CISSP 연구 노트: 보안 통신 및 네트워크 공격

12장 보안 통신과 네트워크 공격

12.1 네트워크 및 프로토콜 보안 메커니즘

TCP/IP가 주요 프로토콜이지만 보안상의 결함도 많이 있습니다.

12.1.1 보안 통신 프로토콜

• 특정 응용 프로그램 통신 채널에 보안 서비스를 제공하는 프로토콜을 보안 통신 프로토콜이라고 합니다.
• 일반적인 보안 통신 프로토콜:
  • IP 단순 키 관리(SKIP): 세션 없는 데이터그램 프로토콜을 보호하는 암호화 도구입니다. SKIP은 IPSec과 결합되도록 설계되었으며 OSI 모델의 세 번째 계층에서 작동하며 TCP/IP 프로토콜의 모든 하위 프로토콜을 보호할 수 있습니다. 제품군. 암호화
  • 소프트웨어 IP 암호화: 캡슐화 프로토콜을 사용하여 인증, 무결성 및 기밀성을 제공하는 IP 보안 프로토콜의 세 번째 계층에서 작동합니다.
  • S-RPC(Secure Remote Procedure Call): 원격 시스템에서 승인되지 않은 코드 실행만 방지하는 인증 서비스입니다.
  • SSL(Secure Sockets Layer): 웹 서버와 웹 브라우저 간의 통신을 보호하며 기밀성과 무결성을 제공하는 세션 중심 프로토콜입니다.
  • TLS(전송 계층 보안): 기능적으로 SSL과 유사하지만 더욱 강력한 인증 및 암호화 프로토콜인 TLS는 UDP 및 SIP(Session Initiation Protocol) 연결을 암호화할 수 있습니다.
  • SET(Secure Electronic Transactions) : 인터넷을 통한 거래 전송에 사용되는 보안 프로토콜, RSA 암호화 및 DES(Data Encryption Standard)

12.1.2 신원 인증 프로토콜

• 원격 시스템과 서버 사이에 연결이 설정된 후 원격 사용자를 인증해야 하는데, 이 작업을 인증이라고 합니다.
  • CHAP(Challenge Handshake 인증 프로토콜) : CHAP는 사용자 이름과 비밀번호를 암호화합니다. 설정된 통화 세션 동안 CHAP는 주기적으로 원격 시스템을 다시 인증하여 원격 클라이언트의 지속성을 인증합니다.
  • PAP(암호 인증 프로토콜) : 사용자 이름과 암호를 일반 텍스트로 전송 하고 클라이언트가 로그인 자격 증명을 인증 서버에 전송하는 수단을 제공하는 PPP 기반의 표준 신원 인증 프로토콜입니다 .
  • EAP(Extensible Authentication Protocol) : 맞춤형 인증 보안 솔루션을 허용하는 인증 프레임워크

12.2 보안 음성 통신

• 일반 PBX(사설 교환기) 또는 POTS/PSTN 음성을 쉽게 가로챌 수 있습니다.

12.2.1 인터넷 프로토콜을 통한 음성(VoIP)

• VoIP는 음성을 IP 패킷으로 캡슐화하여 TCP/IP 네트워크를 통해 음성 통화를 연결할 수 있도록 하는 기술입니다.
• VoIP 보안 문제:
  • 통화 ID는 위조될 수 있으며 해커는 네트워크를 대상으로 보이스 피싱(VoIP 피싱) 공격이나 음성 스팸(SPIT) 공격을 수행할 수 있습니다.
  • 통화 관리 시스템과 VoIP 전화 자체의 취약점으로 인해 OS 공격, DOS 공격에 취약할 수 있음
  • 속임수를 통한 중간자 공격
  • 802.1x 인증 위조 및 VLAN 내 VoIP 호핑(인증 채널 건너뛰기)과 유사
  • 암호화되지 않은 VoIP 트래픽은 디코딩을 통해 도청될 수 있습니다.

12.2.2 사회공학

• 사회 공학은 낯선 사람이 조직 내 누군가의 신뢰를 얻어 회사를 사회 공학 공격에 취약하게 만드는 방법입니다.
• 사회 공학을 방지하는 유일한 방법은 사용자에게 음성 전용 통신을 통해 응답하고 의사소통하는 방법을 가르치는 것입니다.

