21번 - 스위치 재밍
https://m.blog.naver.com/gnsehfvlr/221017467069
22번 - 시그니처 기반 탐지
https://www.boannews.com/media/view.asp?idx=22174
23번 - 가상화
http://ryufree.tistory.com/238
24번 - DDoS 공격 Get Flooding
http://ensxoddl.tistory.com/11
25번 - IPS 출현 배경
공격유형의 변화
- 공격을 위해 요구되는 지식은 점차 줄어들고, 공격의 정밀도는 높아지는 경향
불과 몇 년 전 까지만 해도 보안정책을 가지고 파이어월을 운영하고 있는 기업이라면 적어도 기본적인 정보 보안을 하고 있다고 생각했었다. 하지만 최근 그런 생각을 가지고 있는 사람은 거의 없을 것이다. 파이어월이 설치돼 있음에도 불구하고 해마다 증가하는 해킹과 보안사고는 기존 파이어월에 대한 신뢰를 급격히 약화시켰으며 이는 새로운 보안 솔루션의 등장을 예고하기에 충분했다.
인증을 받은 사용자나, 인증받은 사용자로 가장한 침입자의 공격 또는 내부 네트워크 사용자에 의해 자행되는 네트워크 침입, 전자우편과 같은 정상적인 애플리케이션 속에 몰래 숨어 들어오는 악성 바이러스나 웜 공격에 대해 파이어월은 효과적으로 대처 할 수 없었기 때문이다. 따라서 날로 다양해지고 지능화되는 공격에 효과적으로 대처하기 위한 IDS(Intrusion Detection System)의 등장은 불가피한 일이었다.
하지만 불행하게도 IDS는 악성공격에 실시간으로 대처할 수 없다는 중대한 단점을 가진다. 결국 IDS가 악성 공격이나 바이러스를 탐지해 알람을 주고 로그를 남기는 히스토리 관리기능과 담당자에게 연락을 취해 조치케 하는 기능은 이미 침입자가 작업을 끝낸 후 사후 뒷처리 작업에 지나지 않는다.
따라서 지난 해 말부터 서서히 불붙기 시작한 능동형 통합 보안 솔루션의 등장은 이런 악성 공격이나 유해 바이러스에 대해 실시간으로 대처할 수 있는 적합한 방어책으로 부각되고 있다.
일반적으로 파이어월이란 외부와 내부의 경계를 생성해 외부로부터 내부를 보호하는 보안 네트워크 구성 요소 중 하나로, 외부의 불법 침입으로부터 내부의 정보 자산을 보호하고, 외부로부터 유해 정보의 유입을 차단하기 위한 정책과 이를 지원하는 하드웨어, 소프트웨어를 총칭한다. 내외부 간의 모든 트래픽은 파이어월을 거쳐야 하며 파이어월은 양자간 오가는 모든 트래픽을 감시해 허용되지 않은 접근은 차단함으로써 내부 정보자산을 외부의 불법 침입과 해킹으로부터 보호하는 시스템이라고 할 수 있다. 이런 개념은 네트워크를 내부와 외부로 양분해 양방향의 접근을 제어하는 방식으로 일차적인 보안을 구현한 정보보안의 초기 모델이다.
1세대 보안 솔루션 파이어월
파이어월은 크게 3가지 구성요소, 베스천 호스트(bastion host), 스크린 라우터, 파이어월 소프트웨어로 이뤄진다. 먼저 베스천 호스트란 파이어월 소프트웨어가 설치돼 내부 네트워크와 외부 네트워크 간의 일종의 게이트웨이 역할을 하는 호스트를 말한다. 내부 네트워크 전면에서 네트워크 전체의 보안을 책임지는 호스트이기 때문에 해커들의 공격목표가 될 수 있어 필요없는 프로그램 삭제, 명확하지 않은 서비스들의 제한, 운영체제 버그에 대한 최신 버전의 패치 등 항상 보안상의 헛점이 생기지 않도록 신중하게 관리돼야 한다.
