[Information System Security] Network Security 1

ARP spoofing

- 공격자는 LAN에서 데이터 프레임을 스니핑 하거나 트래픽을 수정하거나 트래픽을 완전히 중지 할 수 있다.
- ARP poisoning, ARP flooding, ARP poison routing

 

Man-in-the-middle-attack(MITM)

- 양쪽 클라이언트의 대리인 역할을 하는 중간 당사자의 존재로 인해 발생하는 일반적인 문제

- Diffie-Hellman이 이 공격에 약하다

• 대책
  • PKI -> 공인인증서
  • One-time pad
  • Strong mutual authentication
  • Second channel verification

Smurf attack == ARP

- 공격 대상자에게 많은 ICMP 에코 응답 메세지를 발행

- 집계된 메세지를 통해 피해자의 정상적인 작동을 중지 할 수 있다.

- Denial of Service attack

Smurf attack scenario

1. 공격자가 ICMP 에코 요청(PING) 패킷을 공격 대상자의 소스 IP 주소와 브로트캐스트 대상의 IP 주소로 전송한다.
2. ICMP 에코 응답 메세지는 ICMP 에코 요청 패킷을 받은 모든 호스트에 의해 생성된다.
3. 피해자가 패킷을 너무 많이 수신하여 정상적인 서비스를 계속 할 수 없게 된다.

Smurf attack countermeasuer(대책)

- PING 요청이나 브로트캐스트에 응답하지 않도록 개별 호스트 및 라우터 구성

- 브로드캐스트 주소로 향하는 패킷을 포워드하지 않도록 라우터 구성

- 보안상 편의성이 제한 될 수 있다.

 

Packet sniffing

- Hub

- 여러개의 트위스트 페어 또는 광섬유 이더넷 장치를 함께 연결하여 단일 네트워크 세그먼트 역할을 하도록 하는 장치

- OSI 모델의 물리적 계층에서 허브 작동

- 패킷이 다른 모든 포트에 복사됨

- 이 장치는 멀티포트 리피터의 일종이다.

- 공격자가 세그먼트 내부의 모든 패킷을 볼 수 있음

- Network switch(switching hub)

- Hub 사용시 충돌 발생

- MAC 주소 정보를 사용하여 네트워크 스위치로 문제를 해결

- 네트워크 스위치에 테이블이 있음

- 테이블에서 오래된 항목 삭제

- 스위치가 어떤 인터페이스를 통해 어떤 호스트에 도달 할 수 있는지 학습

- 프레임이 수신되면 송신자의 '학습' 위치를 전환 : 수신 LAN 세그먼트

- 스위치 테이블에 보낸 사람 / 위치 쌍을 기록

MAC flooding

• 공격자가 소스 MAC 주소의 임의 값을 사용하여 패킷을 전송함
• 이는 MAC 주소, 인터페이스, 타임 스탬프의 스위치 테이블 오버플로 -> HUB 방식으로 작동하게 됨, 속도가 급 느려지는 현상 발생
• 대책 
  • MAC 레벨 접근 제어
  • Detecting (IP:MAC) relationship
  • ex) ARP watch, intrusion detection system, 칩입 탐지 시스템
  • ARP watch : 이더넷 활동을 모니터링하고 이더넷 / IP 주소 쌍의 데이터 베이스를 유지하는 도구
  • 라우터가 거짓 양성 오류를 발생시킴
    • false positive vs false negative