본문 바로가기
수업/네트워크보안개론

[네트워크보안개론] 스푸핑 공격 및 방어방법

by graygreat 2017. 6. 12.
728x90
반응형


스푸핑 공격 및 방어방법


ARP 스푸핑


ARP (Address Resolution Protocol) : IP 주소 값으로 MAC 주소 값을 알아내는 프로토콜


RARP (Reverse ARP) : MAC 주소 값으로 IP 주소 값을 알아내는 프로토콜



● ARP 스푸핑


- MAC 주소를 속이는 것 (2계층에서 작동해 공격 대상이 같은 랜에 있어야 함.)


- 스니핑의 또 다른 기법


- 공격자는 자신의 IP 주소 값이 있을 필요가 없음 (2계층에서 이루어짐)





● ARP 스푸핑에 대한 보안 대책


- arp - a 명령을 입력하고 Enter를 누르면 현재 MAC 주소 테이블을 볼 수 있음.


- 윈도우 서버 2012의 경우, 설정하고자 하는 IP 주소와 MAC 주소를 static으로 확인한 뒤 'arp - s <IP 주소> <MAC 주소>' (윈도우 7 인 경우, 'netsh interface ipv4 add nighbors <네트워크 인터페이스 이름> <IP 주소><MAC 주소>') 형식으로 명령을 입력


- 다시 arp -a 명령으로 MAC 주소 테이블을 확인하면 뒷부분에 PERMPeramanet 옵션 또는 static이 있음


--> 이렇게 설정된 IP와 MAC 주소 값은 ARP 스푸핑 공격이 들어와도 변하지 않음.


◎ static 옵션을 지정하는 것은 시스템 보안에 중요한 역할을 한다. 하지만 리부팅하면 static 옵션이 사라지므

   로 배치 파일 형태로 만들어두고, 리부팅 시마다 자동으로 수행되도록 설정해야 함. 


==> MAC 주소 값을 static으로 설정하면 반드시 기록해야 함.



IP 스푸핑


● IP 스푸핑 


- IP 주소를 속이는 것

 

- 최근에 TCP 세션 하이재킹이라고 부르기도함


- 최근에는 계정의 패스워드가 같아야만 패스워드를 묻지 않도록 변경되었고, SSH(secure shell)를 사용하도록 권고하기 때문에 IP 스푸핑 공격이 이루어지지 않음.



● 트러스트 


- 시스템을 용이하게 관리할 목적으로 개발된 것


- 시스템에 접속할 때 자신의 IP주소로 인증하면 로그인 없이 접속이 가능하게 만든 것

  (스니핑은 막을 수 있지만, IP만 일치하면 인증 우회가 가능)


- SSO (Single Sign On) : 트러스트에 대한 약점이 알려지면서 개발됨.



● 트러스트의 설정과 역할


- ./etc/hosts.equiv : 시스템 전체에 영향을 미침


- .$HOME/.rhost : 사용자 한 사람에 귀속하는 파일



'+' : 무조건 허용, '-' : 무조건 차단, '@' : 그룹



● IP 스푸핑에 대한 보안 대책


- 가장 좋은 보안 대책은 트러스트를 사용하지 않는 것


- 부득이하게 트러스트를 사용할 경우에는 트러스트된 시스템의 MAC 주소를 static으로 지정



DNS 스푸핑


● DNS 스푸핑


- 웹 스푸핑과 비슷


- ex) 인터넷 익스플로러 주소 창에 원하는 사이트 이름을 입력하고 키를 눌렀는데 엉뚱한 사이트로 연결되는 것



● 정상적인 DNS 서비스



● DNS 스푸핑 공격 순서


1. 클라이언트가 DNS 서버로 DNS Query 패킷을 보내는 것을 확인 (ARP 스푸핑과 같은 선행 작업 필요)

      



2. DNS 서버가 올바른 DNS Response 패킷을 보내주기 전에 위조된 DNS Resposnse 패킷을 클라이언트에게      보냄.


 



3. 클라이언트는 공격자가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고 웹에 접속


● DNS 스푸핑 보안 대책


- 사이트에 접속하면 DNS Query를 보내지 않고 캐시에서 읽어들인 후 hosts 파일을 통해 도메인 이름에 대한     IP 주소를 해석


- hosts 파일에 중요한 사이트의 IP 주소를 확인하여 적어두면 DNS 스푸핑 공격을 당하지 않음.


- DNS 서버에 대한 DNS 스푸핑 공격은 BIND (Berkeley Internet Name Domain)를 최신 버전으로 바꿔서 해결


- BIND : PTR 레코드뿐만 아니라 PTR 레코드에 의한 A 레코드 정보까지 확인한 후 네임 서버의 데이터베이스              파일 변조 여부까지 판단 가능


> PTR 레코드 : Reverse Zone(리버스 존)에서 가장 중요한 레코드로, IP 주소에 대한 도메인 이름을 해석


> A 레코드 : Forward Zone에서 도메인 이름에 대한 IP 주소를 해석





반응형

댓글