네트워크 기반 주요 위협(3)

네트워크 스캐닝 대응 방안

네트워크 장비에 의한 필터링

Router/Switch에서 ACL을 이용하여 허용하지 않은 사용자에 네트워크 차단

 

서버에서 실행중인 불필요한 서비스 중지

불필요한 Port 닫기

 

침입탐지시스템(IDS) 및 침입차단시스템(IPS) 연동

syslog를 점검하더라도 스캔이 끝난 상황이면 대응이 늦어질 수 있음

---

근거리 네트워크(LAN) 공격 개요

OSI 7계층에서 2계층에 해당하는 Mac 주소 또는 프로토콜을 이용한 공격이 수행되는것이 특징!!

주요 공격

ARP를 이용한 MITM 공격

중간자 공격을 막기위해 TLS/SSL프로토콜을 이용한 공개키 기반 인증을 사용

 

STP(Spanning Tree Protocal) 공격

STP는 스위치 네트워크 환경에서 사용되는 프로토콜

루핑(정상적인 연결을 수행하지 못하고 통신이 쳇바퀴처럼 도는 현상) 공격을 방지하는 프로토콜

STP를 이용하여 스위치의 연결 흐름을 제어하여 악의적인 목적의 스위치로의 연결을 전환 가능

 

MAC 스푸핑 공격

연결되어 있는 MAC 주소를 변조하는 공격

특정 장치로 위장하거나 해당 장치의 서비스를 거부하는 공격으로 활용

 

CAM(Content Addressable Memory) 테이블 오버플로우

Mac 주소 테이블 스위치에서 연결되어 있는 장치로의 데이터 송수신을 위하여 Mac 주소별 특정 경로 선택을 위한 IP 또는 포트를 매칭하고 저장하고 있는 공간

스위치 전원이 올라왔을 때 Mac 테이블을 임의로 과도하게 늘려 저장하도록 수행

저장된 테이블 수가 다량이면 정상적인 연결이 새로 들어올 경우 이미 잡혀 있는 메모리의 한계가 존재하기 때문에 정상 연결이 불가능하도록 하는 DoS 유형의 공격

 

DHCP Starvation 공격

DHCP 서버에 DoS 공격을 수행하여 새로운 클라이언트가 IP를 자동으로 할당 받지 않도록 하는 공격

DHCP 서비스에서 과정 중 DISCOVER 단계의 패킷을 지속적으로 보내 DHCP 서비스를 이용한 IP 자동할당이 되지 않도록 함

---

ARP 스푸핑

근거리 네트워크(LAN) 환경에서 중간자 공격에 사용 되는 기술로 활용

IP에서 MAC주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 변조하여 공격하는 방식

 

공격 방법

피해자 PC의 IP와 게이트웨이의 IP에게 ARP Reply 공격을 수행

 

1. 게이트웨이를 대상으로 공격

arpspoof -i eth0 -t [GATEWAY_IP] [TARGET_IP]

 

2. 피해자를 대상으로 공격

arpspoof -i eth0 -t [TARGET_IP] [GATEWAY_IP]

 

3. 네트워크 연결을 위해 포워딩을 해주는 명령 실행

fragrouter -B1

 

대응방안

시스템 내 대응방안

정적인 ARP table 관리

- 재부팅 시에도 항상 정적인 ARP table이 관리될 수 있도록 설정

보안 수준 강화

- 공격자가 설치한 프로그램으로 수행될 수 있으므로, 서버 내의 보안 수준 강화

중요 패킷 암호화

- 네트워크를 통해 중요한 데이터가 송/수신 될 경우 유출 및 변조되지 않도록 조치

 

네트워크 장비 내 대응방안

정적인 MAC 주소 관리

사설 VLAN 활용

보안 스위치 활용