컴퓨터 보안 (8) - Network Security 3

시험공부하며 러프하게 정리한 내용이니, 가볍게 참고만 하시길

 

🥕7장 네트워크 보안 3
 
>> IDS : 침입 탐지 시스템, site 정책 기반임
- 침입 : 보안을 손상시키는 모든 행위. 발견하면 alarm 울림.

- 침입자 유형 (시험 100%)
1) masquerader : 적합한 사용자인척
2) misfeasor : 내부자가 허가 안된 행동을 하는 것
3) clandestine user (비밀리에 하는 유저): 나쁜짓 해놓고 로그/파일 지워놓음.

- 침입 유형
1) 포트스캔 : 열린 포트 있는지 스캔
2) Dos 공격 : 호스트 압도, 합법적인 접속도 차단해버림
3) malware 공격 : 트로이, 바이러스, 웜
4) ARP 스푸핑 : 로컬 네트워크에서 ip 리다이렉션 공격
5) DNS 캐시 중독 : DNS가 잘못된 ip로 연결해주도록 중독시킴

- IDS 유형
1) rule-based IDS (블랙리스트 느낌)
어떤 행위가 공격인지 정의. 이에 해당하면 침입으로 간주. 공격 패턴(signature) 같은 것을 분석함
2) Statistical IDS (화이트리스트 느낌)
보통유저의 일반적인 행동을 통계적으로 정의(profile), 이에 크게 벗어나는 행동 발견시 알람 울림. (ex. pw 100번틀림)

>> 알람 : 알람을 기준으로 true, false 체크해보면 쉬움
- 공격시 알람울림 : True positive
- 공격X  알람울림 : false positive
- 공격시 알람 안울림 : false negative
- 공격X  알람 안울림 : True negative

>> Base-rate Fallacy 문제
- 대부분은 정상유저, 아주 일부만 침입인데 이 비율 차이가 너무 커서 base-rate fallacy라는 오류 남.
- 높은 정탐, 낮은 오탐을 유지하는 건 어려운 문제다.
ex) 99% accuracy라고 하자.
100만개 정상요청, 100개의 침입이 있다.
침입에 대해선 99개를 잡고, 1개는 못잡음.
근데 99%가 정상요청에서도 해당되니까 1%가 알람 울림.
그래서 잘못된 1만번의 알람이 울리게 되는 것.
==> 결국, 10,099개의 알람이 울림. 즉, 알람중 99%가 잘못된 알람이라는 것. 그래서 1%의 오탐률도 높은 수치다.

>> 알람 내용에(IDS 데이터) 포함되어야 하는 것.
- subject, object, action, exception-condition, resourece-usage, time-stamp
누가, 뭘 대상으로, 어떤 행동을, 이 행동으로 인해 어떤 오류가, 사용된 자원 양, 언제 시작됐나

>> Honeypots : 공격자를 유인
- 공격자가 잘못된 경로로 가게 유인함. 중요한 정보를 담은 척 허술하게 보여주면서 유인함.
----------------------------------------------------------------------------------------
>> Wireless Network (wifi)
- 물리적 연결 X, 그래서 모든 무선 네트워크는 도청이 가능하다. 도청 방지하려고 MAC 기반 접속을 설정하기도 함, 물론 MAC 스푸핑도 가능함. 어떻게 하냐면, 와이파이 통신 잠깐 끊겨도 세션이 유지되는 걸 이용해서 MAC 스푸핑으로 세션을 이어받음.
- 적용 범위로 구분
개인 PAN : Personal Area Network
지역 LAN : Local Area Network
대도시 MAN : Metropolitan Area Network
- 가로채기, Man-in-the-middle attack같은 보안 취약점 있음
- SSID : WIFI 식별자. 이름같은거임
SSID는 서명되지 않으므로 스푸핑 가능함. 같은 SSID로 설정해놓고 하나는 정보 빼먹는 WIFI인것임

>> Captive Portal (스타벅스 동의 페이지)
- 네임서버가 모든 요청을 인증 서버로 리다이렉션함.
- 이 페이지에서 MAC주소, 기기정보, 쿠키수집 등 동의한 후에 원래 페이지로 돌아감.
- 여기서도 MAC스푸핑이 가능. (세션 이어받기)

>> walkDriving & warChalking : 차타고 다니며 wifi 탐색, 걸어다니며 wifi쓸 수 있는 위치 분필로 기록
- 정보가 전송되지 않고 네트워크 서비스도 안쓰니까 불법성이 명확하지 않음.

>> WEP - wired equivalent privacy : wifi 보호하기 위한 방법. 지금은 위험한 거 밝혀져서 안씀.
- 목표는 도청방지, 무결성, 엑세스 제어(암호화된 패킷만 전달)
- 암호화 key : 40bit (너무 작음), 24bit 초기화벡터
- 내용만 암호화, 헤더는 암호화 X
- 암호화 기법 RC4
- 세션 도중 키 못바꿈.

>> Authentication spoofing
- 인증 메세지를 도청할 수 있다. (인증 과정에서 메세지 볼 수 있음)
- 챌린지 와도 S(k,v)와 암호문 xor시키면 됨.
- 이걸 방지하려면 V를 무작위로 뽑아야 공격 방지 가능.

>> 메세지 수정 공격
- 누구나 주어진 메세지에 대해 CRC 계산 가능해서 취약함
- 메세지 내용 변조 가능

>> IP redirection 공격 : ip 주소도 바꿀 수 있음.
- 패킷이 access point까지 가면 복호화가 됨. 일단 패킷 받으면 내용 확인 된다는 소리.

>> 재사용된 벡터
- WEP은 iv가 24bit인데 너무 적어서 4000번정도면 충돌날 수 있음.

>> fast attack - packet injection : 악의적인 요청해서 빠르게 패킷 만들어서 IV값이 겹치는 순간이 빠르게 오도록 만듦.

>> WPA : WEP 개선
- key 40bit -> 128bit
- iv 24bit -> 48bit
- 세션 도중 키를 바꿀 수 있음.

>> WPA2
- RC4 -> AES 사용
- 암호화, 키 관리 및 무결성 처리 -> 헤더와 내용이 변경되지 않았다는 MIC 붙임 (마이클 알고리즘은 강력하지 않다)

>> WEP, WPA, WPA2 종합
- 결국 액세세 포인트까지만 보호해준다.
- access point에서 암호가 해독되므로 도착하고, 내용 보고 네트워크로 전송해야함. 그래서 패킷이 일단 나에게 도착하면 내용 볼 수 있다는 것.
- 만약 access point까지 끝까지 보호하고 싶으면 SSH, Https 등 사용해야함.