IPsec 및 그룹 정책을 통한 서버 및 도메인 격리
부록 D: IT 위협 범주
업데이트 날짜: 2005년 2월 16일
이 부록은 조직에 영향을 미칠 수 있는 잠재 위협과 공격 목록을 제공하고 서버 및 도메인 격리 솔루션을 사용하여 어떻게 이를 완화하는지를 설명합니다.
이 페이지의 내용
STRIDE로 식별한 위협
이 절에서는 STRIDE(스푸핑, 무단 변경, 거부, 정보 노출, 서비스 거부, 권한 승격) 모델로 식별된 여러 가지 네트워크 보안 위협과 이 솔루션의 일부로 구현된 보안 조치를 사용하여 이를 완화하는 방법을 설명합니다.
ID 속임 위협
ID 속임 위협은 사용자 이름이나 암호와 같이 다른 사람의 인증 정보를 불법으로 획득하거나 액세스하여 사용하기 위해 수행한 모든 행위를 포함합니다. 이 위협 범주는 끼어들기 공격 및 신뢰할 수 있는 호스트와 신뢰할 수 없는 호스트의 통신을 포함합니다.
끼어들기 공격
해커가 사용하는 한 가지 일반적인 기술은 끼어들기 공격입니다. 이 기술은 네트워크 연결에서 통신을 수행하는 두 컴퓨터 사이에 한 컴퓨터를 놓고, 사이에 있는 컴퓨터가 원래 컴퓨터의 하나 또는 둘 모두를 가장하는 것입니다. 이 기술은 원본 컴퓨터에 대해 라이브 연결을 사용하여 "끼어들기"하여 두 컴퓨터의 사용자가 둘만 서로 통신하고 있다고 생각하고 있지만 둘 사이에 교환하는 메시지를 읽고 수정하는 기능을 제공합니다.
일부 ISP(인터넷 서비스 공급자)는 끼어들기 공격과 전자 메일 스푸핑을 모두 물리치려고 시도하는 필터링 방법을 개발했습니다. 예를 들어, 많은 ISP는 사용자가 ISP의 서버를 통해 전자 메일을 보내는 것만 승인하며 정크 전자 메일에 대처할 필요가 있다는 이유만으로 이 제한을 정당화합니다. 그러나 이 제한은 승인된 사용자가 타사에서 제공하는, 고급 사용자가 다시 보내는 합법적인 전자 메일 서비스를 사용하는 것도 금지합니다. 일부 케이블 ISP는 사용자가 자신의 VoIP 또는 비디오 스트리밍 서비스를 사용하려고 할 때 오디오나 비디오 트래픽을 차단합니다. 다른 예는 VPN이 더 높은 무료 가입을 요구하는 비즈니스 서비스라는 이유로 일부 형식의 VPN(가상 사설망 서비스) 트래픽을 금지하고 사용자가 가정에서 서버를 실행하는 것을 금지하는 것입니다.
ISP 필터는 일반적으로 특정 프로토콜 유형(UDP(User Datagram Protocol) 또는 TCP(Transmission Control Protocol)), 포트 번호 또는 TCP 플래그(초기 연결 패킷, 데이터 아님 또는 승인)에서 작동하는 라우터의 하드웨어 기능을 사용하여 구현됩니다. IPsec을 사용하면 이런 종류의 필터링이 효과적으로 해제되어 ISP가 모든 IPsec 트래픽을 금지하거나 확인된 특정 피어의 트래픽 금지 증 두 가지 매우 극단적인 옵션만 제공하게 됩니다. ipsec이 널리 사용되는 경우 이러한 두 옵션은 심각한 소비자 반발을 불러 올 수 있습니다.
