ePATRON Security Rainbow Part 1 네트워크보안pds5.egloos.com/pds/200703/17/14/network_security...

Trust Patron for e-Globe

Copyrightⓒ2001 KCC Information & Communication All rights reserved

ePATRONePATRON Security Security RainbowRainbowPart 1 Part 1 네트워크네트워크 보안보안

July. 2001

Trust Patron for e-Globe 2

KCC Information & Communication Security Biz.Security Rainbow


ePATRON Security Rainbow - Part 1 네트워크 보안ⓒ 2001 저작권소유 KCC정보통신주식회사발행인 이 상 현편집인 김상균, 전성훈, 권성호, 김민형

1. 본 책자의 제작 및 사용에 대한 모든 권리는 KCC정보통신주식회사에

귀속됩니다.

2. 본 책자의 배포와 참조는 제약되지 않으나, 본 책자 내용의 일부 또는 전체를임의로 복사, 편집하여 배포하는 행위는 금지됨을 알려드립니다.

: 서울시 중구 봉래동 1가 우리빌딩 14층

: www.kcc.co.kr: 02.3783.7938: 02.3783.7898: [email protected]

주소

URLTelFaxe-mail

본 책자는네트워크보안에 대한전반적인 내용을담고 있습니다.

ePATRON Security Rainbow




목차

1.0 통신 및 네트웍 보안

1.1 네트워크 보안의 필요성

1.2 네트워크 보안 개요

2.0 TCP/IP 특성과 취약점

2.1 TCP/IP 특성

2.2 TCP/IP 취약점

3.0 네트워크 보안 솔루션

3.0 침입차단시스템

3.1 침입탐지시스템(네트워크기반)

3.2 침입자유인시스템

4.0 원격보안 통신기술

4.1 인증메커니즘을 이용한 프로토콜

4.2 가상사설망(VPN)

ePATRON

445

66

11

12121314

151516

17




1.1 네트워크 보안의 필요성

1.0 통신 및 네트워크 보안

네트워크 보안하면느려지지 않나요? …

“가뜩이나 대역폭이 모자른데…”“이용자들에게 불편을 주지 않을까? …”“보안업체가 우리같이 큰 네트워크를… ”

네트워크는 우리 생활의 “도로”라고 할 수 있습니다. 도로는 많은

차들이 원하는 목적지로 최대한 빠르게 도달할 수 있도록 해줍니다. 도로가 곧고 넓을수록, 포장이 잘되어 있을 수록 차는 더 빨리 달릴

수 있습니다.

하지만, 도로에 교통흐름에 방해된다고 신호등이나, 중앙분리대 같

은 교통안전시설이 없다면 어떻게 될까요? 과연 차들이 빠르게 원

하는 목적지에 무사히 도착할 수 있을까요?도로에서 “교통안전”이 중요하듯, 네트워크에서도 “안전한 네트워

크” 구축은 필수 입니다.

인터넷 시대에 살고 있는 지금, 네트워크는 인터넷, E-business의근간이 되었지만, “안전”하지 못하다면 네트워크 오·남용 등으로 인

해 결국 큰 재앙을 불러올 수 있습니다.

조금 불편하더라도 도로에 신호등을 설치하고 과속방지턱을 만들

듯, 네트워크에서도 이제는 “보안”에 신경을 써야 할 때입니다.




1.1 네트워크 보안 개요

최근 일어나는 네트워크의 공격 유형은 크게 4가지로 나누어

볼 수 있습니다.

