Previous    Next     Top   Detailed TOC 

10. LAN/WAN 네트웍 보안

• 네트웍 모델 (OSI)
• 네트웍 프로토콜
• Lan Manager / 마이크로소프트 네트웍 / NT 도메인
• TCP/IP
• 취약점
• 라우팅 프로토콜 (TBD)
• PPP (Point to Point Protocol) (TBD)
• DNS (Domain Name Service)
• NIS, NIS + (Network Information Service)
• DHCP (Dynamic Host Configuration Protocol)
• NFS (Network File System)

• 물리적 네트웍 유형: 이더넷, 전용 회선, FDDI, ATM
• 네트웍 장비: 허브, 브리지, 라우터, 모뎀
• WAN 에의 외부 연결
• 외부 연결에 대한 허가
• 들어오는 연결 예
• 나가는 연결 예
• 단순한 인터넷이나 게시판 접속
• 안전하지 못한 서브넷
• 네트웍 관리 / 감시

네트웍 보안은 중요하다. 많은 어플리케이션들은 (IBM 3270 telnet emulation, Telnet, ftp...) 네트웍을 통해 암호화되지 않은 패스워드를 보낸다.네트웍이 완벽하게 안전할 수는 없지만, 가장 약한 링크들은 보호되어야 한다. 네트웍이 100% 안전하기를 기대한다는 것은 비현실적이다.T오늘날 네트웍 보안에는 두가지 주요 경향이 있다 :

1. 개발중인 새로운 어플리케이션들은 종종 안전하지 못한 네트웍을 통해 안전하게 데이타를 전송할 수 있도록 설계된다. 즉 어떤 종류의 인증/암호화가 내장된다.
2. IP 레벨의 암호화는 (TCP/IP 네트웍을 위한) 두 시스템 사이에, 안전하지 못한 네트웍을 거친다 하더라도, 안전한 채널을 제공한다. 한 예로써 SKIP 이 있다 ("메카니즘" 장 참조).

네트웍 보안은 벤더들이 ftp, telnet 그리고 rlogin과 같은 유물들을 ssh ("메카니즘" 장 참조) 와 같은 보다 안전한 대체물로 바꾼다면, NIS+ 및/또는 Kerberos 클라이언트가 모든 주요 OS에 번들로 포함되고, pgp 같은 안전한 이메일 시스템이 벤더 이메일 클라이언트에 완전히 통합된다면, 쉽게 강화될 수 있다. 그러나 과거를 돌아볼 때 이런 일은 일어날 것 같지 않다......

네트웍 보안을 유지하기 위해서는 중앙화된 네트웍 관리가 중요하다. 네트웍은 (LAN과 WAN을 의미) 여기서 다음과 같은 관점으로 분석된다 :

• 프로토콜: Netbios, TCP/IP, SNA, IPX, Decnet...
• 물리적인 네트웍 유형:전용 회선, ISDN, X25, FDDI, 이더넷, ATM, 무선, 적외선, 마이크로파, GSM, 위성.
• 순수 네트웍 장비: 라우터, 브리지, 암호화 장치 및 모뎀. 방화벽은 다음 장에서 논의된다. 

11.1 네트웍 모델 (OSI)

Open Systems Interconnect 모델은 네트웍을 통한 데이타 전송을 기술하기 위한 표준이다. 7 계층 모델은 다른 아키텍쳐와 비교하는 데 있어서 특히 유용하다. 다음의 그림은 OSI, TCP/IP 와 Lan Manager에서 사용하는 통신 계층 간의 관계를 이해하는 데 도움이 될 것이다.

11.2 네트웍 프로토콜

11.2.1 Lan Manager / 마이크로소프트 네트웍 / NT 도메인

NetBEUI: 로컬 서브넷에서만 사용한다.

WINS (Windows Internet Naming Service) 는 고도로 자동화된 동적 데이타베이스를 이용해 Netbios 이름을 IP 주소로 풀어준다. 이것은 LMHOSTS 파일의 필요성을 절감시켜준다. "윈도우 NT" 장 참조.

RAS (Remote Access Service), "윈도우 NT" 장 참조.

