1. OSI 7 Layer
1. Application
- 해당 어플리케이션(Email, ftp, http등)에 맞게 사용자 인터페이스(UI)를 Design하는 Layer(Outlook Express, FTP 등.
- Protocols(FTP:TCP 21,SSH:TCP 22, Telnet:TCP 23, SMTP:TCP 25, HTTP:TCP 80, SNMP:UDP 161, DNS:UDP 53).
1) DNS(Domain Name System)
① DNS의 보안적 취약점
- 프로토콜 內 인증기능이 없음(해결방안 : DNSSEC(PKI기반기술))사용.
- UDP / Clear Text(Plain Text).
- No authentication between servers for zone transfer.
- DNS cache poisoning(Redirection현상 발생 : 파밍).
② DNS Process
- Recursive: 직접 알아옴 / Iterative : 상위 DNS 주소 forwarding
- UDP 53port for DNS query
- TCP 53 port for zone transfer : DNS간에 Domain List 동기화
2) SMTP(Simple Mail Transfer Protocol)
① SMTP 보안적 문제점
- Authentication 및 Encryption 취약 : ESMTP(E:Exteneded로 지원가능)
- ESMTP보다 PGP, SMIME, PEM이 더 강력함
② SPAM 공격 : 가용성 저해
- Sent via virus-infected backdoored hosts
- 대응책 : black List, Filtering엔진 도입(탐지,교정통제 -> 돈이 많이듬), 보안인식교육 : 예방통제
3) FTP Protocol
① Transfer mode of Data channel
- Active Mode(Port mode) : 일반적
- Passive Mode(PASV mode) : 방화벽 환경
② FTP 포트
- TCP 21포트 : 접속 및 인증할 때 사용
- TCP 20 포트 : 데이터 전송
③ 인증 시 정보 평문 노출 : 보안적 문제점을 해결하기 위해 SSH를 사용
④ TFTP (UDP 69) : No Authentication : Worm이 사용하는 Port
4) SSL(Secure Socket Layer)
① Remote-access / Tunneling Protocol
- Packet encapsulation 기능 지원
- 암호화를 통한, 비인가 된 제 3자의 의미 파악을 막는다
- 인증을 통한, 승인 된 통신을 허용한다.
|
SSL-Handshake Protocol |
SSL Change Cipher Spec Protocol |
SSl Alert Protocol |
|
SSL Record Protocol | ||
|
TCP | ||
|
IP | ||
② 각 구획 별 설명.
- SSL-Handshake : 어떤 암호 알고리즘을 사용 할 것인지 협상
- SSL Change Cipher Spec : 암호화 프로토콜 채택 확인
- SSL Alert Protocol : 통신도중 오류 발생시
- SSL Record : 암호화 데이터.
③ 알고리즘
- 비대칭 알고리즘 : RSA
- 대칭 알고리즘 : RC2, RC4, 3DES, SKIPJACK 등
- 해쉬 알고리즘 : MD5, SHA-1
④ SSL VPN
- 네트워크 기반의 보안 통신 프로토콜
- 동작계층 : 전송계층 ~ 응용계층
- 장점 : 별도의 장비 없이, Web Browser만으로 구현 가능
2. Presentation
- 주로 표준화와 관련 있으며 암호/복호, 인코딩/디코딩을 수행하는 Layer
- Character 표준(ASCII, EBCDIC), 그림 표준(GIF,JPEC) 등
- Formats(ASCII, EBCDIC, GIF, JPEG, MPEG, Encrytpted, Compressed 등)
3. Session
- 두 어플리케이션간의 대화를 어떻게 수행할 것인지를 결정하는 Layer
- 통신 모드 : Full-Duplex, half-Duplex, Simplex
4. Transport
- TCP : connection-oriented, Reliable, 재전송, Flow Control
- UDP : Connection-less, Best-effort프로토콜
|
|
TCP |
UDP |
|
3Way Handshake |
Yes |
No |
|
Reliable |
Yes |
No |
|
Connection |
Connection-oriented |
connectionless |
|
Flow Control |
Yes(Window in TCP) |
No |
|
Speed |
UDP보다 느림 |
TCP보다 빠름 |
|
Fragmentation |
거의 발생 안 함 (MSS in TCP) |
주로 발생함 |
|
Attack |
SYN flooding, Port scan |
Fraggle, Port Scan |
|
프로토콜 |
SMTP, FTP, HTTP, Telnet DIAMETER,TACAS+ |
SNMP, NFS, Kerberos RADIUS, TACAS |
|
기타 |
|
Best-effort |
5. Network
- Intermediate Routing Decisions(최적의 경로설정)
1) Private IP
① Class A : 10.0.0.0 ~10.255.255.255
② Class B : 172.16.0.0 ~ 172.31.255.255
③ Class C : 192.168.0.0 ~192.168.255.255
2) 통신 방법
① Unicasting : 1: 1
② Multicasting : 1 : Group
③ Broadcasting : 1 : Any
3) ICMP : 대표적 인 예 : Ping
① 패킷 전송과정의 오류를 Reporting하고 예상치 못한 환경 발생 시 시스템에게 정보를 제공하기 위한 프로토콜
② 패킷 전송시 오류만 Reporing할 뿐 오류를 해결하는 역할은 하지 못함. ( 오류 해결은 SNMP(7계층)
4) VOIP
① 인터넷 전화 서비스는 IP망을 이용해 음성데이터를 전송하는 기술로 강력한 보안대책이 없으면 통신 중 기밀, 개인정보 누출 사고 발생 할 수 있다.