12.2.3 위조 및 오용

• 많은 PBX 시스템은 악의적인 공격자가 요금을 회피하고 신원을 숨기기 위해 악용될 수 있습니다.
• 피싱은 전화 시스템을 표적으로 삼는 특정 유형의 공격입니다.
• 일반적인 phreak 도구:
  • 장거리 서비스를 훔치기 위해 선간 전압을 조작하는 데 사용되는 블랙박스
  • 빨간색 상자는 공중전화에 동전이 입금되는 소리를 시뮬레이션하는 데 사용됩니다.
  • 파란색 상자는 전화 네트워크 백본 시스템과 직접 상호 작용하는 2600Hz 사운드를 시뮬레이션하는 데 사용됩니다.
  • 전화 시스템을 제어하는 ​​데 사용되는 흰색 상자

12.3 멀티미디어 협업

• 멀티미디어 협업은 원격 협업을 지원하기 위해 다양한 멀티미디어 통신 솔루션을 사용하는 것입니다.

12.3.1 원격 회의

• 원격 회의 기술은 모든 제품, 하드웨어 또는 소프트웨어가 원격 이해관계자와 상호 작용할 수 있도록 하는 데 사용됩니다.

12.3.2 인스턴트 메시징

• IM(인스턴트 메시징)은 두 사용자가 인터넷 어디에서나 실시간 문자 채팅을 할 수 있는 메커니즘입니다.
• 적시에 메시지를 보내는 것의 단점:
  • 허점이 많다
  • 패킷 스니핑에 취약
  • 암호화 및 사용자 개인 정보 보호 부족

12.4 이메일 보안 관리

• 이메일은 널리 사용되고 일반적으로 사용되는 인터넷 서비스입니다.
• Sendmail은 Unix 시스템에서 가장 일반적으로 사용되는 SMTP 서버이고, Exchange는 Microsoft 시스템에서 가장 일반적으로 사용되는 SMTP 서버입니다.
• SMTP는 이메일을 수락하고 릴레이하기 전에 보낸 사람을 인증하지 않는 SMTP 서버인 오픈 릴레이가 되는 것을 방지하기 위해 메일 릴레이 시스템으로 설계되었습니다.

12.4.1 이메일 보안의 목표

• 향상된 이메일은 아래 나열된 목표 중 하나 이상을 달성할 수 있습니다.
  • 부인방지 제공
  • 지정된 수신자에게만 메일 액세스를 제한합니다.
  • 이메일 무결성 유지
  • 이메일 소스 인증 및 검증
  • 이메일 전달 확인
  • 첨부파일의 내용이나 민감도 분류
• 이메일이 백업된 경우 사용자에게 이 상황을 알려야 합니다.

12.4.2 이메일 보안 문제 이해

• 이메일은 암호화되지 않으므로 가로채기와 도청에 취약합니다.
• 이메일은 바이러스, 웜, 트로이 목마, 파괴적인 매크로 및 기타 악성 코드가 악용하는 가장 일반적인 전송 메커니즘입니다.
• 이메일은 출처를 확인하는 몇 가지 방법을 제공합니다.
• 이메일 자체도 DoS와 같은 공격 메커니즘으로 사용될 수 있습니다.

12.4.3 이메일 보안 솔루션

• 보안 다목적 인터넷 메일 확장(S/MIME): 공개 키 암호화 및 디지털 서명을 통해 이메일에 대한 인증 및 개인 정보 보호 기능을 제공합니다.
• S/MIME은 두 가지 유형의 이메일을 제공합니다.
  • 서명된 이메일: 보낸 사람의 무결성과 인증을 제공합니다.
  • 안전하게 캡슐화된 메시지: 무결성, 보낸 사람 인증 및 기밀성을 제공합니다.
• MOSS(MIME 개체 보안 서비스): MD2, MD5, RSA 공개 키 및 DES(데이터 암호화 표준)를 활용하여 인증 및 암호화 서비스를 제공합니다.
• PEM(Privacy Enhanced Mail): RSA, DES 및 X.509를 사용하여 인증, 무결성, 기밀성 및 부인 방지 기능을 제공합니다.
• 이메일 검증 표준(DKIM): 도메인 인증을 통해 조직에서 합법적인 이메일이 전송되는지 확인하는 수단
• PGP(Good Privacy): 여러 암호화 알고리즘을 사용하여 파일과 이메일을 암호화하는 공개-개인 키 암호화 시스템

