네트워크 보안

해당 포스트는 정보보안기사 필기시험을 대비하기 위해 작성한 필기본이다.

---

## 프로토콜의 주요 요소

• 구문(Syntax) : 데이터의 형식, 부호화, 신호 레벨 등을 가리키는 것으로 데이터가 어떠한 구조와 순서로 표현되는지를 나타냄.
• 의미(Semantics) : 각 비트가 갖는 의미를 나타내는 것으로 해당 패턴에 대한 해석과 해석에 따른 전송제어, 오류수정 등에 관한 제어정보를 규정하는 영역.
• 타이밍(Timing) : 두 개체간의 통신속도를 조정하거나 메시지의 전송시간 및 순서 등에 대한 특성을 가리킴.

*** OSI 7 Layer의 구조

계층		특징	데이터 종류	예
7	응용 (Application)	- 각종 응용서비스 제공 - 네트워크 관리	메시지 (Message)	FTP, TFTP, SNMP, SMTP, Telnet, HTTP, DNS, DHCP
6	표현 (Presentation)	- 네트워크 보안(암/복호화) - 압축/압축해제, 포맷 변환 수행		ASCII, Mpeg, jpg, MIME
5	세션 (Session)	- 소켓 프로그램 - 동기화 - 세션 연결/관리/종료		전송모드 결졍(반이중, 전이중 등), SQL, RPC
4	전송 (Transport)	- 데이터 전송보장 - 흐름 제어 - Quality Of Service(QOS)	세그먼트 (Segment)	TCP, UDP, SCTP
3	네트워크 (Network)	- 통신경로 설정, 중계기능 담당 - 라우팅 - IPv4 & IPv6	패킷 (Packet)	IP, ICMP, IGMP, ARP, RARP, NAT, RIP, BGP
2	데이터 링크 (Data Link)	- 오류제어, Frame화 - 매체제어(MAC) - 에러검출, 에러정정, 흐름제어	프레임 (Frame)	이더넷, 토큰링, PPP, SLIP, 802.11(WLAN)
1	물리 (Physical)	- 물리적 연결설정, 해제 - 전송방식, 전송매체	비트 스트림 (Bit Stream)	기계적, 전기적, 절차적 규격

## TCP/IP 계층별 역할

• 데이터링크 : 전송 매체에 프레임을 송수신하는 역할을 담당한다.
• 네트워크 : IP는 호스트 네트워크 주소를 관리하고, 패킷을 라우팅하는 역할을 수행한다. ARP는 네트워크 호스트들의 하드웨어 주소를 얻는 데 사용되며, ICMP는 패킷 전송에 관한 오류 메시지의 처리를 담당한다.
• 전송 : 종단간 통신 서비스 제공을 담당한다. 전송 계층에는 2개의 프로토콜이 있는데 TCP와 UDP가 바로 그것이다. 연결 지향형 TCP는 데이터의 확실한 전송이 필요한 경우 사용되며 UDP는 데이터의 정확한 전달을 보장하지 않는다.
• 응용 : 응용프로그램이 네트워크에 접근 가능하도록 인터페이스 기능을 수행한다.

## 패킷의 전송방법

• 유니캐스트(Unicast) : 하나의 송신자가 하나의 수신자에게 패킷을 보내는 방식이다. (특정인에게 전송)
• 멀티캐스트(Multicast) : 하나의 송신자가 다수의 수신자에게 패킷을 보내는 경우로 일대다의 패킷 전송방식이다. (특정 다수인에게 전송)
• 브로드캐스트(Broadcast) : 같은 네트워크에 있는 모든 호스트에게 패킷을 보내는 방식으로 브로드캐스트 주소에서는 호스트 주소를 모두 1로 설정한다. (불특정 다수인에게 전송)

## IPv4의 주요 필드

• 버전(Version) : 프로토콜의 버전(IPv4).
• 헤더 길이(Header Length) : 선택사항을 포함한 헤더의 길이.
• Type-Of-Service(TOS) : 3비트의 우선권필드와 4비트의 TOS 필드, 그리고 1비트의 예약필드로 구성.
• 전체 길이(Total Length) : 전체 길이를 바이트로 표현.
• Time-To-Live(TTL) : 패킷이 경유할 수 있는 최대 홉수를 의미함.
• 식별자(Identification) : 호스트가 보낸 각 데이터그램을 유일하게 식별.
• 플래그(Flag) : 세 개의 비트로 단편화 관련 정보 표시.

## ARP 트랜잭션 절차

1. ARP 캐시에서 목적지 장비 하드웨어 주소 확인
2. ARP 요청 프레임 생성
3. ARP 요청 프레임 브로드캐스트
4. ARP 요청 프레임 처리
5. ARP 응답 프레임 생성
6. ARP 캐시 갱신
7. ARP 응답 프레임 송신
8. ARP 응답 프레임 처리
9. ARP 캐시 갱신

## 대표적인 ICMP 메시지

• Echo Request : 원하는 호스트로의 IP 연결을 확인하기 위해 사용되는 간단한 문제 해결 메시지.
• Echo Reply : ICMP Echo Request에 대한 응답 메시지.
• Redirect : 데이터를 보내는 호스트에게 목적 IP 주소에 대한 좀 더 적합한 경로가 있음을 알리기 위해 라우터가 보내는 메시지.
• Source Quench : 데이터를 보내는 호스트에게 IP 데이터그램이 라우터의 집중 현상에 의해 손실되고 있음을 알리기 위해 라우터가 보내는 메시지, 그러면, 데이터를 보내는 호스트는 전송률을 낮추게 된다.
• Destination Unreachable : 라우터가 목적 호스트에 의해 보내지며 데이터그램이 전달되지 못한다는 것을 데이터를 보내는 호스트에 알려준다.