신뢰할 수 있는 호스트와 신뢰할 수 없는 호스트의 통신
이 위협은 실제로 여러 가지 작은 위협의 조합이며 일반적인 ID 속임, 전송할 때 종점 사이의 데이터 수정 및 도청 문제를 포함합니다. 그러나 스푸핑은 신뢰할 수 있는 호스트를 속여 신뢰할 수 있는 호스트와 통신하고 있다고 생각하게 만들기 때문에 가장 큰 위협입니다. 격리되는 모든 호스트가 신뢰할 수 없는 호스트와 통신해야 하는 것은 아닙니다. IPsec은 정책 기반 메커니즘을 사용하여 협상을 시작할 때 두 호스트 사이에 필요한 보안 수준을 결정하기 때문에 이러한 문제의 대부분은 보안과 통신 사이의 균형을 신중하게 고려한 다음 선호하는 결과를 반영하는 IPsec 정책의 신중한 설계와 구현을 통해 해결됩니다. 5장 "격리 그룹을 위한 IPsec 정책 만들기"는 Woodgrove 은행 시나리오를 위한 통신 요구 사항과 통신이 어떻게 발생하는지를 관할하는 IPsec 정책을 만드는 데 사용된 기술을 설명합니다.
데이터 무단 변경
데이터 무단 변경 위협은 악의적인 데이터 수정을 포함합니다. 그 예로는 지속적인 데이터(웹 사이트 손상), 데이터베이스에 보관된 정보 또는 열린 네트워크에서 두 대의 컴퓨터 사이에 전달되는 데이터에 대한 무단 변경이 포함됩니다. 이 범주의 한 가지 특정한 위협은 세션 하이재킹입니다.
세션 하이재킹(session hijacking)
적절히 설계된 인증 메커니즘 및 긴 임의의 암호는 각각 네트워크 스니핑과 사전 공격을 예방합니다. 그러나 공격자는 일반 사용자가 인증되거나 승인된 후에 세션 하이재킹을 사용하여 세션을 캡처할 수 있습니다. 세션 하이재킹은 공격자가 일반 사용자의 권한을 사용하여 데이터베이스에 액세스 또는 수정하거나, 일반 사용자의 자격 증명을 확보하지 않고도 추가 침투를 위해 소프트웨어를 설치할 수 있습니다. 세션 하이재킹을 수행하는 가장 간단한 방법은 먼저 특별한 하이재킹 도구를 사용하여 연결 경로 어딘가에 공격자의 컴퓨터를 놓으려고 시도하는 것입니다. 공격자는 교환을 관찰하고 일부 지점에서는 대신합니다. 공격자는 교환의 중간에 있기 때문에 한 쪽의 TCP 연결을 종료하고 TCP/IP 매개 변수와 일련 번호를 사용하여 다른 쪽을 유지 관리할 수 있습니다. 암호화 또는 인증에 IPsec을 사용하면 세션 하이재킹으로부터 종점을 보호합니다.
거부
거부 위협은 수행한 동작을 거부하는 사용자와 이를 입중할 방법이 없는 다른 당사자를 포함합니다. 이런 위협의 예는 금지된 작업을 추적하는 능력이 없는 시스템에서 금지된 작업을 하는 사용자가 될 것입니다. 거부할 수 없음은 거부 위협을 반박할 수 있는 시스템 기능을 의미합니다. 예를 들어, 웹 기반 공급업체로부터 물건을 구입하는 사용자는 물건을 받을 때 서명해야 할 수 있습니다. 그러면 공급업체는 서명한 영수증을 사용자가 패키지를 받았다는 증거로 사용할 수 있습니다.
정보 노출
정보 공개 위협은 액세스 권한이 없는 개인에 대한 정보 노출을 포함합니다. 여기에는 액세스 권한이 없는 파일을 읽을 수 있는 사용자 능력 또는 두 컴퓨터 사이에 전송 중인 데이터를 읽을 수 있는 침투자 능력이 포함됩니다. 이 범주의 위협은 무단 연결과 네트워킹 스니핑을 포함합니다.