첨부 파일이 이메일 통신의 필수 부분인 경우 보호를 위해 사용자 교육 및 바이러스 백신 도구를 활용하십시오.

12.5 원격 접속 보안 관리

• 원격 액세스를 통해 원격 클라이언트가 네트워크와의 통신 세션을 설정할 수 있습니다.

12.5.1 원격 액세스 보안 계획

• 원격 보안 정책을 나열할 때 다음 질문을 해결해야 합니다.
  • 원격 연결 기술: 각 원격 연결에는 고유한 문제가 있습니다.
  • 전송 보호: 암호화 프로토콜, 암호화된 연결 시스템, 암호화된 네트워크 서비스 및 애플리케이션은 다양한 형태로 존재합니다. VPN, SSL, TLS, SSH, IPSec 및 L2TP를 포함하여 필요에 따라 보안 서비스의 적절한 조합을 선택하십시오.
  • 신원 인증 보호: 로그인 자격 증명의 보안을 보호하려면 일종의 인증 프로토콜을 사용해야 하거나 PAP(Password Authentication Protocol), Challenge Handshake 인증 프로토콜을 포함할 수 있는 중앙 집중식 원격 액세스 인증 시스템을 승인할 수도 있습니다. (CHAP) 또는 확장 인증 프로토콜(EAP) 및 확장 PEAP 또는 LEAP, 원격 인증 다이얼인 사용자 서비스(RADIUS) 및 터미널 액세스 제어 액세스 제어 시스템(TACACS+)
  • 원격 사용자 지원: 원격 사용자는 정기적으로 기술 지원을 요청할 수 있습니다.

12.5.2 전화 접속 프로토콜

• 원격 연결을 설정할 때 실제로 연결이 생성되는 방식을 관리하기 위해 특정 프로토콜을 사용해야 하며, 다른 프로토콜은 작동할 공통 통신 기반을 만듭니다.
• 전화 접속 프로토콜의 주요 예:
  • PPP(Point-to-Point Protocol): LAN이 아닌 다양한 연결을 통해 TCP/IP 패킷을 전송하는 데 사용되는 전이중 프로토콜
  • SLIP(Network Serial Line Protocol): 비동기 직렬 연결을 통해 TCP/IP를 지원하며 거의 사용되지 않습니다.

12.5.3 중앙집중형 원격 신원인증 서비스

• 중앙 집중식 원격 인증 서비스는 원격 클라이언트와 개인 네트워크 사이에 보안 계층을 제공합니다.
• RADIUS(원격 인증 전화 접속 사용자 서비스)는 원격 전화 접속 연결의 ID 인증을 중앙에서 완료하는 데 사용되며, 이를 통해 원격 액세스 서버는 ID 인증을 위해 전화 접속 사용자의 로그인 자격 증명을 RADIUS 서버에 보낼 수 있습니다. Radius 프로토콜의 세 가지 기본 기능:
  • 네트워크에 액세스해야 하는 사용자 또는 장치를 인증합니다.
  • 인증된 사용자 또는 장치에 리소스 액세스 권한 부여
  • 승인된 액세스 감사
• 터미널 접근 컨트롤러 접근 제어 시스템(TACACS+): RADIUS 대체

12.6 가상 사설망

• 가상 사설망은 신뢰할 수 없는 중개 네트워크를 통해 신원 인증 및 데이터 통신의 지점 간 전송을 제공하는 통신 터널입니다. 대부분의 VPN은 암호화 기술을 사용하여 캡슐화된 통신 데이터를 보호합니다.
• VPN은 신뢰할 수 없는 중개 네트워크를 통해 기밀성과 무결성을 제공하며 가용성을 보장하지 않습니다.

