[Network] 네트워크 보안

네트워크 보안의 개요

보안은 크게 컴퓨터 보안과 네트워크 보안으로 구분할 수 있다.

---

보안 위협

• 전송 차단 : 제 3자가 송신측과 수신측 사이에 통신을 차단한다
• 가로채기 : 제 3자가 송신측과 수신측 사이의 데이터를 중간에 가로챈다

---

변조

 

• 제 3자가 중간에 데이터를 가로채서 일부 또는 전부를 변경하여 잘못된 데이터를 전송하는 경우

---

위조

• 제 3자가 메시지를 위조하여 송신측이 전송한 것 처럼 수신측으로 데이터를 전송한다 → 변조와 다른 점은 송신측이 데이터를 전달하지 않았는데도 전송한 것처럼 표현할 수 있다는 것이다

---

네트워크 보안의 필요성

네트워크 보안

• 네트워크에 접속하여 불법적인 행위를 하지 못하도록 방화벽을 구축하여 네트워크 통신의 많은 부분을 제약하고 보안강도를 설정할 수 있다.

네트워크 보안의 요구 사항

• 비밀성 : 인증받은 사람만 데이터에 접근 가능
• 무결성 : 인증 받지 못한 사용자가 데이터를 변경 및 삭제 불가
• 가용성 : 인증 받은 사람은 아무런 방해 없이 데이터에 접근할 수 있도록 보장

---

네트워크 위협

스미싱

문자메시지 + 피싱의 합성어 ⇒ SMS에 포함된 URL을 클릭하면 악성앱을 설치하여 개인정보를 탈취하는 방식

---

랜섬웨어

몸값 (Ransom) + 소프트웨어 (Sotfware)의 합성어 ⇒ 시스템 파일을 암호화하여 이를 사용할 수 없게 하고 금전을 요구하는 악성 프로그램

---

랜섬웨어의 종류

• 워너크라이
• 로키
• 크립트XXX

---

랜섬웨어 예방법

1. 소프트웨어는 항상 최신버전 유지
2. 백신 프로그램 가동
3. 출처 불분명 애플리케이션 설치 및 동작 금지
4. 중요 자료 정기 백업
5. 외장 드라이브는 사용후 연결 해제 생활화

---

공유기 보안 위협

보안 설정이 되어 있지 않는 무선 LAN은 외부에서 무선 공유기를 무단으로 사용할 수 있고, 해커가 접속하여 해킹 및 개인 정보 유출 등의 다양한 보안 위협을 유발

해커는 ARP 스푸핑 등의 공격 기법을 통해 사용자의 계정, 금융 정보등의 개인정보 탈취

해커가 무선 공유기를 검색하여 WEP 을 사용하는 AP를 탐색하여 해당 공유기의 Wifi에 접속한뒤, 데이터를 갈취해간다.

예방법

• 불필요 포트나 텔넷을 비활성화
• 보안강도가 높은 WPA2 를 기본으로 설정한다

---

네트워크 공격 기술

IP 스푸핑

• IP 주소를 속이는 행위
• 외부 네트워크 공격자가 임의로 웹을 구성하여 일반 사용자의 방문을 유도하고, TCP/IP 의 구조적인 결함을 이용하여 사용자 권한을 획득하고 정보를 빼간다

---

IP 스푸핑 차단 방법

• 엑세스 제어
  • 가장 일반적인 방법
  • 내부 네트워크에 있는 송신지 주소를 가진 외부 네트워크의 패킷을 모두 거부
  • 무슨 의미내면, 내부 주소로부터 출발하는 패킷이 내부로 들어 오는 상황은 있을 수 없기 때문에 변조 패킷이라고 판단하는 기술
• 필터링
  • 내부 네트워크의 IP 주소 범위에서 송신지 주소를 보유하지 않은 패킷이 외불 나가는 것을 차단
  • 쉽게 말해 내부 네트워크에 존재하는 IP주소가 아닌 패킷은 전송이 거부된다.
• 암호화
  • 패킷을 암호화하는 방식
  • SSH 방식으로 암호화

---

IP 스니핑

네트워크를 이용하여 전송하는 데이터를 엿듣는 일종의 도청 행위를 말한다.