무단 연결
많은 네트워크 구성이 매우 신뢰성 있는 보안 조치를 갖추고 있으며 경계 내에 있는 컴퓨터의 많은 정보에 대한 액세스 권한을 부여합니다. 이 액세스는 때로는 인트라넷 웹 서버의 경우와 같이 명시적이고 때로는 일부 응용 프로그램의 보안 보호가 부실하기 때문에 묵시적입니다. 일부 정책은 간단한 주소 테스트를 사용하지만 공격자는 주소를 위조하여 이러한 테스트를 우회할 수 있습니다.
IPsec은 추가 연결 검사를 구현하는 데 사용할 수 있습니다. 성공적인 IPsec 협상 후에만 응용 프로그램에 액세스할 수 있도록 하는 정책 규칙을 설정할 수 있습니다.
네트워크 스니핑
공격자는 주요한 파일을 전송하는 동안 그 복사본을 얻고 공격자가 암호를 얻어 침투를 확대하려는 두 가지 이유로 네트워크 트래픽 캡처를 시도합니다. 브로드캐스트 네트워크에서 해커는 네트워크 스니핑 도구를 사용하여 TCP 연결을 기록하고 교환한 정보의 복사본을 얻습니다. 이러한 도구가 스위치로 연결된 네트워크에서는 잘 작동하지 않지만 IP 트래픽을 공격자의 컴퓨터를 통해 리디렉션하는 다른 특별한 도구를 사용하여 ARP(Address Resolution Protocol)를 공격하고 모든 연결을 쉽게 기록할 수 있습니다.
일부 프로토콜(예: POP3(Post Office Protocol 3) 및 FTP(File Transfer Protocol))은 네트워크를 통해 일반 텍스트 암호를 보내며 네트워크를 스니핑하는 공격자는 이 정보를 쉽게 얻을 수 있다는 것을 알게 됩니다. 많은 응용 프로그램은 일반 텍스트 암호를 보내는 문제를 방지하는 Challenge-Response 메커니즘을 사용하지만 약간 어려울 뿐입니다. 공격자는 암호를 직접 읽을 수 없지만 사전 공격은 종종 Challenge-Response의 복사본에서 추정할 수 있습니다. IPsec을 사용하여 이러한 교환을 암호화하면 네트워크 스니핑으로부터 효과적으로 보호됩니다.
서비스 거부
서비스 거부 공격은 특정 호스트 또는 네트워크에 대해 공격을 집중하는 것입니다. 이러한 공격은 주어진 시간에 처리할 수 없을 만큼 많은 트래픽을 호스트 또는 라우터로 보냅니다. 결과적으로 네트워크는 트래픽을 처리할 수 없게 되고 합법적인 트래픽 흐름이 중단됩니다. 서비스 거부 공격은 분산된 많은 공격자가 특정 대상에 공격을 집중할 수 있습니다. 대상 컴퓨터는 대개 어느 정도 손상을 입으며 악성 프로그램 스크립트나 프로그램이 설치되어 공격자는 컴퓨터를 사용하여 조정된 대량의 네트워크 트래픽을 다른 컴퓨터 또는 컴퓨터 그룹으로 보낼 수 있습니다. 손상된 컴퓨터는 좀비라고 하며 이러한 공격을 분산 서비스 거부 공격이라고 합니다.
IPsec은 통신을 설정하기 전에 인증을 요구하므로 대부분의 분산 서비스 거부 공격(신뢰할 수 있는 공격자 시나리오를 사용하는 공격 제외)을 완화시켜 줍니다. 즉, 인터넷 기반의 분산 서비스 거부 공격은 해가 되지 않도록 렌더링되지만 공격 호스트가 인증할 수 있고 IPsec을 사용하여 통신하는 경우 조직의 네트워크 내에서 시작된 서비스 거부 공격은 성공하게 됩니다.