12.6.1 터널 기술

• 터널링 기술: 프로토콜 패킷의 내용을 다른 프로토콜 패킷에 캡슐화하여 보호합니다.
• 캡슐화 프로토콜에 암호화가 포함된 경우 기밀성과 무결성 손실을 걱정할 필요가 없습니다.

12.6.2 VPN 작동 방식

• 다른 네트워크 통신 링크를 통해 VPN 연결을 설정할 수 있습니다.
• VPN은 두 개의 개별 시스템 또는 두 개의 완전한 네트워크를 연결할 수 있습니다.

12.6.3 일반적인 VPN 프로토콜

일반적으로 사용되는 VPN 프로토콜: PPTP(IP 네트워크), L2F(데이터 링크 계층), L2TP(데이터 링크 계층) 및 IPSec(IP 네트워크)

1. 지점간 터널링 프로토콜
   • PPTP(Point-to-Point Tunneling Protocol)는 전화 접속 프로토콜인 Point-to-Point Protocol에서 개발된 캡슐화 프로토콜로, 두 시스템 간에 지점간 터널을 생성하고 PPP 패킷을 캡슐화합니다.
   • 신원 인증 프로토콜에는 MS-CHAP(Microsoft Challenge Handshake Identity Authentication Protocol), CHAP(Challenge Handshake Protocol), PAP(암호 인증 프로토콜), EAP(확장 신원 인증 프로토콜), SPAP(Shiva 암호 인증 프로토콜)이 포함됩니다.
2. 레이어 2 포워딩 프로토콜 및 레이어 2 터널링 프로토콜
   • L2TP(Layer 2 Tunneling Protocol)는 PPTP와 L2F의 조합에서 파생된 것으로, 통신 중단 사이에 지점 간 터널을 설정합니다. 내장된 암호화 체계가 없으며 IPSec를 보안 메커니즘으로 사용합니다. TACAS+를 지원합니다. 그리고 반경.
3. IP 보안 프로토콜
   • 현재 가장 일반적으로 사용되는 프로토콜인 IPSec는 IP 통신에만 사용할 수 있으며 안전한 신원 인증 및 암호화된 데이터 전송을 제공합니다.
   • IPSec의 주요 구성 요소 또는 기능:
     • AH(인증 헤더): 인증, 무결성 및 부인 방지 기능을 제공합니다.
     • ESP(보안 페이로드 캡슐화): 기밀성을 보호하기 위해 암호화를 제공하고 , 제한된 인증 작업을 수행하고, 레이어 3에서 작동하고, 전송 모드에서 데이터를 암호화하고, 터널 모드에서 전체 IP 패킷을 암호화합니다.

12.6.4 가상 LAN

• 물리적 토폴로지를 변경하지 않고 네트워크에서 논리적 격리 생성
• VLAN의 보안 관련 이점:
  • 브로드캐스트 트래픽을 제어하고 제한합니다. 서브넷 및 VLAN 내 브로드캐스트 차단
  • 네트워크 세그먼트에 대한 트래픽 격리
  • 네트워크 도청에 대한 취약성 감소
  • 방송폭풍 예방

12.7 가상화

• 단일 메인 메모리에서 하나 이상의 운영 체제를 호스팅하는 데 사용되는 가상화 기술
• 가상화의 이점
  • 로컬 하드 드라이브에 설치된 동급 시스템보다 백업이 더 쉽고 빠릅니다.
  • 악성코드나 감염이 호스트 운영체제에 영향을 미치기 어렵다.