② PSTN(전화선망)ß----------------àIP(데이터망)
식별자 : 전화번호 ------------------ IP주소
Gate kepper가 Mapping시킴
③ 위협 방안 : VoIP 보안성 강화를 위해서는 IP기반의 보안툴과 함께 금융거래의 공인전자인증서와 같은 수준의 보안대책이 필요하다. (PKI 도입)
6. Data-Link
- Physical Layer가 이해할 수 있는 헤더를 붙여주는 Layer
- Ethernet-Ethernet header, 전용선 – HDLC, 전화선-PPP 등
1) Error Detection and Correction
① 에러 검출 방법
- 패리티 검사(Parity Check)
- 블록 총합 검사(Block Sum Check)
- 순화적 중복성 검사(Cyclic Redundancy Check)
② 에러 검출 및 수정 기술
- 전위(Forward)에러 통제, FEC, 수신 측 조치
- 후위(FeedBack, Backward)에러통제, BEC, 재전송
2) X.25 : X.25망에 접속하기 위해서 PAD(Packet Assembler Disassembler)장비 필요
3) ISDN(Inegrated Services Digital Network)
① BRI(Basic Rate Interface), PRI(Primary Rate Interface)의 2가지 유형 제공
- BRI = 2B + D(16K) : 개인의 경우, 소규모 사무실에서 사용 최대 128kbps
- PRI = 23B(64K) +D(64K) : ISP와 같이 서비스 제공자 경우
4) ARP(Address Resolution Protocol)
① IP주소를 MAC주소로 연계시키는 프로토콜
- ARP : IP주소 -> MAC주소
- RARP : MAC주소 -> IP주소
② 하드웨어 주소(MAC 주소)
- 48bit주소 체계로 구성 24bit 제조회사 24제조 번호로 구성
③ ARP Cache Poisoning
- ARP Cache를 바꿈(ex:Spoofing 등)
- Redirection 현상 발생
7. Physical
1) Cabling
① 종류 : Twisted-Pair(UTP,STP), Coax, Fiber-Optic
쌍선꼬임 동축 광케이블
-------신뢰성, 가격, 보안성 향상 à
② Issues
- Noise : 케이블 길이에 따라 증가
- EMI(전자파) : Electromagnetic Interference – motors, lights
- Attenuation(감쇄) : 케이블이 길어질수록 signal감소
- Crosstalk(혼선):Ghost signal induced between cables (shielding(보호), twisting(꼬임), separating(격리) 등을 이용하여 예방
③ Collision 도메인 vs Broadcast 도메인 비교
|
유형 |
Broadcasting Domain |
Collision Domain |
|
Repeater |
1 |
1 |
|
Bridge(switch) |
1 |
4 |
|
Router |
4 |
4 |
|
Switch+VLAN |
2 |
4 |
④ Bridge가 Repeater와 다른점?
- 패킷은 복제하지만 전기적 신호와 노이즈는 복제하지 않음
- Collision 도메인을 분할 함.