ü 방해(Denial of Service)ü 가로채기(hijacking,sniffing)ü 위조(IP Spooping)ü 회피(source routing)ü 기능마비(ICMP SYN flood, nuking)

네트워크 보호대책은 크게 세 가지로 나눌 수 있습니다.-상위레벨: 침입자 유인시스템(Honey-Pot)-중위레벨: 침입 탐지시스템, Contents Filtering(Anti-Virus 등)-하위레벨: 침입 차단시스템, 라우터(IOS의 ACL 커멘드 등)

네트워크상의공격 유형

네트워크보호대책

1.0 통신 및 네트워크 보안

침입차단시스템, 라우터(IOS ACL …), VPN

침입탐지시스템(IDS),Contents Security(Anti-Virus, 웹·메일 모니터링 등)

침입자 유인시스템





TCP는 두 지점간의 신뢰성 있는 전이중(full-duplex) 서킷 교환(circuit-switched) 연결방식을 제공합니다. 이 때 연결은 송신자의 IP 주소와 송신자의 TCP 포트 번호, 수신자의 IP 주소와 수신자의 TCP 포트 번호의 4가지 정보를 이용하여 송수신자의 주소와 연결에 필요한 포트를 서로 매핑(Mapping)해서통신을 하게 됩니다.

송신자가 보내는 모든 바이트는 32비트의 일련번호가 매겨지고 수신자도 이 일련번호를 통해 여러 조각으로 나뉘어진 전송데이터 들의 순서를 인식하게 됩니다. 첫 번째 송신 바이트를위한 일련번호는 연결 설정 시 계산되어지고 매 TCP 연결 시마다 다른 일련번호가 변화하여 중복되지 않도록 합니다.

TCP/IP 연결 방식을 설명하기 앞서 실제 전송 시 이용하는TCP 패킷의 구조와 이와 관련해 설명에 필요한 용어를 소개하면 다음과 같습니다.

TCP 프로토콜

TCP패킷의 구조

오늘날 인터넷에서 이루어지는 대부분의 네트워크 트래픽은 TCP/IP 프로토콜

기반에서 이루어지고 있습니다. 하지만 이 TCP/IP는 당시 보안을 고려하여 설계

된 것이 아니었기 때문에 이들의 근본적인 취약점을 이용한 네트워크 공격이 끊

임없이 이루어지고 있습니다.

따라서 이번 장에서는 TCP/IP의 특성과 보안 취약점에 대해 알아보겠습니다.

2.1 TCP/IP 특성




2.1 TCP/IP 특성(계속)

TCP 패킷의 구조(계속)

TCP 연결 순서

URG : 긴급 포인터

ACK : 승인

PSH : 푸쉬 기능

RST : 접속의 재설정

SYN : 동기화 일련번호

FIN : 송신자로부터 연결 종료 신호

Control Bits

긴급 포인터UrgentPointer

헤더와 데이터의 TCP Checksum bitChecksum

송신자의 윈도우 크기Window

수신될 다음 바이트의 일련 번호(예상) ACK

Number

패킷내의 데이터 오프셋Data Offset

기타 TCP 옵션

SEG_SEQ : 패킷의 일련번호

SEG_ACK : 패킷의 확인번호

SEG_FLAG : 제어 비트

Option

전송 패킷의 첫번째 바이트 일련번호SequenceNumber

목적지 포트 번호Destination

Port

송신측 포트 번호Source Port

<TCP 패킷 구조 용어 설명>

TCP는 처음 연결을 맺기 위하여 "three-way handshake"라는 방식을 사용합니다. 연결 방식을 좀 더 쉽게 설명하기 위해정상적으로 패킷 교환이 일어나는 절차를 그림으로 나타내면다음과 같습니다.






TCP 연결 순서(계속)

TCP 연결 순서


<TCP 연결 설정 순서>

ClientClient ServerServer

1. SYN seq = x전송

2. SYN seg 수신SYN seq = y,ACK x+1 전송

3. SYN + ACK 수신ACK y+1 전송

4. ACK 수신,연결 시작

TCP는 이미 알다시피 패킷이라는 작은 단위로 메시지를 잘게나누어 전송하는 구조입니다. 따라서 조각으로 나뉘어져 전송되는 패킷들이 제대로 송수신 되었는지 확인이 가능해야 수신측에서 수신된 패킷을 합쳐 원본 메시지로 복원할 수 있습니다. 이를 위해 TCP 프로토콜은 각각의 패킷에 대해 일련번호(SYN Segment)를 부여하고 수신측에서는 받았음을 알리는ACK(Acknowledge) 를 보내는 구조를 통해 신뢰성있는 연결방식을 제공합니다.