12.7.1 가상화 소프트웨어

• 가상화된 응용 프로그램은 원본 운영 체제를 완전히 설치할 필요 없이 이식 가능하고 실행되도록 가상 응용 프로그램을 패키지하거나 캡슐화한 소프트웨어입니다.
• 가상 데스크탑에는 최소한 세 가지 유형의 기술이 포함됩니다.
  • 사용자가 원격 컴퓨터 시스템에 액세스하고 원격 데스크톱, 키보드 및 마우스를 보고 제어할 수 있게 해주는 원격 도구입니다.
  • 여러 애플리케이션과 일부 데스크탑 형태를 캡슐화하는 가상 애플리케이션의 개념
  • 데스크탑 확장 또는 확장

12.7.2 가상화된 네트워크

• 네트워크 가상화는 하드웨어와 소프트웨어 네트워크 구성 요소를 단일 복합 엔터티로 결합합니다.
• SDN(소프트웨어 정의 네트워킹)은 인프라 계층을 제어 계층에서 분리하는 것을 목표로 하는 네트워크 운영, 설계 및 관리에 대한 고유한 접근 방식입니다.
• 가상화된 네트워크의 또 다른 개념인 SAN은 여러 개의 개별 스토리지 장치를 단일의 포괄적인 네트워크 액세스 가능 스토리지 컨테이너로 결합합니다.

12.8 네트워크 주소 변환

• NAT는 헤더의 내부 주소를 인터넷을 통한 전송을 위해 공용 IP 주소로 변환하는 메커니즘입니다.
• NAT의 장점:
  • 전체 네트워크를 인터넷에 연결하려면 항상 하나 또는 몇 개의 임대 공용 IP 주소만 사용하세요.
  • 인터넷 통신의 경우 개인 네트워크에서 사용할 개인 IP 주소를 항상 정의할 수 있습니다.
  • NAT는 인터넷 전체에서 IP 주소 체계와 네트워크 토폴로지를 숨깁니다.
  • NAT는 연결을 제한하여 보호도 제공합니다.

12.8.1 개인 IP 주소

• 10.0.0.0 ~ 10.255.255.255 (전체 클래스 A 범위)
• 172.16.0.0 ~ 172.31.255.255 (16개 클래스 B 범위)
• 192.168.0.0 ~ 192.168.255.255 (255 클래스 C 범위)

12.8.2 상태 저장 NAT

NAT 작업을 수행할 때 내부 클라이언트에서 생성된 요청, 클라이언트의 내부 IP 주소 및 접속된 인터넷 서비스의 IP 주소 간에 매핑이 유지됩니다.

12.8.3 고정 NAT와 동적 NAT

• 고정 NAT: 특정 내부 클라이언트 IP 주소가 특정 외부 공용 IP 주소에 영구적으로 매핑되어 외부 엔터티가 전용 내부 시스템과 통신할 수 있습니다.
• 동적 NAT: 여러 내부 클라이언트가 더 적은 수의 임대 공용 IP를 사용할 수 있도록 하며 이 방법은 인터넷 액세스 비용을 최소화합니다.

12.8.4 자동 개인 IP 주소 지정

• APIPA는 실패한 각 DHCP 클라이언트에 169.254.0.1~169.254.255.254 내에 있는 IP를 위임합니다.

12.9 스위칭 기술

• 두 시스템이 여러 중개 네트워크를 통해 연결된 경우 한 시스템에서 다른 시스템으로 데이터 패킷을 전송하는 작업은 매우 복잡합니다.

12.9.1 회로 전환

• 두 통신 당사자는 세션 중에 지속적으로 보호되는 전용 물리적 경로를 생성하며 회선 교환은 영구적인 물리적 연결을 사용합니다.

12.9.2 패킷 스위칭

• 메시지나 통신은 먼저 여러 개의 작은 세그먼트로 분할된 다음 중간 네트워크를 통해 대상으로 전송됩니다. 패킷 교환은 배타적이지 않습니다.

12.9.3 가상회선

• 가상 회선은 지정된 두 끝점 사이의 패킷 교환 네트워크에 생성된 논리적 경로 또는 회선입니다.
• 패킷 교환 가상 회선: 영구 가상 회선(PVC), 교환 가상 회선(SVC)

12.10 WAN 기술

• WAN 연결은 원격 네트워크, 노드 또는 개별 장치를 함께 연결하는 데 사용되며, 안전한 연결을 보장하려면 적절한 연결 관리 및 전송 암호화가 필요합니다.
• 전용회선 : 지정된 고객을 위해 장기간 예약되어 있는 회선으로, 항상 개방되어 있어 언제든지 데이터 전송 및 통신이 가능합니다.
• ISDN(Integrated Digital Services)은 음성 통신과 고속 데이터 통신을 모두 지원하는 완전한 디지털 전화 네트워크입니다.
  • **BRI(Basic Rate Interface)**는 고객에게 2개의 B 채널과 1개의 D 채널 연결을 제공합니다.
  • **기본 속도 인터페이스(PR)** 고객에게 2~23개의 64Kbps B 채널과 1개의 64Kbps 채널을 지속적으로 제공합니다.