즉, 네트워크 트래픽을 도청하는 과정

---

스니핑 피해 감소 방법

• LAN 파티션을 작게 나누기 : LAN 내부에서 도청하는 해킹 방법이기때문에, LAN의 파티션 단위를 줄이면 피해감소 효과가 있다
• 암호화 전송 프로토콜 사용(VPN)

---

시스템 보안 기술

인터넷등 외부 네트워크에 연결된 내부 네트워크를 보호하려면 네트워크를 연결하는 장치에서 입출력되는 패킷을 부석하여 트래픽을 제어하거나 방화벽 사용

---

방화벽

• 외부에서 내부 네트워크로 접근하려면 반드시 방화벽을 통화해야함
• 외부와 내부 네트워크 간의 유일한 경로에 방화벽을 두어 불법적 트래픽 거부

---

방화벽의 장점

• 네트워크 보안 강화, 비인가 서비스 필터링
• 웹사이트 시스템에 관한 DNS 정보를 막을 수 있다.
• 모든 엑세스 네트워크에 대한 유용한 통계 자료 제공

---

방화벽의 기본 구성요소

1. 네트워크 정책
   • 방화벽의 설계와 서용에 미치는 두가지 네트워크 정책
   • 상위 수준 : 제한된 네트워크에서 허용할 서비스 정의
   • 하위 수준 : 엑세스 제어, 예외 규칙 설정, 서비스 필터링 방식 정의
2. 방화벽 사용자 인증 시스템
   • 리눅스의 패스워드 방식보다는 스마트 카드나 생체 인증같은 고급 인증 방식 사용
   • 불법적 침입(스푸핑, 도청) 등을 방지
3. 패킷 필터링
   • 라우터에서 패킷의 송수신지 IP 주소, TCP/UDP 포트등을 기준으로 일부 또는 전체를 필터링하여 트래픽 제어
4. 응용 계층 게이트웨이
   • 축적 전달 (store and forward) 방식 : 송신자가 보낸 정보를 중간 게이트웨이가 안전하게 전달
   • 프록시 서버 기능 포함
     • 외부 네트워크의 요청을 받아 네트워크 서버에 전달하여 보안을 강화
     • 이메일이나 웹 요청등의 중계 역할

---

방화벽 종류

1. 스크리닝 라우터 (Screening Router) : 네트워크에서 송수신지 주소, 프로토콜, 포트 번호 등을 분석하여 내부 네트워크로의 접근 제어
   1. 3계층(네트워크)과 4계층(전송)에서 동작
   2. 필터링 규칙에 따라 패킷 허용, 차단
   3. 필터링속도 빠름, 비용 적음, 네트워크 전체 보호
   4. 세부적 트래픽 분석 힘듦, 패킷 내용 탐지 불가

1. 배스천 호스트(Bastion Host)
   1. 외부 공격에 노출된 컴퓨터 시스템으로, 내부 네트워크와 외부 네트워크간의 게이트웨이 역할
   2. 가장 중요한 위치로 관리자의 관리 필요
   3. 불법 접근 기록 및 감시
   4. 접근 제어 관리, 로그분석및 경고 기능 제공
   5. 공격시 집중적인 대상이 될 위험 존재, 구성이나 관리가 힘들다

---

방화벽 시스템 방식

1. 패킷 필터링 : 네트워크 게층, 전송 계층
2. 응용 프로그램 게이트웨이 : 응용 계층
3. 회로 레벨 게이트웨이 : 세션 계층 ~ 응용 계층
4. 혼용 방화벽 : 여러 유형의 방화벽을 복합적으로 구성

---

방화벽 구축시 고려사항

1. 보호 대상 정의
2. 위험 분석
3. 사용자 접근 제어
4. 침입 대응 계획
5. 정책 설정
6. 위험 수준 평가
7. 서비스 결정
8. 경제성과 효율성 고려

---

방화벽 규칙과 연결 보안 규칙

• 컴퓨터와 프로그램, 서비스, 다른 컴퓨터 간의 트래픽을 송수신할 수 있는 방화벽 규칙을 만들 수 있음.
• 기본적으로 인바운드 연결은 허용 규칙과 일치하면 허용하고, 아웃바운드 연결은 차단 규칙과 일치하지 않으면 허용한다.