## IPv6의 특징

• 확장된 주소 공간
• 새로운 헤더 포맷
• 향상된 서비스의 지원
• 보안 기능
• 주소 자동설정

*** IPv4와 IPv6 특징 비교

구분	IPv4	IPv6
주소 길이	32비트	128비트
표시 방법	8비트씩 4부분 10진수 표시	16비트 8부분 16진수로 표시
주소 개수	약 43억개	2^128개
주소할당 방식	A,B,C,D 등의 클래스 단위 비순차 할당	네트워크 규모, 단말기수에 따라 순차할당
브로드캐스트 주소	있음	없음(대신, 로컬범위 내에서의 모든 노드에 대한 멀티캐스트 주소 사용)
헤더 크기	가변	고정
QoS 제공	미흡	제공
보안	IPSec 프로토콜 별도 설치	IPSec 자체 지원
서비스 품질	제한적 품질 보장	확장된 품질 보장

## IPv4에서 IPv6로 변환

• 이중 스택 : 모든 인터넷이 IPv6를 사용하기 전까지 시스템은 IPv4와 IPv6를 동시에 지원.
• 터널링(tunneling) : IPv4 지역에 들어서면 IPv6 패킷은 IPv4 패킷으로 캡슐화되고 이 지역을 벗어날 때 역캡슐화.
• 헤더 변환(header translation) : 헤더 변환을 통해 헤더의 형태를 완전히 변경.

## TCP 주요 필드

• 근원지 포트 주소
• 목적지 포트 주소
• 순서번호
• 확인응답 번호
• 헤더 길이
• 제어(Control)

### 6개의 플래그 비트

• URG(긴급) : '1'로 설정되면 세그먼트에 우선순위가 높은 데이터가 있다는 뜻이며 긴급 포인터 필드값을 활용한다.
• ACK(승인) : '1'로 설정되면 세그먼트가 승인을 포함한다는 뜻으로 승인번호 필드값은 세그먼트의 목적지가 다음에 보내야 할 순서 번호를 가리킨다.
• PSH(밀어넣기) : 세그먼트의 송신 장비가 TCP 밀어넣기 기능을 사용했으므로 세그먼트를 받는 즉시 애플리케이션으로 송신하라는 뜻이다.
• RST(초기화) : 송신 장비에 문제가 발생했으니 연결을 초기화해야 한다는 뜻이다.
• SYN(동기화) : 순서 번호를 동기화하고 연결 수립을 요청하는 세그먼트이다.
• FIN(종료) : 세그먼트의 송신 장비가 연결 종료를 요청한다는 것이다.

*** 정적/동적 라우팅의 비교

구분	정적 라우팅	동적 라우팅
라우팅 테이블 관리	- 수동 - 네트워크의 변화(라우터 추가/변경/회선 장애 등)에 대한 자동 인지 불가	- 자동 - 네트워크의 변화를 자동으로 인지하여 정보의 전송 경로를 재구성
인터페이스	- 변경이 적을 때 유리	- 변경이 많을 때 유리
노드 추가/변경	- 운영 요원이 라우팅 작업	- 대처 용이
중간 경로	- 단일 경로에 적합	- 다중 경로에 적합

## 라우팅 프로토콜

• RIPv1(Routing Information Protocol) : 라우팅 경로계산을 위해 거리벡터 알고리즘을 사용하는 가장 단순한 라우팅 프로토콜.
• RIPv2 : RIPv2는 RIPv1의 예약필드를 사용하여 RIPv1의 기능을 대폭 확장.
• IGRP(Interior Gateway Routing Protocol) : 하나의 매트릭 값만을 사용하는 대신 다양한 네트워크 파라미터를 이용하여 거리벡터를 계산.
• EIGRP(Enhanced Interior Gateway Routing Protocol) : CIDR이나 VLSM과 같은 새로운 네트워크 기술을 지원하지 못하기 때문에 시스코에서는 IGRP 기능을 확장한 EIGRP를 개발.
• OSPF(Open Shortest Path First) : 모든 라우터가 동일한 네트워크 토플로지 데이터베이스를 기반으로 경로를 계산.
• BGP(Border Gateway Protocol) : AS 사이에서 라우팅 정보를 전달하는 EGP 중 하나로 널리 사용.