- DataLink에서 동작
2. ITUT-X.800(공격분류체계)
|
| ||||
|
Security Attack(공격 유형) |
SecurityMechanism (방어체계) |
Security Services (공격 서비스) | ||
|
Passive (수동) |
Interception |
도청, 트래픽분석 (탐지어려움) |
Encryption +접근통제 |
Confidentiality |
|
Active (능동) |
Modification (변조) |
Modification of message |
Hash |
Integrity |
|
Key Hash = MAC (Message Authen tication Code) |
Integrity, Authentication | |||
|
Interruption (방해) |
DoS, DDoS |
Anti-DoS |
Availability | |
|
Fabrication (융합) |
Session Hijacking-snifiing+spoofing |
Anti-spoofing |
Authentication | |
1. Passive Attacks
1) Interception(Sniffer 사용)
- Traffic Analysis(트래픽 분석)을 위해서
- Eavesdropping(도청)을 위해(메시지 내용 이해 위해서)
2) Promiscuous Mode
- Promiscuous모드에서 NIC카드가 모든 패킷을 통과시킴
- 네트워크상에서 sniffer를 쉽게 찾을 수 있는 방법은? Tool을 사용한다.
2. Active Attacks
1) Social Engineering(가장 많은 공격)
① Dumpster diving : 휴지통 뒤지는 것
② Scavenge : Hard Disk의 삭제 된 내용을 복구하는 기술
③ Disk 재사용 : 포맷 7회 이상, 덮어쓰기 3회 이상
④ Disk 폐기 : Degausser, 연마 – 절삭 – 부식
2) Replay attack
① 데이터를 캡쳐 후 일정시간 지난 후 재 전송하는 기법
② 방지 방법(중요)
- Packet Sequence를 이용 하여 방지 : IPSEC
- Packet Timestamps를 이용 하여 방지 : Kerberos
3) Denial of service(DoS/DDoS)
- 1-Tier Attack(DoS) – Ping, SYN/UDP flooding
- 2-Tier Attack – Smuf attack ( Amplified network)
- 3-Tier Attack(DDoS) – Trinoo,TFN2k,stacheldraht(DDoS Tool)
① Land Attack
- TCP SYN패킷을 이용하여, Source 주소/포트를 공격 대상자의 IP 및 PORT로 지정하여 패킷 전송
- 패킷을 받은 시스템은 루프 상태에 빠지며 시스템의 IP 스택에 심각한 장애 유발 시킴
② TCP SYN Attack
- 많은 수의 half-open TCP 연결을 시도하여 상대 호스트의 listen queue(Backlog queue)를 가득 채움.
- 방지 방법 : Backlog Queue 늘림, Connection timeout를 줄임
③ Fragmentation Attack(Size를 조작하는 공격)
1. Ping of Death
- 표준에 규정된 사이즈 이상으로 큰 IP패킷을 전송하여 수신측에서 비정상적인 패킷을 처리하지 못함으로 서비스거부공격을 유발하는 것
- IP Datagram의 최대길이(65,635byte:IP헤더포함)를 초과해서 보내는 방법
2. Teardrop Attack(DNS 53 port 이용)
- IP fragment의 재조합 과정의 취약점을 이용한 서비스거부공격으로 두번째의 offset을 중첩하도록 조작하여 fragment들을 재 조합하는 과정에서 서비스거부공격 유발
3. Unnamed ACK attack : Frag offset의 중첩이 아닌 GAP(차이)로 공격
4. Tmy Fragmentation Attack : IDS 우회 용으로 공격코드 중 패킷의 최소 사이즈만 전송하여 신뢰관계 형성 후 공격 코드 전송 하는 방법
④ Smurf Attack (방지 대책 : 라우터에서 Broadcast 차단): Amplified Network
1. Smurf Attack : ICMP+Broadcast
2. Fraggle Attack : UDP+Broadcast(특정port 7번 echo 사용)
⑤ DDoS Attack
1. 방지 방법
- 완전히 방어하기가 어려움
2. DDoS 공격의 구성요소는? 공격 : Client-handler, 희생: Agent-Target
3. 대표적 DDoS 공격 툴은? TFN2K,Trinoo,Stacheldrant
4. 회사에서 좀비에 감염 되어 공격하는 경우 손해배상 청구권 있음, 이 때 사측에서 보안인식교육을 실시하였을 경우 회사는 책임을 면할 수 있음.
3. Firewall
1. Firewall Architecture
1) Screening Router
① L3
② Packet Filtering FW
③ IP주소 정보 활용
④ 단점 : Log관리가 효과적이지 못하다
2) Screened host
① Bastion Host(망루역활).