11.2.2 TCP/IP

11.2.2.1 취약점

TCP/IP 는 고도의 보안을 목표로 설계된 것이 아니다:

• Privileged 포트 (0-1000) 사용을 통한 보호는 PC가 TCP/IP 클라이언트가 된 이후로는 거의 효용성이 없다.
• 트래픽 우선순위가 없다 (네트웍이 넘치기 쉽다).
• 트래픽을 끼워 넣을 수 있고, 패킷이 도난되거나 납치(hijack)될 수 있으므로, 라우터 및 방화벽에서 꼭 안티 스푸핑 (anti-spoofing)을 구현하도록 한다.
• UDP (데이타그램 기반) 는 인증을 제공하지 않는다.
• TCP (연결 기반) 는 약한 인증을 제공한다.
• 기밀성이 없다 (암호화 부재).
• IP 스푸핑이 쉽고 (인증 취약), 시스템들이 IP 주소를 속일 수 있다. 라우터를 속일 수 있다. 헤더 체크섬이 불충분하다.
• 체므섬을 속이기 쉽다 (약한 알고리듬).

그러나, TCP/IP 는 신뢰성 있고, 견고하며 사실상의 표준이다.

위의 문제점들 중 많은 부분을 다루는 새로운 IP 레벨 암호화 제품에 대한 논의는 메카니즘 장을 참조한다.  

11.2.2.4 DNS (Domain Name Service)

• 내부 네트웍에서 사용되는 DNS 는 외부세계(인터넷)에서는 보이지 않아야 한다. DNS 정보를 인터넷에 제공하는 방화벽은 방화벽 주소/이름만을 해석해야 하고 (즉 이메일에서는, 방화벽 자신을 가리키는 MX 레코드 만을), 내부 네트웍 상의 어떤 정보도 제공하지 않아야 한다.
  - 내부 DNS 서버는 해석되지 않은 질의를 외부 DNS 서버에 보내도록 설정될 수 있으며 (/etc/resolv.conf 에 있는 "fowarders" 를 사용하여), 그러면 외부 DNS 서버가 인터넷을 검색하게 된다.
  - 내부 클라이언트는 내부 DNS 서버를(들을) 가리키도록 한다.
• 매우 적고 정해진 연결만 하는 클라이언트들은 DNS를 사용할 필요가 없다.
• DNS 서버는 등급  으로 구성되도록 한다.
• 가용성을 높이기 위해 복제 (2차) 서버를 사용한다. 
• 인터넷에 노출된 DNS 서버들에는 공개 도메인의 BIND를 최신 버전으로 올린다. 공개 버전이 대부분의 벤더 제품보다 더 빨리 발달되고 버그도 빨리 수정된다.

11.2.2.5 NIS, NIS + (Network Information Service)

" UNIX 보안 ". 장 참조

11.2.2.6 DHCP (Dynamic Host Configuration Protocol)

DHCP 는,특히 랩탑이나 재조직이 계속 발생하는 환경에서, 매우 실용적이다. 그러나, 동적 DHCP 를 쓰면 시스템을 유일하게 식별하기 힘들어지므로, 등급   의 네트웍에서는 동적 IP 주소의 사용을 피한다. 정적 DHCP 는 IP 주소를 중앙관리 하는데 유용할 수 있다.

• IP 주소는 시스템을 유일하게 식별해야 한다 (호스트 스푸핑을 방지하고 IP 주소 접근제어를 사용할 수 있게 하기 위해. 즉 유닉스 시스템상의 inetd tcp_wrappers).
• DHCP를 사용하려면 (예를들어 랩탑 사용자가 많을 때), 등급   서버들은 정적 IP 주소를 가져야 하고 DHCP 에 의해 구성되지 않아야 한다. 
• 이더넷 MAC 주소도, MAC 주소가 기록되고 데이타베이스가 최신의 것으로 유지되고 관련 네트웍 감시 소프트웨어가 있다면, 호스트의 트래픽을 유일하게 식별하는 데 쓰일 수 있다.

11.2.2.7 NFS (Network File System)

NFS 에 대한 논의는 " UNIX 보안 " 장을 참조한다.

11.3 물리적인 네트웍 유형Physical network types

기밀성이 주요 관심사라면, 광케이블을 사용한다. 이것은 끼어들기나 스니핑하기가 매우 어렵다.

