카테고리 보관물: 정보보안기사

터널링 프로토콜 특징 및 비교

터널링이란 송신자와 수신자 사이의 전송로외부로부터의 침입을 막기 위하여 일종의 파이프를 구성하는 기술을 말한다. 터널링되는 데이터를 페이로드(Payload)라고 부르며 터널링 구간에서 페이로드는 전송되는 데이터로만 취급이 되며 그 내용은 변하지 않는다.

PPTP(Point to Point Tunneling Protocol) – 2계층

PPTPMS사가 개발한 방법으로 IP, IPX 또는 NetBEUL 트래픽을 제안한 레이어 2 터널링 프로토콜로 이동 사용자가 홈서버에 접속하도록 구성되었다.

L2TP(Layer 2 Tunneling Protocol) – 2계층

PPTP(Microsoft) + L2F(Cisco)의 장점을 수용하여 결합한 프로토콜이다. 2계층 프로토콜이며 L2 레이어 업계 표준이다.

Sock v5 – 5계층

Sock v5세션레이어(5계층)에서 프록시 프로토콜로 사용이 되며 SOCK v4의 확장형태라 할 수 있다. 클라이언트 인증, 암호화에 프록시 등 보안기능이 추가되었다. 응용계층에서 필터링을 지원하며 SSL/TLS에 결합사용이 가능하다.

IPSec – 3계층

IPSecIETF에 의해 IP 계층 보안을 위한 개방형 구조로 설계된 VPN의 3계층 프로토콜로써 암호화 알고리즘을 수용할 수 있을 뿐 아니라 새로운 알고리즘도 수용할 수 있다. IPSec는 보안 서비스 제공을 위하여 AH(Authentication Header)ESP(Encapsulation Security Payload) 두 가지 프로토콜과 IPSec 보안구조와 관련된 데이터베이스를 이용한다.

IPSec 프로토콜

  • AH
    • 데이터 무결성IP 패킷의 인증 제공, MAC 기반
    • Replay Attack으로부터의 보호 기능(순서번호 사용)을 제공
    • 인증 시 MD5, SHA-1 인증 알고리즘을 이용하여 Key 값과 IP 패킷의 데이터를 입력한 인증 값을 계산하여 인증 필드에 기록
    • 수신자는 같은 키를 이용하여 인증 값을 검증
  • ESP
    • 전송 자료를 암호화하여 전송하고 수신자가 받은 자료를 복호화하여 수신
    • IP 데이터그램에 제공하는 기능으로서, 데이터의 선택적 인증, 무결성, 기밀성, Replay Attack 방지를 위해 사용
    • AH와 달리 암호화제공(대칭키, DES, 3-DES 알고리즘)
    • TCP/UDP 등의 Transport 계층까지 암호화할 경우 Transport 모드
    • 전체 IP 패킷에 대해 암호화할 경우 터널 모드를 사용
  • IKE
    • VPN에서 키 교환을 위해 사용되는 프로토콜
    • RFC 2409에 규정되어 있으며, IPSec를 암호화하는 데 사용됨
    • 송신측에서 수신측이 생성한 암호키를 상대방에게 안전하게 송신하기 위한 방법
    • RSA법Diffie-Hellman법 등의 암호 기술을 사용

DoS(Denial of Service) Attack

공격자의 컴퓨터로부터 표적 시스템과 그 시스템에 속한 네트워크에 과다한 데이터를 보냄으로써 대역폭, 프로세스, 처리능력, 기타 시스템 자원을 고갈시킴으로써 정상적인 서비스를 할 수 없도록 하는 행위

Dos 공격형태

시스템 과부학 공격

  • 프로세스 & 네트워크 고갈공격
  • 디스크 채우기 공격

네트워크 서비스 방해 공격

  • SYN
  • TCP/IP Flooding
  • Smurf
  • Land Attack

DoS 공격유형

TCP SYN Flooding

서비스 방해공격의 한 방법으로 전형적인 3Way 핸드쉐이킹인데 공격자가 임의로 자신의 IP주소를 속여서 다량으로 서버에 보내면 서버는 클라이언트에 SYN/ACK를 보내고 이에 대한 클라이언트 응답 ACK를 받기 위해 대기상태에 놓이게 되는 공격

  • TCP 패킷의 SYN Bit를 이용한 공격방법이다. 많은 연결 요청이 오도록하여 대상 시스템이 Flooding하게 함으로써 메모리가 바닥나게 하는 공격
  • 동시 사용자 연결 수를 존재하지 않는 클라이언트가 접속한 것처럼 하여 다른 사용자가 서비스를 받지 못하도록 하는 공격

UDP Floding

서비스 방해공격의 한 종류로 UDP 프로토콜을 이용하여 클라이언트가 서버에 가상의 데이터를 연속적으로 보내어 서버의 부하 및 네트워크 오버로드를 발생시켜 정상적인 서비스를 하지 못하도록 하는 공격

Teardrop Attack(IP Fragmentation – Ping of Death)

네트워크 패킷은 MTU(Maximum Transmission Unit) 보다 큰 패킷이 오면 분할(Fragmentation)하고 분할 된 정보를 flagsoffset이 가지고 있다. 이 때 offset을 임의로 조작하여 다시 조립할 수 없도록 하는 공격으로 Fragment를 조작하여 패킷 필터링 장비나 IDS를 우회하여 서비스 거부를 유발시킨다. 이 공격수법은 헤더가 조작된 일련의 IP 패킷조각(IP Fragments)들을 전송함으로써 공격이 이루어진다. 이 수법으로 공격당한 시스템은 네트워크 연결이 끊어지거나 일명 "죽음의 푸른 화면(Blue Screen of Death)"이라 불리는 오류 화면을 표시하면서 중단된다.

Ping of Death

ping을 이용하여 ICMP 패킷을 규정된 길이 이상으로 큰 IP 패킷을 전송하여 수신 받은 OS에서 처리하지 못함으로써 시스템을 마비시키는 공격

Tear Drop

Fragment 재조합 과정의 취약점을 이용한 공격으로 목표시스템 정지나 재부팅을 유발하는 공격. TCP Header 부분의 Offset Field 값이 중첩되는 데이터 패킷을 대상 시스템에 전송

Smurf Attack(ICMP Flooding)

ping을 이용한 공격으로 ICMP_ECHO_REPLY를 이용한 공격이라고 할 수 있다. 출발지 주소를 속여서 네트워크의 Broadcast 주소로 ICMP_ECHO_REQUEST를 전달하는 경우 출발지로 응답에 대한 traffic이 증가되어 정상적인 네트워크 서비스가 이루어지지 않을 수 있다.

ARP Spoofing

  • 로컬 통신 과정에서 서버와 클라이언트는 IPMAC 주소로 통신을 수행한다.
  • 클라이언트의 MAC 주소를 중간에 공격자가 자신의 MAC 주소로 변조하여 마치 서버와 클라이언트가 통신하는 것처럼 속이는 공격이다. 이러한 공격은 Fragrouter를 통하여 연결이 끊어지지 않도록 Release를 해주어야 한다.

Land Attack

IP Header를 변조하여 인위적으로 송신자 IP 주소PORT 주소를 수신자의 IP 주소PORT 주소로 설정하여 트래픽을 전송하는 공격 기법이다. 송신자와 수신자의 IP 주소PORT 주소가 동일하기 때문에 네트워크 장비에 부하를 유발한다.