또한 고의든 실수든 베스천 호스트에 이상이 생기면 전체 네트워크가 위태로워지기 때문에 물리적인 위치도 신중하게 고려해야 한다. 그리고 내부로 들어오는 모든 패킷이 이 호스트를 통과하기 때문에 네트워크 속도를 고려해 외부와 내부 네트워크를 연결하는 외부 라우터 바로 뒤에 위치하는 것이 바람직하다.
두 번째로 스크린 라우터는 내외부 네트워크의 물리적인 연결점을 담당하며, 네트워크 레벨의 방어임무를 수행한다. 주요 기능은 패킷 필터링으로 내부와 외부 네트워크를 오가는 패킷을 분석해 적절치 않은 패킷의 통과를 막는 것이다. 보통 IP 어드레스나 포트를 가지고 접근 제어(Access Control)를 수행하고 NAT(Network Address Trans lation) 기능을 추가할 수도 있기 때문에 스크린 라우터의 기능은 파이어월 소프트웨어와 중복되는 부분이 많다. 하지만 로그의 경우 별도의 서버를 지정해 라우터만으로도 구현은 가능하지만 애플리케이션 레벨의 서비스와 다양한 로그정보, 리포트를 받아보는 기능은 파이어월 소프트웨어를 설치해야 얻을 수 있다.
따라서 일반적으로 스크린 라우터와 파이어월 소프트웨어를 함께 두는 것이 조금 더 안전한 보안 체계를 구축하는 것이다. 라우터에서 골라낸 패킷만을 베스천 호스트에서 처리하게 함으로서 파이어월의 부담을 감소시킬 수 있을 뿐만 아니라, 두 번 패킷을 검사하기 때문에 어느 한 쪽이 돌파 당하더라도 다른 하나가 이를 막아낼 수 있어 내부 네트워크 보안을 더욱 강화할 수 있기 때문이다.
대부분의 기업들은 내부 네트워크와 외부 네트워크 사이에 DMZ(DeMilitarized Zone, Perimeter Network)를 둠으로서 내부 보안에 더욱 집중할 수 있다. 즉, 외부에 공개해야 하는 공개 서버를 이 네트워크에 존재시킴으로서 내부 네트워크의 안전을 조금 더 보장할 수 있는 것이다. 물론 내부 라우터(Interior Router) 마저 돌파 당하면 내부 네트워크도 위험하지만 공개 서버가 모두 DMZ에 존재하는 이상, 외부로부터의 연결을 허용할 이유가 전혀 없으므로 내부 라우터가 이를 차단할 수 있다.
마지막으로 파이어월 소프트웨어는 기본적으로 스크린 라우터의 기능 위에 애플리케이션 레벨의 필터링, 모니터링, 프록시(Proxy), 인증(Authentication) 등의 다양한 기능을 제공한다. 몇몇 특징적인 요소를 제외하고는 일반적으로 파이어월 소프트웨어의 기능이나 개념은 모든 제품들이 거의 동일하다. 따라서 전체적인 네트워크 보안을 위해서는 파이어월의 기능은 관리 측면에서 매우 중요한 요소가 된다.
파이어월 구축 형태
파이어월 시스템은 OSI(Open Systems Interconnection) 모델과 관련해 파이어월 시스템이 동작하는 프로토콜 계층에 따라 분류할 수 있다. 3계층인 네트워크 계층과 4계층인 트랜스포트 계층에서 패킷 필터링 기능을 수행하는 스크린 라우터와 애플리케이션 계층에서 패킷 필터링 기능과 인증 기능 등을 수행하는 애플리케이션 계층의 게이트웨이로 분류할 수 있다.
일반적으로 스크린 라우터를 설계할 경우 명확하게 내부 네트워크로의 진입이 차단되지 않은 트래픽은 네트워크로의 진입을 허용하는 패러다임을 사용한다. 게이트웨이 혹은 프록시 서버의 경우 내부 네트워크로의 진입을 명확하게 허용하지 않은 트래픽은 내부 네트워크로의 진입을 방지하는 패러다임을 채택한다. 최근 파이어월의 일반적인 구축 형태는 스크린서브넷 아키텍처를 많이 사용하고 있다.