11.3.1 이더넷

• Thin Ethernet (스타형) 대신 허브를 사용한다. 보다 나은 성능과 보안을 위해서는 허브 (모든 패킷이 모든 노드로 전송됨) 대신 스위치를 사용한다 .
• avoid "사용되지 않은" 라이브 연결 (lived connections) 을 피한다.
• 데이지 연결 (Daisy chain) 을 하지 않는다.
• 사용하지 않는 소켓은 연결하지 않는다.
• 네트웍은 conduit (전선관) 을 사용하여 물리적으로 안전하게 할 수 있다. 

11.3.2 전용 회선

구리 전용선은 하드웨어나 소프트웨어적으로 암호화 되어야 한다. 

11.3.3 FDDI

FDDI 는 광섬유 링으로, 자기장을 탐지해서 "듣기" 가 불가능하고 어떤 사람이 링에 연결하려고 시도한다면 전문적인 장비가 있어야 하고 그러면 링을 방해하게 된다 - 들키지 않고 할 수 없다.

11.3.4 ATM

ATM (Asynchronous transfer mode) 은 대역폭 할당, 가상 네트웍, 고속...등과 같이 다양한 흥미있는 기능을 가진 복잡한 프로토콜 수트이다. 이것은 주로 통신 사업자들에게 유용하다. ATM 의 복잡성으로 인해 해커들이 크랙하기 힘들지만, 올바르게 구성하기도 힘들다.

11.4 네트웍 장비

대부분의 공격은 내부로부터 온다, 따라서:

• "스니퍼" 나 "네트웍 분석" 소프트웨어는 네트웍 관리자, 보안 관리자의 승인을 받지 않는 한 어떤 PC에도 허용되지 않으며, 사용자는 자기의 책임 및 PC가 위험한 시스템 목록에 들어있다는 것에 대해 충분히 알고 있어야 한다. 이 시스템들의 상태는 매년 재검토되어야 한다.
• 그런 소프트웨어를 표준으로 포함하고 있는 시스템들의 경우 (SunOS, Solaris 같은) :
  1. 유틸리티를 삭제하거나
  2. 유틸리티의 퍼미션을 루트만 사용가능하도록 변경한다. 물론 사용자는 이경우 절대로 루트 계정에 접근할 수 없어야 한다.
• 등급  시스템은 등급   과 같은 서브넷에 위치해서는 안된다.
• 내부네트웍과 등급 시스템 사이에 패킷 필터/방화벽을 설치한다.
• PC 에 있는 네트웍 인터페이스 카드: 어떤 카드들은 promiscuous 모드로 전환될 수 없다. e.g. TROPIC 칩셋에 기반을 둔 것 (HP Ethertwist). Promiscuous 모드를 허용하지 않는 이더넷 카드를 구입한다. 
• 허브, 브리지 및 라우터들이 매우 지능화되고 있고, 점점 더 많은 구성 옵션을 가지게 되고 복잡해지고 있다. 추가적인 기능들에는 유용하지만, 복잡성이 더해짐으로 인해 보안 위험도 증가한다.

중요한 서브넷 상에서는, 네트웍 장비를 올바르게 구성하는 것이 중요하다: 필요한 서비스만 활성화 하고, 포트/인터페이스/IP 주소로 구성 서비스 접근을 제한하고, 브로드캐스트, 소스 라우팅을 불능으로 하며, 강력한 (디폴트가 아닌) 패스워드를 사용하고, 로깅을 활성화 하고, 사용자/기능활성화/관리 등등의 접근을 할 수 있는 사람을 신중히 선택한다