② 세대별 특징
- 1세대 : PacketFiltering, L3, IP주소.
- 2세대 : Application, L7, Contents, 모든내용에 대해서 검사, 속도저하.
- 3세대 : Stateful,L7, Content.
③ 성능(속도) : Packet Filtering>state full>Application.
④ 보안성 : Application>state full>pack Filtering.
3) Screened Subnet
① DMZ
4) Dual-Home Host
① 내부 Client 정보 노출 방지
② Proxy
- Circuit Level : L4~L5(성능 ↑) ,Port/IP주소,TCP/IP Header, NW당 1개 설치
- Application level : L7 content(성능 ↓), 서비스당 1개
2. Firewall Types
1) Bastion host는 Lock down(쓸모 없는 기능을 제거)한 상태에 있으며 인터넷에서 접근이 가능한 서버
3. Application vs Circuit Proxy firewall
|
|
Application-level Proxy |
Circuit-level Proxy |
|
OSI 7Layer |
Application |
Session(4~5 Layer) |
|
Decision |
Payload contents |
TCP/IP Header |
|
Proxy 데몬 |
프로토콜 별 |
한개 |
|
성능★ |
느림 |
빠름 |
|
방화벽 형태 |
Dual-home |
Dual-home |
- SOCKS는 Circuit-level Proxy 방화벽의 한 종류
4. NAT(Network Address Translation)
- 사설 주소를 공인 주소로 변환시켜 주는 역할
- 내부클라이언트 정보유출 방지 목적
1) Mode
① Static mode : 1:1 NAT 매핑은 주어진 사설 IP 주소에 대해 공인 IP주소가 지정 됨.
② Dynamic(1:n or n:n)
5. Technical components of IDS
1) 수집위치에 따른 IDS 분류
① H-IDS : Log분석을 통한 Trojan horse, Backdoor, Rootkit 등을 탐지
② N-IDS : worm
2) 탐지방법에 따른 IDS 분류
① Misuse
- 비정상
- Signature
- Knowledge-Base
- Expert System
- Zero-day Attack 탐지 못함
- False-Negative↑
② Anomaly
- 정상
- Behavior : 통계적 분석
- Profile(statistical)생성
- AI, Neural Network(인공지능, 신경망구조)
- Zero-day Attack 탐지 가능
- False-positive↑
6. Honeypot(Honeynet)
- Preventive control효과(예방 통제)
- 침입자의 Attack기술을 사전 탐지할 수 있는 기회 제공(zero-day attack 방지)
- Padded-cell : IDS와 연계하여 honypot으로 패킷 전달(Corrective control) : (교정 통제)
7. Ethical hacking(Pen-Test)
1) Penetration test는 negative test 성질을 보임
① Positive test(clean test) : 정상적 기능 테스트
② Negative test(dirty test) : 강제로 error를 만들기 위한 테스트
③ Black box(소스코드 없이 테스트)
④ White box(소스코드 갖고 테스트)
2) Blue teaming : IT담당자가 의뢰
3) Red teaming : IT담당자 모르게 경영진에서 의뢰
4) 침투테스트는 연1회, 소화기는 1년에 4번 확인,검토,검사(분기별 1회)
5) 크로스사이트 스크립트(Cross-site script,XXS
6) Pen-test에서 가장 주요한 프로세스는 ? 고객요청서
4. VPN(Virtual Private Network(가상 사설망)),Tunneling
|
|
L2TP |
PPTP |
|
암호화 |
없음(IPSEC 함께 사용) |
★RC4 (stream 암호화) |
|
인증 |
Certificate(인증서)★ |
ID/PW(MS-CHAP) |
|
공통점 |
1. Data Link Layer 2. PPP지원 | |
1. L2TP
1) Layer Two Tunneling Protocol
2) 정보 보호 서비스
① 기밀성 : 없음 ->L2TP over IPSEC
② 인증(certificate)기반 인증서를 사용
2. PPTP
1) Point-to-Point Tunneling Protocol
2) 정보 보호 서비스
① 양방향 Tunnel형성
② 기밀성 : RC4 알고리즘 사용 : 주소 부분은 암호화 하지 않음
③ 사용자 인증 : MS-CHAP(PPP인증)
3. IPSEC
- ISAKMP, OAKLEY, ESP, AH, IKE와 관련있는 프로토콜은? IPSEC
- IPv6에서 채택한 VPN protocol은? IPSEC
- IPSEC에서 암호화를 수행하는 프로토콜은? ESP
- Aggressive Mode란 ? 암호화 Key교환속도를 향상 (main mode– cf. Aggressive Mode)
- Sniffing을 방지할 수 있는 것은? ESP, AH, PPP (오타 EST 주의)
1) IPSec MODE
① Tunnel mode
1. 특징 : IP header까지(전체) 암호화
2. 장점 : 트래픽 분석에 강하다
3. 단점 : 목적지에 도달하기 전에 평문이 노출 될 수 있다.