---

침입 탐지 시스템 (IDS)

• 네트워크와 시스템을 실시간으로 모니터링하여 침입 행위를 탐지하는 보안 시스템
• 단순 접근 제어를 넘어 악의적 공격을 탐지할 수 있다는 점에서 방화벽을 보완했다.
• H-IDS : 컴퓨터에서 발생하는 침입 시도를 알아내는 시스템 → 컴퓨터에 탑재
• N-IDS : 네트워크에서 일어나는 활동을 감시하고 침입 시도를 알아내는 시스템 → 네트워크에 설치

---

IDS 분류

• 기초 자료에 따른 분류
  • 단일 호스트 기반 : 한대의 호스트에서 데이터 수집 및 탐지
  • 다중 호스트 기반 : 여러 호스트의 데이터를 종합하여 수집 및 탐지
  • 네트워크 기반 : 네트워크 전체를 수집 및 탐지
• 침입 행위 기준에 따른 분류
  • 정상적 행위의 탐지 : 정상 행위 프로파일을 벗어나면 탐지
  • 잘못된 행위의 탐지 : 알려진 공격 패턴에 해당하면 탐지

---

IDS 특징

1. 침입 탐지는 가능, 차단은 불가능
2. 진행중인 공격을 중단하거나 속도를 늦출순 없다
3. 탐지 후 조치를 취하는데 오래걸림
4. 탐지되지 않은 패킷은 악용될 가능성이 존재한다

---

침입 방지 시스템 (IPS)

• 네트워크에 실시간으로 연결되어 트래픽을 모니터링하고, 악성 코드, 해킹등 의심스러운 활동을 탐지하고 차단
• IDS가 침입을 감지하고 경고만 제공한다면, IPS는 능동적으로 조치를 취해 공격 차단

---

IPS 기능

1. 트래픽 차단 : 악성 코드나 해킹시도를 탐지하고 네트워크로 들어오기 전에 차단
2. 세션 종료 : 의심스러운 세션은 즉시 종료
3. 공격 대응 : 잘 알려지지 않는 공격에도 대응 가능하도록 지속적 업데이트

---

IPS 탐지 기술

• 비정상 탐지 기술 (Anomaly Detection)
  • 평균적인 경우와 다른 경우가 발생했을 때, 이를 감지하여 알려주는 기술
  • 확률이 낮은 상황이 발생했을 때 감지 할 가능성이 높으나, 이 때문에 잘못 탐지할 가능성도 존재한다
• 공격 패턴 기반 기술 (Misuse/Knowledge Detection)
  • 이미 잘 알려진 공격에 대해 데이터베이스화 하여 탐지
  • 잘못 탐지할 가능성이 낮으나, 알려지지 않는 공격에는 취약

---

방화벽, IDS, IPS 비교

세가지의 차이는 검사하는 영역에서 차이 발생

 

---

암호 보안 기술

암호화

• 평문을 해독할 수 없게 변경하거나 암호화된 문장을 해독 가능한 형태로 변환하는 수단과 방법
• 암호 시스템은 키 라는 비밀 값을 수학 공식으로 된 복잡한 알고리즘과 함께 사용
• 크게 비밀키 암호 시스템과 공개키 암호 시스템으로 나눈다

암호화 방식

• 암호화 : 평문 → 암호문 변환
• 복호화 : 암호문 → 평문
• 암호화키와 복호화 키가 동일한 경우 비밀키(대칭키) 방식, 동일할 경우 공개키(비대칭키 방식

비밀키 암호화 방식

• 송수신자가 동일한 키를 공유
• 암복호화에 동일한 키를 사용하므로 키 관리가 어렵다

공개키 암호화 방식

• 암호화 키와 복호화 키가 서로 다름
• 암호화는 누구나 가능, 복호화는 수신자의 개인키로만 가능

그외 생체 인식이나, 전자 서명 인증 방법등이 존재한다

---

메일 보안 기술

PGP(Pretty Good Privacy)

• 이메일을 암호화하여 제3자가 내용을 읽거나 변조불가능하도록 보호하는 S/W
• 수신자가 아니면 내용 확인 불가
• 메시지 변조 여부 확인 가능
• 특정 키를 소유한 사용자만 암호 알고리즘 해독 가능
• 보안성이 높고, 키교환 없이 사용 가능하고, 송수신자 구분 가능
• 구현이 쉬워 사용자 스스로 구현

PEM(Privacy Enhanced Mail)

• 이메일 전송 보안을 강화하기 위해 제안된 인터넷 표준
• 암호화 알고리즘으로 메시지 암호화 → base64 형식 변환후 전송
• 대칭키, 비대칭키 암호 방식 모두 사용
• 비밀성및 메시지 무결성을 보장
• 다만 구현이 복잡하여 널리 사용되지 않는다
• 은행 시스템이나 군사 관련 분야에서 사용