11.4.1 허브

• 리피터 허브 (Repeater hubs) 는 들어오는 트래픽을 브로드캐스트한다. 그러나, 능동적 (또는 스위칭) 허브 들은 호스트 주소로된 패킷을 그 호스트에게로만 보낸다. 즉 스니퍼 소프트웨어가 별 해를 끼치지 못허게 된다. 성능도 개선된다. 추천!
• 어떤 허브들은 MAC 레벨에서 보호하도록 구성될 수 있다 (알려진 MAC 주소만 측정 포트에 연결될 수 있도록). 다른 허브들은 특정 포트에서 발견된 주소를 기억하여 새로운 이더넷 주소에 대해서는 접근을 막도록 구성될 수 있다.
• 더욱 새로운 허브들은 또 내장 http 서버를 가지고 있다, 가능하면 특정 IP 주소/포트에 대한 접근을 제한하고, 공중망이나 잠재적으로 적대적인 네트웍에서 이 서비스 사용을 피한다.
• 새로운 허브들은 또 VLANS (virtual LANs, 가상 LAN)을 생성하여, 특정 포트를 가상 네트웍으로 묶고 다른 포트들이 볼 수 없게 할 수도 있다. 유용할 수 있다.
• 중요한 서브넷: 사용하지 않는 포트는 불능으로 한다 (공격자들이 열린 포트를 이용하지 못하도록). 

11.4.2 브리지

• 서브넷을 작은 세그먼트로 쪼개는 데 유용하고, 에러를 찾기가 쉬워진다.
• 어떤 이더넷 주소가 어디에 있는지 감지하여, 트래픽을 그 세그먼트에 있는 시스템들에게로 국한시킨다. 이로써 네트웍 성능과 비밀이 개선된다 (스니핑을 더 어렵게 만듬). 
• 새로운 브리지들은 또 http 서버도 가지고 있다, 가능하면 특정 IP 주소/포트에 대한 접근을 제한하고, 공중망이나 잠재적으로 적대적인 네트웍에서 이 서비스 사용을 피한다.

11.4.3 라우터

라우터는 복잡해지고 유닉스 호스트 만큼이나 다양한 구성 옵션을 가질 수 있다...

• 라우터는 대역폭을 절감하고 가용성을 높이기 위해 NetBEUI 패킷이나 TCP/IP 브로드캐스트 패킷을 통과시키지 말아야 한다. NIS 를 사용하는 곳에서는, 서브넷에 걸쳐 IP 브로드캐스트를 허용하는 것이 보안도 약화시킨다.
• 라우터는 서브넷을 보호하는 필터로 사용될 수 있다, e.g. 방화벽이나 등급   네트웍에 연결을 위해: 자세한 내용은 "방화벽" 장을 참조한다.
• 라우터는 종종 telnet으로 접근이 가능한 구성용 포트 (configuration port) 를 가지고 있다. 강력한 패스워드를 사용하고, 정기적으로 변경한다! 가능하다면 특정 IP 주소/인터페이스, 또는 콘솔에도 접근을 제한한다.
• 새로운 라우터들도 http 서버를 내장하고 있다, 가능하면 특정 IP 주소/포트에 대한 접근을 제한하고, 공중망이나 잠재적으로 적대적인 네트웍에서 이 서비스 사용을 피한다.
• 라우터 감사를 위한 유용한 체크리스트 (특히 cisco) 가 security portal 에 있다.
• SNMP
  • SNMP 의 사용을 피한다. 생각하는 것보다 더 좋지 않다. 다음의 Bugtraq 논의를 보면 이해가 될 것이다:
    http://archives.neohapsis.com/archives/bugtraq/2000-02/0152.html
  • SNMP 를 사용한다면, Read Only 로 쓰고, 접근통제 목록 (ACL)을 사용하며, 디폴트 커뮤니티 문자열을 사용하지 않도록 한다.
  • 정말로 SNMP 쓰기 커뮤니티를 써야만 한다면, 아주 맞추기 어려운 커뮤니티 문자열을 사용하고, ACL을 사용하며, SNMP가 인터넷 같은 적대적 네트웍을 돌아다니지 않도록 한다.
    
• 중앙 syslog 서버에 로깅되도록 (접근 위반, 관리 접근 에러) 할 것을 고려한다.

11.4.4 모뎀

한달에 한번 (밤에) 모든 내부 전화선을 훑어서 모뎀이 몇개나 연결되어 있고 번호는 무엇인지 확인한다. 이를 등록된 모뎀 목록과 비교 확인할 수 있다. TBD: 이를 수행할 수 있는 제품 예!

• 밖으로 나가는 전화만 가능한 모뎀은 들어오는 전화를 무시하도록 구성되어야 한다.
• 간단한 (10.- CHF) 타이머 220V 모뎀 공급장치를 사용해 필요없을 때는 모뎀을 비활성화할 수 있다. (예를들어 밤동안).  