## RIP 성능 개선 방법

• Triggered update : 홉수가 변경되었을 때 이를 즉시 통보함으로써 복구시간을 줄인다.
• Hold down : 매트릭이 무한대인 경로에 대해서는 일정 시간 동안 경로를 갱신하지 않고 전체 네트워크의 경로가 새로 갱신될 때까지 기다린다.
• Split horizon : 라우터 A가 B를 거쳐 C로 전송하는 경우에 B와 C 사이에 장애가 발생한다면 A와 B사이에서 루프가 발생할 수 있다. 이를 해결하기 위해서 B가 A에게 보냔 정보는 다시 B에게 보내지 않는다.
• Route Poisoning : 회선의 고장을 감지하면 즉시 해당 경로의 매트릭을 16으로 지정하여 전체 네트워크에 방송함으로써 도달 불가능을 신속하게 알린다.

*** 거리벡터와 링크상태 라우팅 프로토콜 비교

거리벡터 라우팅 프로토콜	링크상태 라우팅 프로토콜
인접한 이웃으로부터 망 정보를 수집	모든 라우터로부터 망 정보를 수집
비용은 이웃 라우터와의 거리 비용을 더해서 구함	최단 거리 알고리즘으로 모든 라우터에 대한 비용을 직접 계산
주기적인 라우팅 정보 교환	링크 상태 변화 시만 라우팅 정보 교환
느린 수렴시간	빠른 수렴시간
모든 라우팅 테이블 값을 이웃에게 전달	자신에게 직접 연결된 망 정보만 전달
브로드캐스트 방식으로 이웃에게 라우팅 광고	멀티캐스트 방식으로 라우팅 광고

## 각종 네트워크 장비의 특징

• 랜카드 : 단순히 PC 혹은 네트워크에서 전달되어오는 정보를 상호 교환할 수 있도록 만들어 줌.
• 허브(Hub) : 집중화 장비라고 부르기도 하며 단순히 노드들을 연결시켜주는 역할을 하는 장비.
• 리피터(Repeater) : 전송거리에 따른 신호감쇄를 보상하기 위해 전자기 또는 광학 전송매체 상에서 신호를 수신하고 증폭하여 매체의 다음 구간으로 재전송시키는 장치.
• 브리지(Bridge) : 네트워크를 확장시키고 상호 연결하는데 사용.
• 라우터(Router) : 인터넷에서 IP네트워크들 간을 연결하거나 IP네트워크와 인터넷을 연결하기 위해 사용하는 장비.
• 게이트웨이(Gateway) : 서로 다른 통신규약을 사용하는 네트워크들을 상호연결하기 위하여 자신의 통신규약을 상대방의 통신규약으로 전환해주는 역할을 하여 서로 다른 기종의 네트워크를 연결시키는 장비.

*** 브리지와 라우터의 주요 차이점

브리지	라우터
헤더정보를 읽지만, 변경시킬 수는 없음	각 프레임에 새로운 헤더를 생성
MAC 주소에 근거하여 전송 테이블을 작성	IP 주소에 근거하여 라우팅 테이블을 작성
모든 포트에 대해 동일한 네트워크 주소를 사용	포트마다 서로 다른 네트워크 주소를 지정
MAC 주소에 기반하여 트래픽을 필터링	IP 주소에 기반하여 트래픽을 필터링
브로드캐스트 패킷을 전달	브로드캐스트 패킷을 전달하지 않음
브리지에게 알려지지 않은 목적지 주소를 가진 트래픽도 전달	라우터에게 알려지지 않은 목적지 주소를 가진 트래픽은 전달하지 않음

## 스위치의 종류

• L2 스위치 : Mac Address 기반 스위칭
• L3 스위치 : IP Address 기반의 트래픽 조절 기능
• L4~L7 스위치 : Port Number 또는 Packet 내용을 분석 및 판단하여 Packet의 경로 설정, 변환, 필터링 동작을 수행할 수 있는 장비

## VLAN의 종류

• Port 기반 VLAN : 스위치 포트를 각 VLAN에 할당하는 것으로 같은 VLAN에 속한 포트에 연결된 호스트들 간에만 통신이 가능. (가장 일반적이고 많이 사용)
• MAC 기반 VLAN : 각 호스트들의 맥어드레스를 VLAN에 등록하여 같은 VLAN에 속한 맥어드레스들 간에만 통신이 되도록하는 방법.
• 네트워크주소 기반 VLAN : 네트워크주소별로 VLAN을 구성하여 같은 네트워크에 속한 호스트들 간에만 통신이 가능.
• 프로토콜기반 VLAN : 같은 통신 프로토콜을 가진 호스트들 간에만 통신을 가능하도록 구성된 VLAN.

*** 무선랜의 장단점

장점	단점
- 케이블이 불필요하여 이동이 자유롭다. - 주변 환경이 깔끔하게 정리된다. - 네트워크 구축비용이 절감된다. - 네트워크 유지 및 보수 등이 용이하다.	- 전파를 사용하는 다른 기기의 간섭을 받는다. - 유선랜에 비해 상대적으로 느린 전송속도를 제공한다. - 숨겨진 터미널 문제가 발생한다.

## 주요 무선 랜 프로토콜

• 802.11 : 최소의 무선 랜 프로토콜.
• 802.11b : WEP 방식의 보안을 구현할 수 있음.
• 802.11a : 전파 투과성과 화질성이 떨어져 통신 단절 현상이 심하며, 802.11b와 호환되지 않음.
• 802.11g : 802.11b에 802.11a의 속도 성능을 추가한 프로토콜로, 802.11b와 호환되나 네트워크 공유 시 데이터 처리 효율이 현격히 줄어드는 문제점이 있음.
• 802.11i : 802.11b 표준에 보안성을 강화한 프로토콜.
• 802.11n : 최대600Mbps의 속도, 여러 안테나를 사용하는 다중 입력/다중 출력 기술과 대역폭 손실의 최소화.