2세대 보안 솔루션 IDS
IDS는 단순한 접근 제어 기능을 넘어서 침입 패턴 데이터베이스와 전문가 시스템을 사용해 네트워크와 시스템의 사용을 실시간으로 모니터링하고 침입을 탐지하는 보안 시스템이다. 즉, 보호하고자 하는 시스템이나 네트워크로부터 침입을 판단하기 위한 자료를 수집해 중복된 데이터나 쓸모없는 데이터를 필터링하고, 탐지기법을 사용해 침입을 탐지함으로써 그에 해당하는 응답을 하는 시스템을 의미한다.
또한 허가되지 않은 사용자로부터 접속, 정보의 조작, 오용, 남용 등 의심스러운 행위를 감시해 가능한 침입자를 조기에 발견하고 통보하는 기능도 한다. 파이어월은 네트워크의 연결점에 위치해 정해진 보안 정책에 따라 드나드는 패킷을 검사해 정책과 비교, 통과 여부를 결정한다. 네트워크 기반의 IDS도 비슷한 역할을 담당하고 있지만, 네트워크를 출입하는 패킷을 포함해 네트워크 내부에서 전달되는 모든 패킷을 검사한다는 점에서 차이가 있다. 또한 IDS는 파이어월에 의해 효과적인 차단에 실패한 경우, 이에 따른 피해를 최소화하고 네트워크 관리자가 부재시에도 해킹에 적절히 대응할 수 있도록 해, 보안상의 한계점을 보완할 수 있다. 이런 이유로 IDS가 파이어월의 뒤를 이은 2세대 보안 솔루션의 모델로 등장하게 됐다.
IDS 구성 요소
ISO/IEC에서 정의하는 침입 탐지 모델은 원시 데이터(Raw Data Source), 사건탐지(Event Detection), 분석(Analysis), 대응(Response), 데이터 저장소(Data Storage)의 5가지 요소로 구성된다. 이런 요소들이 순차적으로 조합을 이뤄 침입 탐지 프로세스가 된다.
첫 단계는 정보 수집 단계로서 시스템의 모든 정보를 수집해 다음 단계인 정보 가공, 축약단계로 넘기는 기능을 수행한다(단지 침입 정보만을 수집하는 것이 아니고, 모든 정보를 수집한다). 두 번째 단계는 정보 가공과 축약 단계로, 침입 탐지에 필요한 의미있는 정보만을 축약하는 단계다. 세 번째 단계는 침입 여부를 판정하는 분석, 침입 탐지 단계로 침입 탐지 시스템의 핵심과정이다. 마지막 단계인 보고, 조치단계는 침입으로 판단되면 관리자에게 보고하고 관리자가 조치를 취하는 단계다(히스토리 관리를 위한 로그 기록은 저장한다).
IDS의 분류는 보호하고자 하는 목적 시스템 즉, 침입을 판단하기 위한 데이터를 제공하는 소스에 따른 분류와 침입 모델을 기반으로 하는 분류 방법이 있다. 먼저 데이터 소스를 기반으로 분류하는 방법을 살펴보자.
첫째, 단일 호스트 기반(Host Based) IDS는 단일 호스트에서 침입을 탐지하는 것으로 그 호스트의 감사(Audit) 기록이나 들어오는 패킷 등을 검사해 침입을 탐지하게 된다. 예를 들면 호스트의 로그인 프로세스를 감시하고 루트(root) 사용자의 행동을 감시하며, 파일 시스템 감시 등을 통해 침입을 발견하는 것이다.
네트워크 기반의 IDS보다 잘못된 탐지 즉, 침입이 아님에도 불구하고 침입으로 오판하는 경우가 적은 반면, 우선 타깃 호스트에 설치해야 하므로 해당 호스트의 성능이 저하되고, 데이터를 얻기 위한 로그인 등에 대한 설정이 번거로우며 타깃 호스트가 있는 네트워크 내의 다른 호스트들이 공격을 당해도 알 수가 없다는 단점이 있다.
