 패킷을 전송한다
-스텔스(Stealth)모드 침입탐지 시스템
침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성
대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드가 2개 이상으로 구현되어 있음
이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP 주소를 가지지 않게 구성하는 것
IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음
즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법
다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망(관리망)으로 연결하여 IDS를 관리
* 프록시 헤더에 따른 분류 (Proxy)
High Annonymity Proxy (또는 Elite) :
-프록시를 사용하지 않는 것과 동일하게 동작한다. 이건 아예 프록시인지 조차도 알 수 없다.
Distorting Proxy :
-HTTP 헤더의 HTTP_VIA 영역에는 자신의 IP, HTTP_X_FORWARD_FOR 영역에는 랜덤으로 생성된 값을 박아서 자신이 프록시임을 알린다. 원래 IP는 제공되지 않는다.
Simple Annonymous Proxy :
-HTTP 헤더의 HTTP_VIA, HTTP_X_FORWARD_FOR 영역에 자신의 IP를 박아서 자신이 프록시임을 알린다. 원래 IP는 제공되지 않는다.
Transparent Proxy :
-HTTP 헤더의 HTTP_VIA, HTTP_X_FORWARD_FOR 영역에 원래 IP를 박는다.
REMOTE_ADDR = proxy IP
HTTP_VIA = proxy IP
HTTP_X_FORWARD_FOR = client IP
* ESM (Enterprise Security Management)
- 기업과 기관의 보안정책을 반영 방화벽, 침입 탐지 시스템, 침입 방지 시스템 등 각종 보안 시스템의 로그들을 모아 한곳에서 통합 관리를 할 수 있게 해주는 시스템
* ESM 주요 기능
- 정보 수집 : 보안장비, 네트워크 장비에서 발생한 이벤트의 수집 및 분석
- 정보 분석 : 통합된 이벤트 분석으로 보안 정책 수립 및 적용
- 관리 기능 : 다양한 보안/네트워크 장비간 설정 통합 관리
- 모니터링 : 통합 분석된 정보를 토대로 외부 침입에 대비한 관제 및 내부 이상행위 탐지
* ESM 구성
Agent : 보안 장비에 탑재되어 수집된 데이터를 Manager 서버에 전달하고 통제를 받음
Manager : Agent로부터 받은 이벤트를 분석·저장 후 Console로 그 내용을 통보
Console : Manager로부터 받은 데이터의 시각적 전달, 상황 판단 기능, 관리 서버의 룰을 설정하도록 지휘·통제
Repository : 보안 장비별 구성 정보의 통합 데이터베이스 관리
Protocol: 원격 관리를 위한 SNMP, ICMP 등의 프로토콜
* SIEM (Security Information & Event Management)
-ESM의 진화된 형태로 볼 수 있으며 모든 IT시스템에서 생성되는 로그와 이벤트를 통합관리,
네트워크 하드웨어 및 응용 프로그램에 의해 생성 된 보안 경고의 실시간 분석을 제공한다.
* SIEM과 관련된 기업, 솔루션
-SPLUNK, QRadar, Arcsight
-이글루 시큐리티 Spider
* IAM (Identity Access Management)
-조직이 필요로 하는 보안 정책을 수립하고 정책에 따라 자동으로 사용자의 계정과 권한을 관리하는 솔루션(SSO + 권한관리 + 자원관리 및 보안정책 수립 + Provisioning)
* DLP (Data Loss Prevention, 데이터 손실 방지)
-기업 구성원, 프로세스, 기술의 결합을 통해 고객 또는 직원 기록 등의 개인 신원확인 정보(PII), 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적 재산(IP)을 포함하는 기밀 정보 등이 기업 밖으로 유출되는 것을 방지하는 솔루션
* NAC (Network Access Control)
-단말기가 네트워크에 접속하려 시도할 때 이를 통제하는 보안 솔루션
-엔드포인트(End-Point) 보안문제를 해결하기 위해 고려된 방식
-내부 사용자의 외부 접근에 대한 제어 및 통제를 수행한다.
-주로 기업의 업무용 단말기에서 많이 사용된다.
ex1) 백신, DRM등 다른 보안솔루션과 연동하여 필요한 보안대책이 갖추어진 단말기만 인터넷에 접속시킨다.
ex2) DLP와 연동하여 직원의 등급에 따라 접근 가능한 외부 서비를 달리 제어한다.
-NAC제품은 일반적으로 접근제어를 위한 사용자 인증과 백신 관리, 패치 관리 등 무결성 체크과 같은 기능 포함
- NAC 오픈 소스 솔루션:
PacketFence
FreeNAC
* Robots.txt
웹 크롤러(Web Crawlers)와 같은 착한 로봇들의 행동을 관리하는 것을 말합니다.
우리가 이 로봇들을 관리해서 원하는 페이지를 노출이 되게 혹은 노출이 안되도록 다룰 수 있습니다.
* VDI (Virtual Desktop Infrastructure) 데스크탑 가상화
-가상화 기술을 이용하여 하나의 물리적인 단말에 추가적인 데스크탑 환경을 구동하는 기술
-보안성
가상 환경에서의 자료는 외부로 유출되지 않음
가상 환경에서의 악성코드 감염이 외부로 번지지 않음
마찬가지로 호스트 환경에서 감염된 악성코드가 가상 업무 환경으로 번지지 않음
-효율성
시간(Any Time)과 장소(Any Place), 접속 단말(Any Device)에 구애받지 않고 자유롭게 PC이용
BYOD(Bring Your Own Device) 환경을 지원
* FDS (Fraud Detection System) 이상금융거래탐지시스템
-주요기능
1. 모니터링/감사: 감사증적 데이터의 사후 추적기술
2. 정보수집: 단말기, 접속정보, 거래정보 + 계정계, 정보계 >> 이용자 프로파일 관리기술
3. 분석 및 탐지: 거래(현재, 과거)분석, 외부 빅데이터 연계 분석 >> 오용/이상탐지, CEP, 인메모리기술(SPARK)
4. 대응기능: 허가-필요 시 추가인증, 거부 - 부정행위 통지 및 계정차단 등 차등적 대응 >> 멀티팩터 인증, 이상패턴 공유기술
반응형
'정보보안기사, 정보보안산업기사' 카테고리의 다른 글
| [정보보안기사/산업기사] 정보보안 일반 과목 요약 정리 (0) | 2020.10.16 |
|---|---|
| [정보보안기사/산업기사] 어플리케이션 보안 과목 요약 정리 (0) | 2020.10.16 |
| [정보보안기사/산업기사] 시스템 보안 과목 요약 정리 (0) | 2020.10.12 |
| [정보보안기사/산업기사] 리눅스시스템 정리 (0) | 2020.10.11 |
| [자격증] 정보보안기사 자격증 정보 & 기출문제 .pdf 정리 (0) | 2020.09.18 |
댓글