11.5 WAN 에의 외부 연결

11.5.1 외부 연결에 대한 허가

내부 시스템으로의 외부 접속 (예를 들어 모뎀을 통해) 또는 내부 시스템으로부터 외부로의 접속 (예를들면 인터넷), 사용자는 서면 허가를 가지고 있어야 한다. 사용자는 그러한 외부 접속이 절대적으로 필요하다는 것을 증명해야 한다.

이러한 외부 연결은 들어오는 것과 나가는 것으로 등급을 매길 수 있다: 

11.5.2 들어오는 연결의 예

• 회사 파트너를 위한 전화접속.
• IT 직원과 중역을 위한 전화접속.
• 대학으로부터의 접속 (연구 프로젝트 공동작업).
• 인터넷 이메일.
• 전사 WWW 서버.
• EDI 

11.5.3 나가는 연결의 예

• 벤더 게시판 (정보, driver 등 수집).
• 고객 연결: 클라이언트에 특별헌 서비스 제공.
• 인터넷 이메일.
• 평범한 인터넷 접속 : 프락시 서버를 경유하는 넷스케이프.
• 특별한 인터넷 접속: WWW, archie, ftp, news, telnet, gopher, wais.
• EDI. 

11.5.4 단순한 인터넷이나 게시판 접속

민감한 지역에서 정보를 탐색하기 위해 인터넷 접속이 필요하다면 (e.g. ftp 또는 Web), 모뎀이 있고 (내부) 네트웍 연결은 전혀 없는 간단한 PC를 사용하는 것이 해법이 될 수 있다.

이러한 연결들을 등록하고 중앙 보안 인력이 정기적으로 감사하는 것이 중요하다. 

11.5.5 안전하지 못한 서브넷

한 건물에 많은 외부 연결이 필요한 경우, 외부 연결들을 그룹지어서 외부에 직접 연결되고 내부와는 방화벽으로 분리된 하나의 "안전하지 못한 서브넷" 에 모을 수 있다. 이것은 비용을 최소화 하고 (한대의 방화벽만 있으면 되므로) 유연성을 최대화 하지만, "안전하지 못한 서브넷" 상에 있는 이 시스템들은 위험하고 침투된 호스트로 간주되어야 하므로, 일상적인 사용에 대해 많은 주의가 필요하다.  

11.6 네트웍 관리/감시

네트웍은 더욱 중요해지고 있고, 데이타 속도와 양도 증가하고, 네트웍은 점점 더 잡다한 환경이 되어가고 있다. 전문적인 네트웍 감시는 분석 및 문제 예측에 도움이 될 수 있다 (가용성 증가에도). 이러한 감시도구는 두가지 방법에 의해 보안을 증대시킬 수 있다 :

a) "이상한" 네트웍 행태는 침입일 가능성이 있으므로, 감시도구는 "이상한" (즉, "정상적" 이지 않은) 네트웍 행태에 유의하도록 구성되어야 한다.
b) 보안 정책에서 특정 서비스를 특정 호스트가 특정 시간에 사용할 수 없도록 규정했다면, 네트웍 감시 소프트웨어는 이를 검사하는 데 사용될 수 있다. e.g. 어떤 네트웍에 대한 보안정책에서 ftp 는 00:00 부터 06:00 까지 사용할 수 없다고 규정한다면, 이 시간에는 그 네트웍 상의 어떤 ftp 트래픽도 감시되고 보안 경보로 보고되어야 한다. 이러한 종류의 감시는 로컬의 보안성이 높은 네트웍에 특히 유용하다.

• Solaris 1의 유틸리티인 etherfind 나 Solaris 2 유틸리티인 snoop 또는 VMS 유틸리티 ethermon 은 비정상적인 행태에 대해 네트웍을 감시할 수 있으나, 능력이 있고 신뢰할 수 있는 사람에 의해 수행되어야 한다!
• satan 같은 유틸리티는 TCP/IP 보안 문제에 대해 보고하는 것 뿐만 아니라, IP 네트웍에서 장비를 식별하는 데도 사용될 수 있다.
• 이러한 유틸리티들은 다른 시스템들에서는 모두 제거되어야 한다. 

               Previous    Next     Top   Detailed TOC