## 블루투스의 보안 취약점

• 블루프린팅(blueprinting) : 서비스 발견 프로토콜을 이용해 공격자는 공격이 가능한 블루투스 장치를 검색하고 모델을 확인 가능.
• 블루스나핑(bluesnarfing) : 블루투스의 취약점을 이용하여 장비의 임의 파일에 접근하는 공격.
• 블루버깅(bluebugging) : 공격 장치와 공격 대상 장치를 연결하여 공격 대상 장치에서 임의의 동작을 실행하는 공격.
• 블루재킹(bluejacking) : 블루투스를 이용해 스팸처럼 명함을 익명으로 퍼트리는 것.

## 무선랜의 비인가 접근

• SSID 노출 : 무선 AP에 별도의 인증 절차가 설정되어 있지 않은 경우에는 무선 전송 데이터의 모니터링을 통해 SSID. 값을 획득하고, 획득한 SSID 값을 무선 단말기에 설정하는 것만으로 무선랜으로의 불법적인 접속이 가능.
• MAC 주소 노출 : 접근 제어를 위한 MAC 주소 필터링 적용 시 공격자가 정상 사용자의 MAC 주소를 도용함으로써 쉽게 무력화 가능.

## 무선랜 인증 기술

• SSID(Service Set IDentifier) : AP를 구분하는 ID로 무선랜을 통해 전송되는 패킷 헤더에 덧붙여지는 32바이트 고유 식별자.
• MAC 어드레스 필터링 : MAC 어드레스는 네트워크 카드 제조사에 의해 부여된 48비트의 H/W 주소.
• EAP(Extensible Authentication Protocol) : 원래 PPP에서 사용할 목적으로 설계된 프로토콜로써, PPP 인증방식(PAP, CHAP 등)을 쉽게 확장할 수 있도록 설계.
• WEP(Wired Equivalent Privacy) : 공유키인 WEP키를 이용하여 사용자를 인증하는 방식.

## 무선랜 암호화 기술

• WEP(Wired Equivalent Privacy) : 무선랜 데이터 스트림의 보안을 제공하기 위해서 사용되며, 대칭키 구조의 암호화 알고리즘.
• TKIP(Temporal Key Integrity Protocol) : 기존 WEP의 암호화 알고리즘인 RC4를 사용하면서 RC4의 보안상의 문제점을 개선하기 위해 Key Mixing 함수, Dynamic WEP Key(Temporal Key), 메시지 무결성 보장을 위한 스펙(spec)을 정의한 통신 규약.
• CCMP(Counter mode with CBC-MAC Protocol) : AES 블록 암호를 사용한 데이터의 비밀성과 무결성을 보장하기 위한 규칙들을 정의함.

## 무선랜 인증 및 암호화 복합 기술

• 802.1x 보안 : 브리지 혹은 무선 AP에서의 물리적인 포트의 사용권을 획득하는 절차를 규정.
• WPA(Wi-Fi Protected Access) : Wi-Fi에서 정의한 무선랜 보안규격으로써 802.11i 보안 규격의 일부 기능을 수용하여 만든 표준 규격.
• WPA2 : 2세대 WPA로서 TKIP를 대체하기 위해 AES에 기반을 둔 CCMP 암호화 방식을 사용하는 IEEE802.11i 수정안을 포함한 보안 기술.

*** iOS와 안드로이드의 보안 체계 비교

구분	iOS	안드로이드
운영체제	Darwin UNIX에서 파생하여 발전한 OS X의 모바일 버전	리눅스 커널(2.6.25)을 기반으로 만들어진 모바일 운영체제
보안 통제권	애플	개발 또는 사용자
프로그램 실행권한	관리자(root)	일반 사용자
응용 프로그램에 대한 서명	애플이 자신의 CA를 통해 각 응용프로그램을 서명하여 배포	개발자가 서명
샌드박스	엄격하게 프로그램 간 데이터 통신 통제	iOS에 비해 상대적으로 자유로운 형태의 애플리케이션의 실해잉 가능
부팅 절차	암호화 로직으로 서명된 방식에 의한 안전한 부팅 절차 확보	-
소프트웨어 관리	단말 기기별 고유한 소프트웨어 설치 키 관리	-

*** iOS와 안드로이드의 주요 차이점

구분	iOS	안드로이드
애플리케이션 정책	폐쇄적	개방적
애플리케이션 배포 방식	애플 앱스토어	무제한
악성 애플리케이션 검수	애플의 검수 통과 후 앱스토어에 등록	누구나 마켓에 등록 가능, 등록 후 악성 애플리케이션임이 알려지면 스토어에서 내리는 방식