TCP 프로토콜 연결 설정은 처음 서버와의 연결을 맺으려는 클라이언트가 코드 필드안에 SYN(synchronization) 비트를 전송하면서 연결요청을 하는 것으로 시작됩니다. 이 연결 요청을받은 서버는 요청을 받았음을 알리는 ACK(Acknowledge) 번호를 보내게 되는데 이는 클라이언트가 전송한 SYN 비트값에1이 증가한 것입니다. 또한 서버 역시 전송한 메시지에 대해 y값을 가진 SYN비트를 클라이언트에게 전송합니다. 이를 수신하고 클라이언트가 보내는 두 번째 메시지는 핸드쉐이킹을 계속하고 있다는 것 뿐만아니라 첫 번째 SYN 세그멘트에 대한응답이라는 것을 나타내는 SYN 비트와 ACK 비트 집합 모두를나타내게 됩니다. 이제부터 연결이 올바른 TCP연결이 맺어졌음을 확인하고 연결을 시작하게 됩니다.





정상적으로 연결을 종료할 경우에는 SYN 비트대신 FIN비트를 이용해 응용프로그램과 종료 메시지를 주고받습니다.

TCP 연결 순서(계속)


ClientClient ServerServer

2. FIN seg 수신ACK x+1 전송

4. FIN seq=y, ACK X+1 전송

1. FIN seq = x전송

3. ACK 수신

5. SYN + ACK 수신ACK y+1 전송

6. ACK 수신

TCP연결이 성립되는 과정에서, 아무런 데이터 전송이 없으 면서 다음과 같이 서로의 일련번호와 확인번호가 일치하지 않는 desynchronized 상태가 발생할 수 있습니다.

Server_SEQ ≠ Client_ACKClient_SEQ ≠ Server_ACK

이 상태는 데이터가 전송되기 전까지는 안정적이지만 데이터가 전송된다면 다음 두 가지 문제가 발생하게 됩니다.

1. Client_SEQ < Server_ACK + Server_WindowClient_SEQ > Server_ACK

이 상태에서는 패킷 수신이 가능하고 데이터도 나중에 사용을 위해서 저장되지만 사용자에게 Server_ACK의일련번호는 전송하지는 않게 됩니다.

2. Client_SEQ > Server_ACK + Server_WindowClient_SEQ < Server_ACK

이 경우, 패킷 수신이 불가능한 상태이고 데이터도 버려지

게 됩니다.따라서,두가지 경우 모두 상호간의 실제 데이터

교환은 불가능한 상태입니다.

desynchronized 상태





TCP 프로토콜이 데이터를 전송하고 에러를 검출하여 전달하는

수단과 관련한 것이라면, IP 프로토콜은 실제 패킷을 목적지로

보내는 과정에 필요한 주소를 제공하고 실제 전달하는 역할을

하는 프로토콜이라 할 수 있습니다.

IP 프로토콜

IP 프로토콜이 목적지를 확인하고 전송경로를 확보하기에는

CSMA/CD (Carrier Sense Multiple Access / Collision Detect) 라는 방식을 사용합니다.즉, 서로 공유하고 있는 Bus라는 중앙

의 연결 선에 자기의 존재를 알리거나, 목적지를 찾고자 할 때

Broadcast 하고, 전송 시도 시 목적지를 찾은 후에는 데이터를

한 사람에게 Unicast하거나 여러 사람에게 Multicast를 하게

됩니다.따라서, A라는 사람이 C에게 정보를 보낼 때는 먼저 Bus에 연결

되어있는 모든 사람에게 패킷을 전송하며, B는 자기가 수신자

가 아니므로 도착된 패킷을 버리게(discard) 됩니다.

AA BB CC

busbroadcast





2.2 TCP/IP 취약점

따라서, 위의 TCP/IP 의 특성들로 인하여 몇 가지 근원적인 보

안 취약점이 존재하게 됩니다. 그 중 대표적인 예를 들면 다음과

같습니다.