표준 트래픽과 공격 트래픽 사이의 차이점 구분
2003년 1월 Slammer 웜이 발생하고 얼마 되지 않아 UDP 트래픽을 사용 가능한 대역폭의 최대 50%까지 제한하는 간단한 규칙을 적용할 경우 네트워크가 웜의 트래픽으로 넘쳤던 것이 관찰되었습니다. 감염된 호스트는 UDP 트래픽으로 대역폭의 50%가 빠르게 채워졌지만 나머지 대역폭은 운영 트래픽에 사용할 수 있도록 남겨졌습니다. ATM(Automatic teller machines)은 계속 작동했고 관리자는 TCP를 사용하여 패치를 적용하고 정책을 전파할 수 있었습니다. UDP 트래픽을 제한하는 정책은 간단하지만 계속 남아 있을 수 있는 이러한 간단한 정책은 신뢰할 수 있는 보호망을 제공할 수 있습니다.
중요한 트래픽에 대해 IPsec을 사용함으로써 관리자는 UDP 정책의 약간 더 정교한 버전을 적용할 수 있습니다. 일반적인 조건에서 네트워크 관리자는 네트워크에서 혼합된 트래픽을 모니터링하고 그 중에서 어느 정도가 UDP 트래픽, TCP 트래픽, ICMP(Internet Control Message Protocol) 트래픽인지 확인할 수 있습니다. 스트레스가 있을 때 표준 패턴에 따라 리소스를 공유할 수 있도록 가중치 공정 대기열 알고리즘이 사용됩니다. 사실 기본적으로 라우터에서 이러한 정책을 프로그래밍하고 표준 네트워크 활동 기간 동안 장기적인 추세와 통계를 수집하고, 이렇게 수집된 통계를 혼잡이 심할 때 가중 공정 대기열로 적용할 수 있습니다.
웜 및 서비스 거부 공격
최근에 특정 서버 또는 네트워크의 특정 부분에 과도한 트래픽을 집중적으로 보냄으로써 작동하는 서비스 거부 공격에 네트워크가 취약하다는 것이 밝혀졌습니다. 서비스 거부 공격의 한 가지 형태는 많은 컴퓨터가 선택된 대상에 동시에 트래픽을 공격하는 분산 방식을 사용하므로 이러한 공격은 방어하기가 특히 어렵습니다. CodeRed 웜은 먼저 많은 웹 서버에 침투를 시도했습니다. 대부분은 whitehouse.gov(미국 워싱턴주에 있는 백악관 도메인)로 다량의 트래픽을 보내려고 한 것입니다. 사실 CodeRed, Nimda 및 Slammer 웜의 전파 방법은 인터넷에 대한 서비스 공격이었습니다. 감염된 각 컴퓨터는 무차별 대상에 수 백만 가지 감염을 시도했고 결과적으로 많은 지역 및 영역 네트워크를 마비시켰습니다.
IPsec은 여러 가지 방법으로 서비스 거부 공격으로부터 보호하고 공격의 잠재적 희생자에 대한 추가 수준의 보호를 제공합니다. 강제로 비용이 많이 드는 계산을 하도록 하여 공격을 늦추고 네트워크 운영자가 다른 트래픽 유형을 구분하도록 할 수 있습니다.
권한 승격
이런 종류의 위협은 권한이 없는 사용자가 전체 시스템 환경을 손상시키거나 파괴할 수 있는 권한을 얻을 수 있습니다. 권한 상승 위협에는 공격자가 효과적으로 모든 시스템 방어망에 침투하여 시스템을 악용하고 손상시키는 상황이 포함됩니다.
기타 위협
모든 위협이 STRIDE 모델에 해당하지는 않습니다. 다음 항목은 여러 다른 위협을 보여주고 서버 및 도메인 격리 솔루션이 받을 수 있는 영향에 대해 설명합니다.