*** BYOD 보안 기술

구분	설명
MDM(Mobile Device Management)	기기를 완전히 제어할 수 있도록 직원의 스마트패드와 스마트폰에 잠금, 제어, 암호화, 보안 정책 실행을 할 수 있는 기능을 제공
컨테이너화(Containerization)	하나의 모바일 기기 내에 업무용과 개인용 영역을 구분해 보안 문제와 프라이버시 보호를 동시에 해결하려는 기술
모바일 가상화(Hypervisors)	하나의 모바일 기기에 개인용과 업무용 운영체제(OS)를 동시에 담아 개인과 사무 정보를 완전히 분리
MAM(Mobile Application Management)	스마트 기기 전체가 아니라 기기에 설치된 업무 관련 앱에만 보안 및 관리 기능을 적용
NAC(Network Access Control)	사용자 기기가 기업 내부 네트워크 접근 전 보안 정책을 준수했는지 여부를 검사하여 비정상 접근 여부에 따라 네트워크 접속을 통제하는 기술

## 네트워크 5대 관리 기능

• 계정 관리 : 비용을 계산하고 요금을 부과할 수 있는 기능.
• 구성 관리 : 상호 연결 및 네트워크의 정보를 제공하는 기능.
• 성능 관리 : 네트워크의 동작 및 효율성을 평가하는 기능.
• 장애 관리 : 비정상적인 동작을 발견하고 대처하는 기능
• 보안 관리 : 관리 대상에 대한 보안 기능 제공.

## SNMP 주요 연산 기능

• Read(읽기형) : 폴링방식을 사용하며, 관리된 장비에서 관리 정보를 읽는 메시지.
• Write(쓰기형) : 관리된 장비의 관리 정보를 변경하여 장비의 동작 상태를 바꾸는 메시지.
• Response(응답형) : 기존의 요청 메시지에 대한 응답으로 보내는 메시지.
• Notification(통보형) : 장비에서 인터럽트 방식을 사용하여 SNMP 매니저에게 정보를 보낼 때 사용하는 메시지.

## SSH 컴포넌트

• SSH 전송 계층 프로토콜(SSH-TRANS) : TCP상에 안전한 채널을 생성하는 프로토콜을 사용.
• SSH 인증 프로토콜(SSH-AUTH) : 클라이언트와 서버 간에 안전한 채널이 설정되고 클라이언트에 대해 서버 인증이 이루어진 후 SSH는 서버에 대해 클라이언트를 인증하는 소프트웨어를 호출.
• SSH 연결 프로토콜(SSH-CONN) : 여러 개의 논리적 통신채널의 다중화를 수행하는 것.
• SSH 응용(SSH-Application) : 연결 단계를 마치면 SSH는 몇 가지 응용 프로그램이 그 연결을 사용할 수 있도록 함.

## UNIX 네트워크 기반 프로그램 활용

• ping(연결테스트) : 인터넷으로 접속하려는 원격 호스트가 정상적으로 운영되고 있는지를 확인하는 진단 목적으로 사용.
• tracerout(경로추적) : 목적지까지의 데이터 도달여부를 확인하는 도구.
• netstat(네트워크 인터페이스 진단) : UNIX 시스템의 TCP/IP 프로토콜 진단 시 다양한 용도로 사용.
• ifconfig(네트워크 인터페이스 설정) : 네트워크 인터페이스의 설정정보를 알아보거나 IP주소나 서브넷마스크 등의 설정을 변경할 때 사용.
• route(라우팅 테이블 설정) : 라우팅 테이블에 라우팅 경로를 추가하거나 삭제.
• nslookup : 가장 널리 쓰이는 DNS 진단 유틸리티 중의 하나이며, 특정한 호스트 이름을 주소로 또는 그 반대로 빠르게 변환하고 싶을 때 자주 쓰임.
• dig(Domain Information Groper) : dig는 nslookup 대신 사용할 수 있는 유틸리티로 다양한 옵션과 기능을 갖춘 복잡한 툴.
• tcpdump(네트워크 패킷/로그 분석) : 네트워크 인터페이스를 거치는 패킷의 내용을 출력해 주는 프로그램.

## 네트워크 보안 공격의 분류

구분	수동적 공격	능동적 공격
특징	직접적인 피해 없음	직접적인 피해 있음
탐지 가능성	어려움	쉬움
대표적인 예	스니핑(Sniffing), 도청(Eavesdrop)	재전송 공격, 변조, DoS/DDoS, 세션 하이재킹

## 서비스 거부공격(DoS) 정리

• TCP Syn flooding Attack : TCP 연결 설정 과정 중에 3-Way Handshaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격.
• SMURF Attack : 직접적인 ICMP 브로드 캐스트와 세 가지 구성요소인 공격자, 증폭 네트워크, 공격대상 서버를 이용.
• Land Attack : 공격자가 임의로 자신의 IP 어드레스와 포트를 대상 서버의 IP 어드레스 및 포트와 동일하게 하여 서버에 접속하는 공격방식.
• Ping of Death : 공격의 기본은 핑을 이용하여 ICMP 패킷을 정상적인 크기보다 아주 크게 만든 것.
• Teardrop Attack : 오프셋 값을 단편화 간에 중복되도록 고의적으로 수정하거나 정상적인 오프셋 값보다 더 큰 값을 더해 그 범위를 넘어서는 오버플로우를 일으켜 시스템의 기능을 마비시켜 버리는 DoS 공격기법.
• Bonk : 패킷을 프래그먼트하여 전송할 때 패킷을 조작하여 결과적으로 공격대상자에게 시스템 부하를 증가시키는 공격.
• Boink : Bonk를 수정한 DoS 공격도구로써 패킷 시퀀스 번호를 비정상적인 상태로 보내는 공격기술.