12.10.1 WAN 연결 기술

• 경계 연결 장비(채널 서비스 장치/데이터 서비스 장치 CSU/DSU): LAN 신호를 WAN 운영 네트워크 잠금에 사용되는 형식으로 변환합니다.

12.10.2 X.25 WAN 연결

• 영구 가상 회선을 사용하는 두 시스템 또는 네트워크 간의 특정 지점 간 연결

12.10.3 프레임 릴레이 연결

• 프레임 릴레이는 패킷 스위칭 기술을 사용하여 통신 중단 사이에 가상 회선을 설정하는 레이어 2 연결 메커니즘입니다.
• CIR(Committed Information Rate): 서비스 제공자가 고객에게 보장하는 최소 대역폭

12.10.4 ATM

• ATM(Asynchronous Transfer Mode)은 Wish Switched WAN 통신 기술이자 연결 지향 패킷 스위칭 기술입니다.

12.10.5 SMDS

• SMDS(Switched Multi-Megabit Data Service)는 여러 LAN을 연결하여 WAN(Metropolitan Area Network)을 형성하는 데 사용되는 비연결 패킷 교환 기술입니다.

12.10.6 특수 프로토콜

• WAN 연결 기술은 다양한 특수 시스템이나 장치를 지원하기 위해 특수 프로토콜을 사용해야 합니다.
• 동기식 데이터 링크 제어(SDLC): *SI 레이어 2에서 실행되는 전용 임대 회선의 영구적인 물리적 연결을 통해 사용됩니다.
• HDLC(고급 데이터 링크 제어): 동기식 직렬 연결을 위해 특별히 설계되었으며 전이중 지원, 지점 간 및 지점 간 다중 지점 지원, 폴링 기술 사용, *SI 레이어 2에서 작동, 흐름 제어, 오류 감지 제공
• HSSI(고속 직렬 인터페이스): 멀티플렉서와 ​​라우터가 *SI 레이어 1에서 작동하여 네트워크 운영자 서비스에 연결하는 방법을 정의합니다.

12.10.7 다이얼 캡슐화 프로토콜

• PPP(Point-to-Point Protocol): 전화 접속 또는 지점 간 연결을 통해 IP 통신 데이터 전송을 지원하는 데 사용됩니다.
• PPP는 원래 ID 인증을 위해 CHAP 및 PAP를 지원하도록 설계되었지만 새 버전에서는 MS-CHAP, EAP 및 SPAP도 지원합니다.

12.11 다양한 안전 제어 기능

12.11.1 투명성

• 보안 제어 또는 접근 메커니즘은 사용자에게 보이지 않으며, 보안 메커니즘이 투명할수록 사용자가 보안 메커니즘을 피하거나 보안 메커니즘의 존재를 감지하는 것이 더 어렵습니다.

12.11.2 무결성 확인

• 데이터 전송의 무결성을 확인하기 위해 해시된 합계의 체크섬을 사용할 수 있습니다.
• CRC(Cyclic Redundancy Check): 무결성 도구로도 사용 가능

12.11.3 운송 메커니즘

• 전송 로그는 우려사항과 의사소통에 대한 감사의 한 형태입니다.
• 전송 오류 검사는 연결 지향 또는 세션 지향 프로토콜 및 서비스에 내장된 기능입니다.