1. Sniffing (IP)

Sniffing이란 네트워크상의 떠다니는 데이터를 도청하는 행위

를 일컫는 말로 이때 이용하는 스니퍼는 일종의 네트워크 도청

장치라고 할 수 있습니다.

앞서 IP 프로토콜의 특성을 설명한 바대로 TCP/IP를 주로

사용하는 이더넷은 로컬 네트워크내의 모든 호스트가 하나의

선(wire)를 공유하도록 되어 있습니다. 따라서 같은 네트워크

내의 컴퓨터는 다른 컴퓨터가 통신하는 모든 트래픽을 볼 수

있습니다. 특히 이더넷 인터페이스에서 모든 트래픽을 볼 수

있도록 하는 기능을 설정할 수도 있는데 이를 promiscuous

mode라고 하는데 스니퍼는 이더넷 인터페이스를 이러한

promiscuous mode로 설정하여 로컬네트워크를 지나는 모든

트래픽 (ID,Password 포함)을 도청할 수 있게 됩니다.

TCP/IP 보안 취약점

Sniffing (IP)

Session hijacking (TCP)

Session hijacking은 해커가 두 지점 간에 전송되는 모든 패킷을 감청하다가 전송에 사용되는 Sequence Number나 ACK Number를 짐작할 수 있게 되면 연결된 TCP 세션의 양단을desynchronized 상태로 만들어 접속 쌍방이 더 이상 데이터전송이 불가능하도록 한 후, 그 사이에 해커가 실제 패킷과 유사한 양 쪽에서 수신될 수 있는 패킷을 전송하는 공격 유형을뜻합니다.

즉, 이렇게 하면 해당 세션에서 이루어지는 전송 데이터의 위변조가 가능해지게 될 뿐만 아니라,마치 원래 유저는 전혀 눈치채지 못한 채 해커는 유저를 대신하여 원하는 명령을 수행할수 있게 됩니다.





3.1 침입차단시스템

일명 방화벽(firewall)이라고도 불리우며, 회사 내부와 외부 네트워크 등 2개의 네트워크 사이에서 접근 제어 정책을 구현할 수 있도록 하는 시스템을 말합니다.

일반적으로 방화벽은 외부에서의 불법적인 접근을 막도록 구성하여 불법 행위자들이 내부의 네트워크내 기계로접근하는 것을 봉쇄하도록 구성합니다. 하지만 내부 사용자는 외부에 자유롭게 접근할 수 있도록 외부로 나가는 것에 대해서는 허용할 수 있습니다. 또한 방화벽은 어디에서 출발한 트래픽이라도 제어할 수 있는 필수 보안인프라 중 하나 입니다.

ü 접근제어기능 (접근제어 목록과 규칙을 이용)

ü 감사추적기능 (통과된 모든 트래픽의 로깅정보 제공)

ü 주소변환기능 (내부의 모든네트워크를 특정 IP로라우팅)

침입차단시스템이란?

침입차단시스템의주요 기능

침입차단시스템의구성요소

외부(인터넷) 내부

필터링필터링 필터링필터링

DMZ

게 이 트 웨 이게 이 트 웨 이

구성요소

방화벽은 제품의 종류에 따라 다양한 형태로 구성되어있으나 크게 패킷 필터링 영역과 응용 레벨 게이트웨이(프록시) 영역으로 구분할 수 있습니다.

패킷필터링은 패킷을 분석후 정해진 규칙에 따라 접근허용여부를 결정합니다.

응용레벨 게이트웨이(프록시)는 어플리케이션 레벨에서이루어지는 모든 접속시도를 대행하고 로깅을 합니다.