## DDoS 구성 요소

• 공격자, 봇 마스터 : 공격을 주도하는 해커의 컴퓨터, C&C(Command & Control) 서버에 공격 명령을 전달하는 해커의 컴퓨터, 봇 마스터라고도 함.
• 마스터, C&C 서버 : 공격자에게 직접 명령을 받은 시스템으로, 여러 대의 에이전트를 관리.
• 핸들러 프로그램 : 마스터 시스템의 역할을 수행하는 프로그램.
• 에이전트 : 공격 대상에 직접적인 공격을 가하는 시스템으로, 악성코드에 감염된 시스템.(슬레이브, 좀비)
• 데몬 프로그램 : 에이전트 시스템 역할을 수행하는 프로그램.
• 표적 : 공격 대상이 되는 시스템.

## DDoS 공격의 사례

• 트리누 공격 : 많은 호스트로부터 통합된 UDP flood 서비스거부 공격을 유발하는데 사용하는 도구.
• TFN 공격 : 트리누와 거의 유사한 분산 서비스 거부 도구로 많은 소스에서 하나 혹은 여러 개의 목표 시스템에 대해 서비스거부 공격을 수행.
• Stacheldraht 공격 : 트리누와 TFN을 참고하여 제작된 도구로써 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구로 stacheldraht의 마스터시스템 및 자동적으로 업데이트되는 에이전트 데몬과의 사이에 통신을 할 때 암호화하는 기능이 추가됨.
• TFN2K 공격 : TFN2K는 TFN의 발전된 형태로써 통신에 특정 포트가 사용되지 않고 암호화되어 있으며, 프로그램에 의해 UDP, TCP, ICMP가 복합적으로 사용되며 포트도 임의로 결정됨.

## 포트 스캔 종류

• TCP Connect 스캔 : TCP 세션이 수립되는지 포트 오픈 확인.
• TCP Half Open 스캔(SYN 스캔) : TCP 연결요청만(SYN 패킷만 전송)을 수행, 세션 수립이 되지 않음.
• TCP ACK 스캔 : TCP ACK 플래그를 ON으로 설정해 패킷을 송신하는 방법.
• TCP FIN 스캔 : TCP의 FIN 플래그를 ON으로 설정해 패킷을 송신하는 방법.
• TCP Null 스캔 : TCP의 모든 플래그를 OFF으로 설정해 패킷을 송신하는 방법.
• Xmas 트리 스캔 : TCP의 모든 플래그를 ON으로 설정해 패킷을 송신하는 방법.
• UDP 스캔 : UDP 패킷을 송신하는 방법

## 스푸핑 유형

• IP 스푸핑 : 공격자가 정보를 얻거나 접근을 하기 위해 다른 컴퓨터의 IP 주소를 사용. (3계층)
• 이메일 스푸핑 : 이메일 발신자를 위장하여 메일을 보내는 방식. (7계층)
• 웹 스푸핑 : 공격자가 중간에서 웹 페이지 내용을 가로채어 원래 웹페이지 내용을 변경하여 보내는 방법. (7계층)
• DNS 스푸핑 : DNS를 사칭하여 웹에서 www.aaa.com을 입력하였으나 해당 사이트와 관련 없는 www.xxx.com으로 접속되도록 DNS에서 전달하는 IP 주소를 변경하는 방법. (7계층)

## 세션 하이재킹 방어대책

• 암호화 :  전송되는 데이터를 암호화하는 것이 최선의 방어이다.
• 지속적인 인증 : 처음 로그인 후 일정 시간 내에 재인증을 지속적으로 실시하는 방법이다.
• 패치 : TCP/IP 취약점을 수정하는 작업을 한다.

*** IDS의 장단점

장점	단점
- 해킹에 대하여 침입차단시스템보다 적극적인 방어 가능 - 내부 사용자의 오/남용 탐지 및 방어 가능 - 해킹사고 발생 시 어느 정도의 근원지 추적 가능	- 대규모 네트워크에 사용 곤란 - 관리 및 운영 어려움 - 새로운 침입기법에 대한 즉각적인 대응 곤란 - 보안사고에 대한 근본적인 해결책은 되지 못함

*** 탐지방법에 의한 분류

분류형태	특징	장점	단점
지식기반/오용 침입탐지	- 특정 공격에 관한 분석결과를 바탕으로 패턴을 설정 - 패턴과의 비교를 통하여 일치하는 경우 불법 침입으로 간주하는 방법	- 오탐률이 낮음 - 전문가 시스템 이용 - 트로이목마, 백도어 공격 탐지가능	- 새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요 - 패턴에 없는 새로운 공격에 대해서는 탐지 불가능
행위기반/비정상행위 침입탐지	- 사용자의 행동양식을 분석한 후 정상적인 행동과 비교해 이상한 행동, 급격한 변화가 발견되면 불법침입으로 탐지하는 방법 - 정량적인 분석, 통계적 분석을 사용	- 인공지능 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트 불필요 - 알려지지 않은 새로운 공격 탐지 가능	- 오탐률이 높음 - 정상과 비정상 구분을 위한 임계치 설정 어려움