12.12 보안 경계

• 보안 경계는 보안 요구 사항이나 요구 사항이 서로 다른 두 영역, 서브넷 또는 환경 간의 교차점입니다.
• 물리적 환경과 논리적 환경 사이에도 보안 경계가 존재하는데, 논리적 보안을 제공하기 위해서는 물리적 보안과는 다른 보안 메커니즘을 사용해야 한다.
• 보안 경계는 항상 명확하게 정의되어야 합니다.
• 물리적 환경의 보안 라인은 종종 논리적 환경의 보안 라인을 반영합니다.
• 보안 정책을 실제 통제로 전환할 때 모든 환경과 보안 경계를 별도로 고려해야 합니다.

12.13 사이버공격 및 대응조치

12.13.1 DoS 및 DDoS

• 서비스 거부 공격은 시스템의 합법적인 활동을 방해하는 것이 주요 목적인 리소스를 소비하는 공격입니다.
• 서비스 거부 공격 방법:
  • 하드웨어나 소프트웨어의 취약점을 이용한 공격
  • 대량의 정크 네트워크 트래픽으로 피해자의 통신 채널을 넘치게 함
• DoS 공격에 대한 방어 조치:
  • 방화벽, 라우터 및 침입 감지를 추가하여 DoS 트래픽을 감지하고 자동으로 포트를 차단하여 메타 및 대상 주소를 기반으로 패킷을 필터링합니다.
  • 서비스 제공자와 원활한 의사소통을 유지하세요.
  • 외부 시스템에서 에코 응답 비활성화
  • 국경 시스템에서 방송 기능 비활성화
  • 위조된 패킷이 네트워크에 들어오거나 나가는 것을 차단합니다.
  • 공급업체의 최신 보안 업데이트로 모든 시스템에 패치를 적용하세요.
  • 타사 상용 DoS 보호/대응 서비스 고려

12.13.2 도청

• 도청은 복사할 목적으로 통신을 간단히 가로채는 것입니다.
• IT 인프라에 대한 무단 액세스를 방지하고 도청을 방지하기 위해 물리적 액세스 보안을 유지합니다.
• 통신 전송에 암호화 및 일회성 인증을 사용하면 도청의 효율성과 적시성이 감소합니다.

12.13.3 사칭/위장

• 가장 또는 변장은 시스템에 대한 무단 액세스를 얻기 위해 누군가 또는 사물인 것처럼 가장하는 것입니다.
• 가장 공격에 대응하는 솔루션에는 일회성 패딩 및 토큰 인증 시스템 사용이 포함됩니다.

12.13.4 재생 공격

• 재생 공격은 도청을 통해 캡처한 네트워크 통신을 이용하는 가장 공격의 한 종류입니다.
• 일회성 인증 메커니즘과 직렬 세션 ID를 사용하여 재생 공격으로부터 보호

12.13.5 수정 공격

• 수정 공격은 캡처된 패킷을 변경한 다음 이를 시스템에 다시 넣을 수 있습니다.
• 변조 재생 공격에 대한 대응책에는 전자서명 확인, 패킷 확인 및 검증이 포함됩니다.

12.13.6 주소 확인 프로토콜 스푸핑

• ARP 매핑은 시스템을 속여 요청된 IP 주소에 대해 가짜 MAC 주소를 제공하도록 속여 트래픽을 다른 대상으로 리디렉션하는 스푸핑 공격의 대상이 될 수 있습니다.

12.13.7 DNS 중독, 스푸핑, 하이재킹

• DNS 중독 및 DNS 스푸핑은 해결 공격으로 알려져 있으며, DNS 중독은 공격자가 DNS 시스템에서 도메인 이름과 IP 주소의 매핑을 변경하고 트래픽을 가짜 시스템으로 유도하거나 단순히 서비스 거부를 수행할 때 발생합니다.
• DNS 하이재킹 취약점, 유일한 해결책은 DNS를 DNSSEC(Domain Name System Security Extensions)로 업그레이드하는 것입니다.

12.13.8 하이퍼링크 스푸핑

• 하이퍼링크 스푸핑은 DNS 스푸핑의 형태를 취하거나 단순히 클라이언트에 전송된 HTML 코드의 하이퍼링크 URL을 수정할 수 있습니다.
• 하이퍼링크 스푸핑 공격에 대한 보호 방법에는 DNS 스푸핑을 방지하고 패치를 통해 시스템을 최신 상태로 유지하는 것이 포함됩니다.