3.0 네트워크 보안솔루션




3.2 침입탐지시스템(네트워크 기반)

IDS(Intrusion Detection System)라는 약어로 흔히 불리우는 침입탐지시스템은 원격의 컴퓨터시스템이나 네트워크에서 발생하는 이벤트를 모니터링하고 보안문제의발생 징후를 분석하는 과정을 자동화한 시스템을 말합니다.대개의 경우, IDS는 네트웍 기반으로 작동되며 최근 들어 호스트기반 IDS가 등장하고 있습니다.(시스템보안’항목의 호스트기반 침입탐지시스템 참조)

침입탐지시스템은 기본적을 다음의 구조로 구성되어 있습니다

ü 정보수집: 전체 네트워크에 대한 구성(IP discovery)

과 모든 패킷을 수집

ü 침입탐지: 수집된 정보를 분석

ü 공격대응: 탐지된 침입유형에 따라 미리 정의한 대

응행동을 수행(네트워크 세션차단, 경보 등)

침입탐지시스템이란?

침입탐지시스템의기본 구조

침입탐지시스템의종류

침입탐지시스템은 침입탐지방법과 대응의 주체에 따라 크게 두 가지로 분류됩니다.

• 침입탐지 방법에 따라:-오용탐지(misuse detection)시스템:미리 정의된 공격으로 알려진 이벤트들을 기초로

침입을 탐지, 대부분의 상용제품이 이에 해당함

-비정상행위탐지(abnormal detection)시스템:정상적이지 않은 행위가 침입에 해당된다는 것을

전제로 비정상적인 이벤트를 탐지

• 대응의 주체에 따라:-수동적 대응방식 침입탐지시스템:관리자에게 탐지된 침입관련 정보를 제공하고 실제

대응행동은 관리자가 하도록 통보기능을 수행 함

-능동적 대응방식 침입탐지시스템:침입탐지시스템이 직접 자동 Session Kill 등의 방법

을 통해 직접 실제적인 대응행동을 수행함





3.3 침입자 유인시스템

일명 Honey-Pot 시스템이라고 불리우는 침입자 유인시스

템은 침입자가 시스템에 침입하기 전 가상의 호스트로 해

커를 유인한 후 침입자 정보를 실시간으로 수집, 공격에 대

응할 시간을 벌어주는 시스템을 말합니다.

침입자는 자신이 해킹에 성공했다고 생각하나, 실제로는

침입자의 모든 행동은 감시되며 관리자에게 침입 내용에

대한 프로파일 정보를 제공하고 이렇게 분석된 자료를 통

해 시스템관리자는 어떠한 과정을 통해 목표서버에 접근하

는지 그리고 현 시스템의 취약점은 무엇인지를 파악할 수

있습니다.

ü 자동으로 침입자를 트랩으로 유도 하는 기능

ü 침입행위에 대한 감사 및 역추적 기능

ü 주요 위협에 대한 경보 및 기능

ü 공격자의 모든 행위에 대한 기록기능

ü 침입차단시스템과의 연계

침입자 유인시스템은 제품의 종류에 따라 조금씩 다르게

구성되어 있으나 크게 침입자를 발견하고 트랩(가상

호스트)로 유도하는 부분과 실제로 침입자를 가두는

트랩으로 구성되어 있습니다..

침입자를 발견하고 트랩으로 보내는 기능은 대개 기존침입차단시스템(방화벽)과 연계하여 제공합니다.

침입자 유인시스템이란?

침입자 유인시스템의주요 기능

침입자 유인시스템의구성요소

구성요소

공격자Cage

(가상호스트)

실제 운영시스템

침입자 유인





4.1 인증메커니즘을 이용한 프로토콜

네트워크 기술이 급속도로 발전하면서, 서로 떨어진 원격지의 네트워크와의 연

결 또는 외근, 재택근무 등으로 인하여 외부에서의 사내 네트워크로의 연결이 점

점 더 쉬워지고 있습니다. 특히 인터넷이 빠르게 확산되면서 이제는 전세계 어디

서나 원하는 곳과 연결할 수 있게 되었습니다.하지만 이 편리성과 더불어 신뢰성이 요구되게 되었습니다. 즉, 중요한 정보가

담긴 내부 네트웍에는 반드시 허가된 이용자만이 접근할 수 있어야 한다는 전제

가 따라야 합니다. 이번 장에서는 외부의 허가된 사용자와의 안전한 보안접속 통

신기술에 대해 알아보겠습니다.