*** 데이터 수집원에 따른 분류

분류형태	특징	장점	단점
호스트 기반	서버에 직접 설치되므로 네트워크 환경과 무관	- 기록되는 다양한 로그자료를 통해 정확한 침입방지 가능 - 호스트에 대한 명백한 침투 탐지 가능	- 해커에 의한 로그 자료의 변조 가능성 존재 및 DoS공격으로 IDS 무력화 가능 - 호스트 성능에 의존적이며, 리소스 사용으로 서버부하 발생
네트워크 기반	네트워크 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이	- 네트워크에서 실행되어 개별 서버의 성능 저하가 없음 - 해커의 IDS공격에 대한 방어가 가능하며 존재 사실도 숨길 수 있음	- 네트워크 패킷이 암호화되어 전송될 때 침입 탐지 불가능 - 오탐률이 높음

*** Enticement vs Entrapment

구분	유인(Enticement)	함정(Entrapment)
대상	시스템에 허가되지 않은 접근을 시도한 책임자	침입의 의도가 없는 사용자
목적	침입의 흔적을 증거로 남기기 위한 목적	범죄를 유발할 목적
합법여부	합법, 윤리적	불법, 비윤리적
기타	증거를 잡아내기 위해 범인으로 하여금 범죄의 순간을 충분히 오래 유지하도록 하는것	의사가 없던 사람에게 범죄를 저지르도록 이끄는 것

*** 방화벽의 장단점

장점	단점
- 취약한 서비스 보호 기능 - 호스트 시스템 접근제어 기능 - 로그와 통계자료 유지 - 내부 네트워크의 모든 자원에 일괸된 보안정책 적용 가능	- 제한된 서비스 제공 - 우회하는 트래픽은 제어 불가 - 악의적인 내부 사용자로부터 시스템 보호 곤란 - 바이러스 및 새로운 형태의 위험에 대한 방버 곤란

## 방화벽의 운영 정책

• Deny All 정책 : 모든 트래픽을 먼저 차단하고, 허용해야 할 트래픽만을 선별적으로 허용하는 방식.
• Permit All 정책 : 모든 트래픽을 허용하고, 특정 트래픽만을 선별적으로 차단.

*** 패킷 필터링 방화벽의 장단점

장점	단점
- 확장 가능하다. - 높은 성능을 제공한다. - 응용프로그램에 독립적이다.	- 패킷에서 헤더정보 이상을 조사하지 않는다. - 다른 옵션들에 비해 상대적으로 낮은 보안을 제공한다. - 연결 상태를 추적하지 않는다.

*** 프락시 방화벽의 장단점

장점	단점
- 가능하면 응용프로그램 계층까지 전체적으로 패킷 안의 정보를 검사한다. - 패킷 필터링보다 나은 보안을 제공한다. - 보호되는 시스템과 보호되지 않은 시스템 사이의 연결을 차단시킨다.	- 몇몇 프락시 방화벽은 제한된 응용프로그램 번호만을 지원한다. - 트래픽 성능이 저하된다. - 응용프로그램 기반 프락시 방화벽은 확장성과 성능에 대한 논점을 일으킨다. - 클라이언트/서버 모델을 깨뜨리며, 보안을 위해서는 바람직하지만 몇몇의 경우 기능상의 단점이 있다.

*** Bastion Host 방식의 장단점

장점	단점
- 스크리닝 라우터 방식보다 안전하다. - 정보 지향적인 공격을 방어할 수 있다. - 각종 기록 정보 생성 및 관리가 쉽다.	- Bastion Host가 손상되면 내부 네트워크를 보호할 수 없다. - 로그인 정보가 유출되면 내부 네트워크를 보호할 수 없다.

*** 응용프로그램 수준과 회선 수준 프락시 방화벽 비교

응용프로그램 수준 프락시	회선 수준 프락시
- 모니터 되는 각 프로토콜을 위해 서로 다른 프락시가 요구된다. - 회선 수준 프락시 방화벽보다 나은 보호를 제공한다. - 패킷당 보다 많은 처리를 요구하기 때문에 회선 수준 프락시 방화벽보다 느리다.	- 각 프로토콜을 위해 서로 다른 프락시를 요구하지 않는다. - 응용프로그램 수준 방화벽이 제공하는 깊은 검사 능력을 제공하지 않는다.