둘째, 다중 호스트 기반(Multi Host Based) IDS는 여러 호스트들로부터 데이터를 제공받아 침입을 탐지하는 방식이다. 좀 더 정확한 탐지를 위해 타깃 호스트 사이의 통신을 이용하기도 한다. 셋째, 네트워크 기반(Network Based) IDS는 패킷 스니퍼(Packet Sniffer)와 패킷 모니터(Packet Monitor) 도구의 발전으로 생겨나게 됐다. 네트워크상의 모든 트래픽에 대해 패킷을 수신하고 분석해 침입을 발견하는 일은 엄청나게 복잡한 업무다. 이를 자동으로 처리하는 것이 바로 네트워크 기반의 IDS인 것이다. 특히 권한없이 접근한다거나 권한을 초과하는 접근에 대한 탐지에 뛰어나다.
또한 네트워크 내의 호스트나 서버의 별도 설정없이 사용할 수 있으며, 파이어월처럼 라우팅 같은 중요한 역할을 담당하지 않기 때문에 오류 발생시 큰 피해를 주지 않는다. 반면 성능에 대한 요구사항 때문에 서명분석(signature analysis)을 하는 경우가 많은데, 이는 일반적으로 알려진 공격을 탐지하는 데는 뛰어나지만 복잡한 요소를 가진 위험요소를 가진 공격을 탐지하기가 어렵다. 또한 네트워크 패킷 처리능력이 침입 탐지 시스템의 성능을 결정짓게 되므로 적합한 네트워크를 대상으로 적용해야 한다.
파이어월과 IDS의 취약점
1세대 보안 솔루션인 파이어월과 2세대 보안 솔루션인 IDS는 각각의 기능을 수행하지만 구조적인 취약점을 가지고 있다. 먼저 외부와 단절하지 않는 한 기업은 파이어월을 사용해 전달되는 모든 공격을 차단할 수 없다. 내부 네트워크와 외부 네트워크를 연결하는 연결점인 파이어월의 주기능은 외부에서의 악성 공격으로부터 내부 네트워크를 보호하는 것이라 할 수 있다.
따라서 파이어월은 인증된 사용자 또는 일단 파이어월 안쪽의 내부 네트워크에 접근한 사용자에 대한 공격은 모니터링하지 않는다. 즉 외부 경계에 대한 통제는 가능하지만 내부 네트워크로부터의 공격은 통제가 곤란하다. 또한 외부 네트워크와의 경계이기 때문에 인터넷 사용을 위해 일정 수준의 접근은 반드시 허용해야 한다. 예를 들면 웹을 위한 80포트, 전자우편 등이다. 따라서 80포트 웹 트래픽으로 위장한 암호화된 트래픽이나 정상적인 애플리케이션에 몰래 숨어 들어오는 악성 바이러스나 웜의 통제는 곤란하다. 한편 정상적인 네트워크 경로가 아닌 우회 경로 등을 통한 접근은 차단하기 곤란하다. 또한 모뎀을 통한 비인가된 사용자의 불법 접근을 차단하기 곤란하다.
IDS는 침입을 탐지할 수 있도록 지원하는 것은 분명하지만, 공격이 증가함에 따라 탐지 능력의 한계점을 드러낸다. 즉, 침입 탐지는 가능하나 차단은 불가능하다. 네트워크 기반의 IDS는 네트워크로부터 따로 떨어져 있기 때문에 트래픽에 영향력을 행사하기 어렵다. 따라서 진행중인 공격을 중단시키거나 진행 속도를 늦출 수 있는 능력은 없다.
또한 침입을 탐지하고 조치를 취하는데 오랜 시간이 소요된다. IDS은 모든 공격을 능동적으로 저지하지 못하기 때문에 비정상적이거나 의심스러운 네트워크 활동에 대한 수많은 리포트를 생성해야 한다.