② Transport mode
1. 특징 : IP header제외(일부) 암호화
2. 장점 : 전송중에 평문 노출이 없다.
3. 단점 : 트래픽 분석에 취약하다.
2) IPSec Process
① IKE=internet Key Exchange
② SA(Security Association)=양측간의 사용할 암호화 방식,키 교환 절차 등의 합의
③ SPI(Security Parameter Index)=생성된 SA의 식별자
④ Main Mode(Phase 1) : IKE SA설정 과정 : Phase 2에서 전송될 IKE 메시지 보호용 보안파라미터를 협상(IPSec 통신을 위한 안전한 채널을 형성)
- Aggressive mode : 암호화키 교환을 3메시지로 단축시켜 속도 향상
⑤ Quic Mode(Phase2) : IPSec SA 설정과정 : 이후 전송될 패킷들을 보호하기 위한 IPSec SA를 설정(실제 IPSec 통신을 하기 위한 각종 값들을 설정)
3) AH (Authentication Header): 인증 목적 헤더
- 데이터의 보존성(무결성)과 IP 패킷의 인증을 제공
- Replay Attack을 방지 – Sequence number사용
- AH는 Message Authentication Code(MAC)를 기반(메시지 인증)
- 암호화 X, 인증 헤더 일 뿐
4) ESP(Encapsulating Security Payload) : 암호화, 인증
- 전송자료를 암호화하여 전송, 수신자료 복호화
- 비밀성과 무결성 제공, Replay attack방지
- 암호화와 선택적 인증을 동시에 지원
5. Wireless
1. Wireless Threat
- Eavesdropping(도청이 쉽다)
- Jamming(RF DoS) : Access Point(AP) Jamming for rogue AP : Evil Twin
- MITM(Man in the Middle)
- Cryptography threat(WEP-RC4/40bit static key)
2. Spread Spectrum : 전파 중간에 잡음,노이즈를 넣는 도청 방지 기술
- FHSS(Frequency Hopping Spread Spectrum) : blueTooth
- DSSS(Direct Sequence Spread Spectrum) : CDMA 802.11b
3. SIM Card
- SIM(Subscriber Identity Module) 가입자 식별 코드
- GSM망에서는 Operator별로 단말기를 바꾸지 않아도 되는 이유? SIM카드 때문
4. Phone Cloning(대포폰)
- Phone cloning을 할 때 필요한 것은? ESN, MIN
- ESN(Electrical Serial Number) : hardware serial 번호
- MIN(Mobile Identification Number) : 전화 번호
5. Wireless LAN(802.11)
- 802.11 : wireless LAN(WI-FI)
- 802.11i = 보안 표준 설정(인증 802.1x/EAP, 암호:AES)
1) Wireless LAN topology
- IEEE는 802.1(사용자 인증)을 설명할 때 3가지 용어를 정의)
- Wireless LAN 인증시 중요 3가지 장비 : Supplicant, Authenticator Authentication Server
2) Wired Equivalent Privacy(WEP)
- Wireless LAN을 보안할 때 사용하는 프로토콜은? WEP
- AP(Access Point)를 원격에서 찾아서 공격하는 방법은? War driving, War Walking
- Layer 2 Protocol
- Securing Access Point(AP)
6. BlueTooth
- Authentication:Challenge & Response method(인증방식 : CHAP방식)
- FHSS(Frequency Hopping Spread Spectrum)
'Certificate > CISSP' 카테고리의 다른 글
| CISSP Domain4-Software Development Security (0) | 2015.02.03 |
|---|---|
| CISSP Domain3-Information Security Governance&RiskManagement (0) | 2015.01.19 |
| CISSP Domain1-AccessControl (0) | 2015.01.15 |