*** 방화벽 구조

구분	특징	장점	단점
스크리닝 라우터 구조	라우터를 이용해 각 인터페이스에 들어오고 나가는 패킷을 필터링하여 내부 서버로의 접근을 가려내는 역할	구조가 간단하고, 장비 추가비용 소요가 없다.	라우터에 복잡한 필터링 규칙설정이 필요하고 인증기능 수행은 불가능하며 내부구조를 숨기기 어렵고, 1개의 장애물밖에 없어 방어의 깊이가 약하다.
이중 네트워크 호스트 구조	듀얼홈드는 두 개의 인터페이스를 가지는 장비를 말하며, 하나의 인터페이스는 외부 네트워크와 연결되고 다른 인터페이스는 내부 네트워크로 연결되며, 라우팅 기능이 없는 방화벽을 설치하는 형태	각종 기록정보를 생성하고 방화벽의 관리와 설치, 유지보수가 비교적 용이하며 내부 네트워크를 숨길 수 있다.	사용자정보 입력이 필요하고, 베스천호스트가 손상되거나 로그인 정보가 누출되면 내부 네트워크를 보호할 수 없다.
스크린드 호스트 게이트웨이 구조	듀얼-홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 내부 네트워크에 놓여 있는 베스천호스트와 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성	2단계 방어가 가능하고, 기본 필터구조 보다 필터링 규칙이 단순하며, 방어의 깊이가 개선되어 해커의 공격에 잘 대처 가능.	베스천호스트 침해 시 보안에 취약
스크린드 서브넷 구조	스크리닝 라우터들 사이에 듀얼홈드 게이트웨이가 위치하는 구조로 인터넷과 내부 네트워크 사이에 DMZ이라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식	타 방식의 장점들을 그대로 계승하고, DMZ와 같은 보안층을 가지고 있어 매우 안전하며 모듈러하고 유연하고 높은 방어의 깊이를 가짐.	다른 침입차단시스템 방식에 비해 설치와 관리가 어렵고 구축비용이 많이 들며, 서비스 속도가 느려짐

## VPN 기능

• 데이터 기밀성 : 송수신되는 데이터를 제3자가 그 내용을 파악하지 못하도록 암호화하여 전송.
• 데이터 무결성 : 송수신 도중 데이터의 내용이 변경되지 않았음을 보장하는 방법으로 암호화 및 전자서명을 이용.
• 데이터 근원 인증 : 수신한 데이터가 해당 송신자에 의해서 전송된 것임을 확인할 수 있는 서비스 제공.
• 접근 통제 : 인증된 사용자에게만 접근을 허용하는 기능으로 협상내용을 모르는 제3자의 접근을 통제하는 서비스를 제공.

*** 계층별 터널링 프로토콜 비교

구분		2계층	3계층	MPLS
프로토콜		L2TP, PPTP	IPSec, GRE	MPLS
구현 형태		클라이언트-서버	호스트-호스트	호스트-호스트
캡슐화 대상		IP, IPX, 애플토크등	IP	IP
보안	인증	비표준, 자체지원	IPSec	비표준
	암호화	비표준, 자체지원	IPSec	비표준
특징		PPP 기술 활용	다중 서비스 지원	QoS 제공 기능

*** IPSec VPN과 SSL VPN 비교

구분	IPSec VPN	SSL VPN
접근 제어	애플리케이션 차원의 정교한 접근제어 미흡	애플리케이션 차원의 정교한 접근제어 가능
적용 계층	TCP/IP의 3계층	TCP/IP의 5계층
지원성	별도의 소프트웨어 설치 필요	웹 브라우저 자체 지원
암호화	DES/3DES/AES/RC4, MD5/SHA-1(패킷 단위)	DES/3DES/AES/RC4, MD5/SHA-1(메시지 단위)
적합성	Site to Site	Site to Remote
장점	- 종단간 보안 가능 - 종단 부하 없음	- 접속과 관리의 편리성 - Client Server 상호 인증

## ESM 구성요소

• 에이전트 : 방화벽, IDS 등의 개별 보안 장비에 탑재되어 운영.
• ESM 매니저 : 통합 보안 정책의 생성, 적용 관리.
• ESM 콘솔 : 개별 에이전트에서 이벤트 로그 모니터링.
• ESM Event Log Repository : 개별 에이전트가 수집한 각종 이벤트 정보 및 이벤트 로그를 수집하여 저장하는 로그 DB.
• ESM Policy Repository : 조직의 보안정책을 통합 관리하기 위한 통합 보안 정책 데이터베이스.

## ESM의 통합 보안관제 기능

• 통합 로그 관리 : 개별 솔루션별 로그의 수집 및 통합관리.
• 이벤트 필터링 : 보안 정책 기반의 이벤트 수집 기준을 제공하고 이에 따른 지능적 이벤트 처리 시행.
• 실시간 통합 모니터링, 경보, 상황전파 : ESM 콘솔을 통한 관리자의 다양한 검색 기능 지원.
• 로그 분석 및 의사결정 지원 : 정책 기반의 로그 분석 후 위험도 결정.
• 긴급대응 : 위험도와 이벤트별 대응 기준에 따른 ESM 매니저의 자동화된 차단.
• 리포팅 : 서비스별 위험 발생 및 조치 현황.

*** NAC의 주요 기능

분류	주요 기능
접근 제어/인증	- 내부 직원 역할 기반의 접근 제어 - 네트워크의 모든 IP 기반 장치 접근 제어
PC 및 네트워크 장치 통제 (무결성 체크)	- 백신 관리 - 패치 관리 - 자산 관리
해킹, 웜, 유해 트래픽 탐지 및 차단	- 유해 트래픽 탐지 및 차단 - 해킹 행위 차단 - 완벽한 증거 수집 능력