네트워크 보안 관리자는 많은 시간을 들여 이들 로그 뿐만 아니라, 네트워크 경로 추적과 기타 진단 방법을 검토함으로서 실태 파악과 조치여부에 대한 판단과 조치를 취해야 한다. 하지만 이 작업은 상당한 시간을 투자해야 하며 불가능한 경우가 생길 수 있다.
IDS의 자체 처리능력에는 한계가 있다. 즉 플랫폼의 구성이나 필터의 정의 내용에 따라 차이가 날 수 있지만, 처리능력이 한계에 도달했을때, IDS는 모든 패킷을 조사할 수가 없다. 따라서 탐지되지 않은 패킷이 공격에 이용될 수 있다.
한편 암호화된 트래픽의 탐지가 곤란하다는 SSL(Secure Socket Layer) 트래픽은 탐지가 곤란하고 이런 패킷들은 IDS의 CPU 성능을 고갈시킬 수 있다. 또한 정상적인 패킷을 공격 패턴으로 잘못인식 하는 판정오류를 일으킬 수 있으며 이로 인한 경보 오류도 발생할 수 있다.
특히 대부분의 IDS가 평균 패킷 크기를 1024바이트로 인식하기 때문에 그 보다 더 작은 패킷이 많으면 많을수록 처리속도 저하 등 IDS 성능에 심각한 문제를 야기시킬 수 있다.
3세대 보안 솔루션 IPS
파이어월로 1차 보안을 하고 IDS로 2차 보안을 해도 해킹과 보안 사고는 날로 늘어나고 있다. 앞서 언급했듯이 기존의 1, 2세대 보안 솔루션들이 각각 자기 기능을 수행하고 있음에도 불구하고 다양하고, 지능화된 최신 공격에는 역부족임에 틀림없다.
설령 내부나 외부로부터의 공격을 탐지했다고 해도, 보안 관리자가 침입을 막기 위한 조치를 취하기 시작하는 시점까지는 어느 정도의 시간이 걸린다. 이 때문에 이미 침입자에 의한 침입이 진행된 상태여서 기업은 오랜 시간과 많은 비용이 소요되는 원상복구와 수리 작업을 수행할 수밖에 없다. 이런 맹점을 극복하기 위해 실시간으로 공격에 효과적으로 대응할 수 있는 능동적인 보안 솔루션의 등장은 필연적이었다.
IPS(Intrusion Prevention System)는 네트워크에 상주하면서 트래픽을 모니터링할 뿐만 아니라 악성으로 예상되는 패킷을 차단시키고 의심스러운 세션들을 종료시키거나, 공격에 대처하기 위한 기타 조치를 취하는 등 적극적으로 네트워크를 보안하는 시스템이라 할 수 있다. 즉 기존의 파이어월과 IDS의 취약점을 효과적으로 극복하고, 실시간으로 악성 공격을 차단 할 수 있는 능동적인 솔루션이라는 점에서 3세대 보안 솔루션으로서 자리매김할 수 있을 것이다.
효과적인 보안을 위해 IPS는 네트워크 트래픽과 동일선상에 위치(In-line device)하기 때문에 들어오고 나가는 모든 패킷은 물론 네트워크 세션 정보까지 검사, 대응할 수 있다. 따라서 기존의 IDS보다 정확한 침입 탐지와 대응 기능을 제공한다. IDS이 단순히 수상하거나 비정상적인 트래픽을 보고하는 반면, IPS는 다양한 차단 전략을 수행한다.
또한 공격이나 침입은 기업의 중요 자원에 피해를 줄 수 있는 요소이기 때문에 IPS은 실시간으로 침입 탐지시점에 개입함으로서 침입을 신속하게 저지한다. IPS으로서 역할을 충실히 수행하기 위해서는 다음과 같은 사항이 요구된다.
·파이어월으로 해결하지 못한 공격에 대해 IDS가 정확하게 탐지하지 못하거나 잘못 오인하는 경우가 있을 수 있다. 부정확한 탐지는 정당한 트래픽에 영향을 미치는 대응 메커니즘을 실행시키는 결과를 가져올 수 있기 때문에 IPS는 향상된 탐지 능력의 정확성을 제공해야 한다.