실제 보안
실제 보안은 시스템이나 리소스를 필요로 하는 최소한의 사용자에게만 실제 액세스를 제공하는 것입니다. 실제 보안은 대부분의 IT 보안 위협에 대한 가장 낮은 방어 계층입니다. 그러나 대부분의 네트워크 수준 공격에서 실제 보안은 완전히 무시됩니다. 실제 보안은 여전히 심층 방어 접근 방식의 일부로 상당한 가치를 제공합니다. 예를 들어, 보안 가드, 데이터 센터의 카메라, 민감한 지역의 출입 제한 및 출입문의 키 카드나 키와 같은 형태로 된 실제 보안은 모두 신뢰할 수 있는 장치가 손상되는 것을 방지합니다. 여러 가지 실제 보안 방법을 사용하는 것이 중요하며 보다 심각한 데이터 센터 보안 침해를 어느 정도 예방할 수 있습니다.
실제 보안이 손상되면 항상 모든 보안 계층이 손상되었음을 의미한다는 것을 염두에 두어야 합니다. 이 솔루션에서 설명하는 모든 보안은 실제 보안이 이루어졌다는 가정을 전제로 합니다. 실제 보안 없이는 어떤 보안 조치도 효율적이라고 볼 수 없습니다.
네트워크 보안
네트워크는 서로 연결된 컴퓨터의 시스템입니다. 네트워크용으로 설계된 프로토콜과 서비스 대부분은 악의적인 의도가 있을 가능성을 염두에 두고 만들어지지 않았습니다. 고속 컴퓨팅, 쉬운 네트워크 액세스 및 인터넷의 보편적인 사용으로 인해 많은 악의적인 사용자가 시스템과 서비스를 악용하거나 중단시킬 목적으로 노력을 집중시켰습니다. 많은 네트워크 위협을 이 부록 앞부분에서 자세히 설명했습니다. IPsec이 이러한 네트워크 공격으로부터 보호하는 방법에 대한 자세한 내용은 Windows® XP Professional Resource Kit의 Chapter 19 – Configuring TCP/IP에서 IPsec 절(www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prcc\_tcp\_naoc.asp)을 참조하십시오.
응용 프로그램 보안
응용 프로그램에 대한 대부분의 공격은 이러한 응용 프로그램 또는 운영 체제에 존재하는 취약점을 악용하려고 시도합니다. IPsec은 OSI(Open System Interconnection) 모델의 네트워크 계층에서 구현되기 때문에 해당 패킷이 응용 프로그램에 도달하기 전에 패킷을 허용할지 삭제할지 여부를 결정합니다. 이 동작은 IPsec이 응용 프로그램 수준 결정을 내릴 수 없지만 낮은 수준에서 응용 프로그램 트래픽을 위한 보안을 제공할 수 있다는 것을 의미합니다.
사회 공학
사회 공학은 인간의 약점을 이용하여 시스템에 대한 액세스 권한을 얻거나 시스템에 대해 알아내는 행위입니다. 예를 들어, 예비 공격자는 대상 회사에 전화를 걸어 특정 프로젝트를 담당하는 관리자 이름을 물어볼 수 있습니다. 이 프로젝트는 회사가 신제품이나 서비스를 개발하는 프로젝트이며, 공격자는 이것을 알아 내려고 합니다. 운영자가 공격자에게 관리자 이름은 물론 심지어 이 사람의 위치나 연락 정보를 제공할 경우 공격자는 자신의 노력을 집중하는 데 사용할 수 있는 더 많은 정보를 갖게 됩니다.
이런 종류의 공격은 컴퓨터 사용자를 대상으로 하기 때문에 IPsec은 이를 보호할 수 없습니다. 마찬가지로 격리된 시스템에 액세스하여 이 액세스를 악용하는 악의적인 사용자(종종 신뢰할 수 있는 공격자라고 함)는 다른 보안 기술을 사용하여 예방해야 합니다.
요약
서버 및 도메인 격리를 사용해도 조직이 직면한 모든 위협을 해결하지는 못하는 것은 사실입니다. 사용 가능한 옵션에 대한 철저한 이해와 기술 과제의 세부 지식만이 조직이 자신의 IT 환경을 적절히 보호할 수 있는 길입니다.
전체 솔루션 다운로드