정보보안기사 실기 _ 네트워크 기본학습 3

@ ICMP 프로토콜

1) 특징
 - 3계층의 IP 프로토콜은 신뢰 할 수 없는 프로토콜이다. 즉 전송상태에 대한 관리가 이루어지지 않는다. 이러한 단점을 보완하기 위한 프로토콜이 ICMP  프로토콜
 - IP패킷 전송 중 에러발생 시 에러발생원인을 알려주거나 네트워크 상태를 진단해주는 기능
 --error-reporting message : 전송 중 오류 발생 시 에러 메시지를 생성하여 응답
 --Query Message : 네트워크 상태를 진단하기 위한 쿼리 요청 및 응답메시지 생성
2) 주요 ICMP Error-Reporting 메시지
 - Destination Unreachable (type 3)
 -- 해당 목적지에 도달 할 수 없음
 -- 목적지 도달 불가 사유에 따라 다양한 code로 구성이 되어있다.
 - Redirection (type 5)
 -- 라우팅 경로가 잘못되어 새로운 경로를 이전 경유지에게 알려주는 메시지
 -- ICMP Reditect 공격 시 이용하는 메시지
 - Time Exceeded (type 11)
 -- TTL 값이 0이 되어 해당 패킷이 폐기 되었을음을 알리는 메시지
 -- 수신 측에서 fragment 재조합을 하는데 재조합 타임아웃이 발생하면 해당 datagram의 모든 fragment를 폐기하고 그 사실을 알리는 메시지이다.

3) 주요 ICMP Query 메시지
 - Echo Request(type 8) and Reply (type 0)
 -- ping 유틸리티 프로그램에 사용되는 메시지로 end 노드간에 네트워크 및 호스트 상태진단을 목적으로 사용

4) ICMP Redirect 공겨
 - ICMP Redirect란 패킷의 경로를 재설정해주는 ICMP Error Reporting 메시지를 의미한다.  해당 메시지를 수신한 호스트는 자신의 라우팅 테이블에 특정 목적지로 나가는 gateway주소를 변경한다. 이러한 특성을 이용하여 ICMP Redirect 메시지를 공격자가 원하는 형태로 만들어 특정 목적지로 가는 패킷을 공격자 쪽으로 향하도록 만드는 공격기법
 - ARP Redirect와 ICMP Redirect 공격의 차이점을 살펴보면, ARP Redirect는 희생자의 ARP Cache table 정보를 변조하여 스니핑하는 것이고, ICMP Redirect공격을 희생자의 라우팅 테이블을 변경하여 스니핑하는 것이다.
 - 대응방법
 -- ICMP Redirect 메시지에 의해 하우팅 테이블이 변경되지 않도록 ICMP Redirect 옵션을 해제한다.
 -- 현재 대부분의 OS에서 보안상의 이유로 기본적으로 해제하고있다.

@ DNS (Domain Name System)

1) DNS 서버 동작 방식
 - 클라이언트가 DNS서버에 접속하고자 하는 도메인명에 대한 IP주소를 질의한다.
 - 질의를 받은 DNS서버는 해당 도메인 정보가 자신의 캐시에 저장되어 있거나 자신이 위임받은 도메인일 경우 바로 클라이언트에게 응답, 그렇지않다면 root 도메인 서버로 반복질의를 수행 하여 정보를 얻음
 - 도메인에 대한 IP 주소를 얻고 클라이언트에게 응답하는 것을 DNS Answer이라고 한다.
 - 클라이언트는 DNS 서버에서 받은 IP주소로 일정 시간동안 자신의 DNS cache에 저장한다. 캐시를 이용하는 것은 매번 동일한 도메인에 대한 질의를 수행하는 부하를 줄이기 위한 것으로 DNS 캐시에 있는 정보를 먼저 확인.

2) DNS Spoofing 공격
 - DNS Spoofing은 희생자가 DNS 쿼리를 수행하면 공격자가 이를 스니핑하고 있다가 희생자에게 위조된 웹 사이트로 접속하는 DNS 응답을 보내 정상주소를 입력해도 위조된 주소로 접속을 하게 만드는 공격이다.
 - DNS Spoofing은 DNS 질의/응답이 UDP통신을 하는데 UDP의 비연결 특성을 가지는 취약점을 이용한다.
 ->대응방법 : 중요한 사이트의 IP주소에 대하서는 hosts파일에 등록하여 해당 사이트에 대한 주소검색은 DNS응답보다 우선순위가 높은 hosts 파일을 참조하도록 한다.

3) DNS cache poisoning 공격
 - DNS 서버의 캐시 메모리에 위조된 데이터를 저장하여 사용하도록 유도하는 방식의 파밍(pharming)공격을 DNS cache poisoning 공격이라고 한다.
 - DNS 캐시 정보가 일정시간동안 유지되는 동안 해당 서버에 접근하는 다수의 사용자들이 위조된 정보를 응답받으므로 큰피해를 입게 된다.
 -> 대응 방법 : DNSSEC(DNS Security Extensions)
 - 데이터 위변조 공격에 취약한 DNS의 문제점을 근본적으로 보안 개선하기 위해 IETF에 의해 완성
 - DNSSEC은 DNS를 대체하는 것이 아니라, 기존의 DNS에 공개키 암호화 방식의 보안기능을 추가하여 DNS의 보안성을 대폭 강화하는 역할을 한다.

4) DNS 서버(Bind DNS)보안
 1. 재귀적인 (Recursive Query)에 대한 제한
 - 악의적인 공격자에 의해 과도한 재귀적 질의 요청이 발생하게 되면 Dos형태의 공격으로 악용될 소지가 있으며 DNS Cache Poisoning 공격에 노출될 수 있다.
 - 공개되지 않은 제한된 사용목적의 DNS 라면 순환질의에 대한 적절한 접근제어를 해줄 필요가 있다.
 - options 항목에 allow-recursion을 정의하고 재귀적 질의를 허용할 ip 또는 ip대역을 명시한다.

 2. Zone Transfer에 대한 제한
 - zone transfer는 master와 slave DNS 서버 간에 zone 파일을 동기화하는 작업을 말한다. 많은 양의 zone 정보를 이동해야하기 때문에 신뢰성 있는 전송을 보장하는 TCP를 이용한다.
 - 악의적인 공격자에 의해 Dos 공격으로 악용될 수 있다. 즉 지속적으로 zone transfer를 요청하여 네트워크 및 시스템 자원을 소모시킬 수 있다. 또한 zone파일에 저장되어 있는 해당 도메인의 서버정보가 그대로 노출될 수 있다.
 - master DNS 서버만을 운영할 경우에는 zone transfer를 허용하지 않고, master와 slave환경에서는 지정한 slave만 zone transfer를 요청하도록 설정해야 한다.