·IPS는 내부 장비이긴 하지만 네트워크 상의 다른 시스템에 지장을 줘서는 안된다. 다시 말해 네트워크 상의 트래픽을 유지할 수 있는 성능이 보장돼야 하며, 그 기능 수행에 있어 다른 시스템에 영향을 주지 않는 신뢰성을 제공해야 한다.
·알려진 공격 유형은 물론 특정 공격 서명, 더 나아가 전혀 새로운 클래스의 공격에 대해 적절한 대응할 수 있도록 패턴 업데이트를 할 수 있는 방법을 갖고 있어야 한다. 즉 모든 대응 메커니즘을 최대한 포함하는 완벽성을 제공해야 한다.
·독립적으로 존재하는 것이 아니라 통합 보안 관리(Security Integrated Management) 시스템의 중앙 허브 역할을 수행함으로서 궁극적으로 파이어월, IDS, 안티 바이러스 솔루션들이 제공하는 기능을 조합할 수 있는 통합성을 제공해야 한다.
26번 - Snort Rule
https://brunch.co.kr/@leesmain/34
27번 - UTM 보안 솔루션
https://m.blog.naver.com/bch98/128067900
28번 - Snort Payload
29번 - IPv6
https://xn--3e0bx5euxnjje69i70af08bea817g.xn--3e0b707e/jsp/resources/ipv6Info.jsp
30번 - VPN 터널링
http://gotocloud.co.kr/?p=1280
31번 - UDP 포트 스캐닝
http://websecurity.tistory.com/121
32번 - NAC
http://i-bada.blogspot.com/2012/12/nac.html
33번 - VPN 기능
VPN의 기능은 무엇인가요?
일반적으로, 인터넷에서 웹사이트에 액세스하려고 하면 ISP(인터넷 서비스 공급자)가 요청을 수신하고 목적지로 리디렉션합니다. 인터넷 트래픽이 ISP를 통과하면 ISP는 온라인에서 사용자가 하는 모든 것을 볼 수 있습니다. 또한 ISP는 사용자의 행동을 추적하고 때로는 광고주, 정부 기관 및 기타 제3자에게 검색 기록을 넘겨줄 수도 있습니다.
이를 방지하기 위해 VPN이 사용됩니다. VPN은 특별히 구성된 VPN 서버를 통해, 사용자의 인터넷 트래픽을 리디렉션하고 IP 주소를 숨기고, 또한 보내거나 받는 모든 데이터를 암호화합니다. 암호화된 데이터는 그것을 가로채는 자에게는 무의미하게 나타나기 때문에 읽을 수 없게 됩니다.
34번 - 지식기반 / 행위기반 탐지 기법
http://travelerstory.tistory.com/93
35번 - 무선 LAN 보안 EAP 인증
http://www.ddaily.co.kr/news/article.html?no=31479
36번 - OSI 7계층
http://beansberries.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-OSI-7-%EA%B3%84%EC%B8%B5
37번 - LAND Attack
http://jinka89.tistory.com/entry/Land-Attack
38번 - 스텔스 스캔
http://securely.tistory.com/entry/No9-Scan%EC%8A%A4%ED%85%94%EC%8A%A4-%EC%8A%A4%EC%BA%94
39번 - SSL IPSEC
https://www.cisco.com/c/ko_kr/about/packet/ts/20.html
40번 - ARP Reply
* 이 포스팅은 이기적 정보보안기사 필기 기출문제집을 기반으로 작성되었습니다.
'Certification > 정보보안기사' 카테고리의 다른 글
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 61번~80번 (0) | 2018.09.07 |
|---|---|
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 41번~60번 (0) | 2018.09.06 |
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 1번~20번 (0) | 2018.09.06 |
| 정보보안기사 필기 9회 기출문제 오답노트 정리 - 81번~100번 (0) | 2018.09.06 |
| 정보보안기사 필기 9회 기출문제 오답노트 정리 - 61번~80번 (0) | 2018.09.06 |