원격지에 있는 사용자가 내부 네트웍을 이용하기 위한 권한을부여하기 전에는 반드시 올바른 사용자인지를 확인하는 과정을 거쳐야 합니다.

보안의 중요성이 날로 높아져감에 따라 네트워크 프로토콜도TACACS+, RAIDUS, Kerberos, DCE, FORTEZZA 같은 인증메커니즘을 이용하는 프로토콜이 선보이고 있습니다.

TACACS+ RAIDUS:주로 전화접속환경에서 확장가능한 인증데이터베이스를제공하고 다양한 인증방법과 통합하기 위해 사용되며 클라이언트-서버 프로토콜 구조로 서버는 인증, 허가, 기록(과금) 기능이 분리 구성되어 있습니다.

Kerberos: MIT의 Athena Project의 일환으로 개발된 인증체계로

항상 신뢰하는 제 3의 컴퓨터가 자원을 이용하려는 클라이언트의 사용자를 인증함으로써 가능해진다. 인증을 함으로써 서버는 클라이언트의사용자가 올바른 사용자 인지를 확인하게되고 서로간에는 비밀통신이 가능하게 됩니다.

인증 메카니즘을이용하는 프로토콜





4.2 VPN ( 가상사설망 )

VPN(Virtual Private Network)이란 인터넷을 비롯한 공중망에서 물리적인 네트워크의 구성과 무관하게 논리적으로 폐쇄된 네트워크을 구성하여 다양한 기능의 서비스를 제공하는 네트워크의 한 형태입니다. VPN을 이용하는 이용자는 VPN을 마치 물리적으로 속해있는 네트워크로 인식합니다.

전용회선의 경우 물리적으로 독립된 회선 및 네트워크 장비를 사용함으로써 인증되지 않은 접근에 대해서는 근원적인 보안이 가능합니다. 그러나 기업이나 조직의 네트워크가 지역적, 국가적, 범 국가적으로 널리 분포해 있을 경우 모두 개별적인 전용회선을 연결해야 하며 이를 위해서는 막대한 비용의 초기 투자 및 운영비용이 필요하다는 문제점이 있습니다.또한 전송 선로상의 도청이 발생할 경우 모든 내용을 평문(plaintext)로 전송하기 때문에 중요 정보가 그대로 노출될우려가 있습니다.

이에 비해 VPN은 기존의 공중망을 그대로 사용함으로써 전용회선과 비교하여 다음과 같은 장점을 제공합니다.

1) 필요한 투자범위가 연결 구간간의 VPN접속장비만으로한정되어 기존의 전용회선에서 필요했던 교환, 전송, 회선 설비 등에 대한 투자가 필요없게 됩니다.

2) 높은 수준의 가용성, 신뢰성을 제공하며, 지역적 한계를극복할 수 있고, 인증 및 전송 데이터 암호화를 통한수준높은 보안성을 제공합니다.

가상사설망( VPN )이란?

전용회선과 VPN의차이점, 특징

공중망공중망 ((인터넷인터넷))

구성요소

보안보안 터널터널

VPN VPN 게 이 트 웨 이게 이 트 웨 이

VPN VPN 게 이 트 웨 이게 이 트 웨 이





ePatron :「보호자」의 뜻에서 n.

1. e-비즈니스의 보호자

2. 정보보호의 후원자, 장려자

3. 정보시스템의 수호 성인, 보호[후원]자

☆ 신뢰할 수 있는 정보보호 서비스

☞ epatronize vt.

Trust Patron for e-Globe


For additional information please contact us at :[email protected]

ePATRON Security Rainbow Part 1 네트워크보안pds5.egloos.com/pds/200703/17/14/network_security...

Documents

Transcript of ePATRON Security Rainbow Part 1 네트워크보안pds5.egloos.com/pds/200703/17/14/network_security...