N-22(상) DDoS 공격 방어 설정

 

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : DDoS 공격에 사용되는 IP 대역을 ACL 적용하여 차단하였는지 점검

○ 점검목적 : 외부에서 사용할 수 없거나 특수한 목적으로만 사용하는 IP 대역을 차단하여 DDoS 공격의 피해를 감소

○ 보안위협 : 외부망에서 사용하지 않는 IP 또는 특수한 목적으로만 사용하는 IP 대역을 차단하지 않을 경우, 공격자가 해당 IP들을 이용하여 DDoS 공격을 시도하면 공격 발생지를 파악할 수 없어 DDoS 방어가 어려워지고 피해 시간이 길어질 위험이 존재

○ 점검대상 : CISCO, Juniper 등

○ 판단기준

- 양호 : DDoS 공격 방어 설정이 되어있는 경우

- 취약 : DDoS 공격 방어 설정이 되어있지 않은 경우

 

■ 점검방법

○ 장비별 점검방법 예시

CISCO	Router> enable Router# show running (하단 부분에서 확인 가능)
Juniper	user@juniper> configure [edit] user@juniper# show configuration root authentication 설정을 이용하여 [edit system] 레벨에서 DDoS 방어 설정 요소 확인

 

■ 조치방안

○ CISCO, Juniper

Step 1

DDoS 공격 방어 설정 요소 ㆍFragment 공격 차단 설정 ㆍ적절한 ACL을 통한 사전방어 설정 필요 ㆍ보안담당자와 네트워크담당자가 연계하여 차단 설정   DDoS 공격 방어 설정(차단되어야 하는 IP 대역) ㆍ0.0.0.0/8 : Default/Broadcast & Other unique IP ㆍ127.0.0.0/8 : Host Loopback IP address ㆍ169.254.0.0/16 : DHCP를 통한 IP 미 할당시 자동 생성되는 IP ㆍ192.0.2.0/24 : TEST-NET IP ㆍ10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16:RFC 1918 에 정의된 사설 IP ㆍaccess-list 번호는 10◦ 199 구간을 사용하여 Extended access-list를 사용

 

■ 조치 시 영향

필터링 적용 시 사용하는 ACL은 라우터 성능에 많은 영향을 미칠 가능성이 존재

■ IP Spoofing

○ IP Spoofing은 IP를 속여서 공격하는 기법을 의미하며, 다음과 같은 TCP/IP 프로토콜 약점을 이용한 공격이 존재

- 순서 제어 번호 추측 (Sequence number guessing)

- 반 접속 시도 공격 (Syn flooding)

- 접속 가로재기(Connection hijacking)

- RST를 이용한 접속 끊기 (Connection killing by RST)

- FIN을 이용한 접속 끊기 (Connection by FIN)

- 네트워크 데몬 정지(Killing the INETD)

- TCP 윈도우 위장(TCP window spoofing)

 

○ IP Spoofing 공격은 공격하고자 하는 시스템 서비스 포트나 그에 대한 취약점을 알아내는 것부터 시작되며, 공격자는 스캔용 프로그램과 점검 툴을 사용하여 해당 네트워크를 공격

※ 공격으로 사용되는 툴 중에는 자신의 위치를 감추기 위해 Spoofed IP를 사용